HomeTeleport

Triển khai teleport cloud trên hạ tầng AWS on-prem

0

Teleport Cloud là lựa chọn SaaS giúp bạn dùng Teleport dễ dàng hơn, bỏ qua phần vận hành và tập trung vào bảo mật và truy cập hạ tầng theo nguyên tắc Zero Trust

Phần mềm teleport cloud
So sánh chi tiết giữa Teleport và VPN
Teleport là một nền tảng quản lý truy cập hạ tầng

🧭 Tổng quan kiến trúc Teleport Cloud

Ai làm gì?

  • Teleport Cloud:
    👉 Quản lý Auth + Proxy + Audit + HA

  • Hạ tầng của bạn (AWS / on-prem):
    👉 Chỉ cần cài Teleport Agent (node / kube / db)

📌 Không cần mở inbound port, không cần VPN

🏗️ Kiến trúc logic (mô tả bằng lời)

User → Browser / tsh / kubectl
→ Teleport Cloud (SSO + MFA)
Reverse Tunnel
Server / K8s / DB (private network)

1️⃣ Bước 1: Tạo Teleport Cloud Cluster

  1. Đăng ký tại Teleport Cloud

  2. Chọn:

    • Region (thường chọn gần VN: Singapore)

    • Tên cluster (VD: company-prod)

Teleport sẽ tạo sẵn:

  • Auth Service

  • Proxy

  • Audit backend

  • HA + Backup

✅ Xong phần “khó” nhất – bạn không phải dựng Teleport server

2️⃣ Bước 2: Kết nối SSO + MFA (rất quan trọng)

🔐 Kết nối Identity Provider (IdP)

Teleport Cloud hỗ trợ:

  • Azure AD / Entra ID

  • Google Workspace

  • Okta

  • OneLogin

Ví dụ với Azure AD:

  • Teleport = Enterprise Application

  • Mapping:

    • Azure AD Group → Teleport Role

    • Dev → dev-role

    • Ops → ops-role

👉 Từ đây:

  • Không tạo user local

  • Không share account

  • Offboard = xóa user trong AD là xong

🔑 Bật MFA

  • TOTP (Google Authenticator)

  • YubiKey / WebAuthn

📌 Khuyến nghị: bắt buộc MFA cho PROD

3️⃣ Bước 3: Cài Teleport Agent lên server

Trên Linux server (AWS / on-prem)

curl https://get.gravitational.com/teleport.sh | bash

Join server vào Teleport Cloud:

teleport join \
--token=xxxxx \
--proxy=company-prod.teleport.sh:443

👉 Server chủ động tạo reverse tunnel ra cloud
🔥 Không cần mở port inbound

4️⃣ Bước 4: Phân quyền truy cập (RBAC)

Ví dụ role DEV

kind: role
metadata:
name: dev-role
spec:
allow:
logins: [dev]
node_labels:
env: dev

DEV chỉ:

  • SSH được server có label env=dev

  • Không vào PROD

Ví dụ role OPS (PROD)

kind: role
metadata:
name: ops-role
spec:
allow:
logins: [root]
node_labels:
env: prod

5️⃣ Bước 5: Truy cập từ người dùng

Cách 1: Web UI (rất hay dùng)

  • SSH

  • Database

  • Kubernetes

  • Session recording

👉 Không cần cài gì thêm

Cách 2: CLI (DevOps thích)

tsh login --proxy=company-prod.teleport.sh
tsh ssh user@server

Hoặc Kubernetes:

tsh kube login
kubectl get pods

6️⃣ Bước 6: Audit & ghi log (ăn tiền nhất)

Teleport Cloud tự động:

  • Ghi ai truy cập

  • Ghi lệnh đã chạy

  • Record toàn bộ SSH session

  • Log Kubernetes / DB access

📌 Dùng cho:

  • ISO 27001

  • SOC 2

  • Điều tra sự cố nội bộ

7️⃣ Bước 7: Mở rộng thêm (tuỳ nhu cầu)

Bạn có thể bật thêm:

🗄 Database Access

  • PostgreSQL / MySQL

  • Không share password

  • Quyền theo user & thời gian

☸ Kubernetes

  • Thay kubeconfig bằng identity-based access

  • Không cần VPN

🧑‍💼 Vendor / đối tác

  • Cấp quyền tạm thời

  • Hết hạn tự động

🆚 So sánh nhanh: Teleport Cloud vs Self-hosted

Tiêu chí Teleport Cloud
Dựng server Teleport
Bảo trì / upgrade
HA / Backup
Thời gian triển khai 1–2 ngày
Phù hợp Doanh nghiệp, team >10

🎯 Checklist triển khai chuẩn doanh nghiệp

✅ Teleport Cloud cluster
✅ SSO + MFA
✅ Agent trên server
✅ RBAC rõ DEV / OPS / PROD
✅ Audit bật full
✅ Không dùng VPN cho admin access

RECOMMENDED FOR YOU

Loading...
Newer Post
Older Post

COMMENTS

WORDPRESS: 0

Leave a Reply

Your email address will not be published. Required fields are marked *

DISQUS:
Contact Me on Zalo