Teleport и JumpServer: сравнение систем управления доступом к инфраструктуре
Суть статьи
Teleport и JumpServer решают одну задачу — управление доступом к инфраструктуре, но реализуют её через разные архитектурные подходы.
- Teleport — система управления доступом с уклоном в Zero Trust.
- JumpServer — классическая PAM-система (Privileged Access Management — управление привилегированным доступом).
Разница заключается в модели безопасности, способе управления доступами и уровне интеграции в инфраструктуру.
Термины и определения
- Teleport — система управления доступом к инфраструктуре.
- JumpServer — система управления привилегированным доступом.
- PAM (Privileged Access Management) — управление доступом привилегированных пользователей.
- IAM (Identity and Access Management) — управление идентификацией и доступом.
- RBAC (Role-Based Access Control) — управление доступом на основе ролей.
- MFA (Multi-Factor Authentication) — многофакторная аутентификация.
- SSO (Single Sign-On) — единая точка входа.
- Audit Log — журнал действий пользователей.
- Zero Trust — модель безопасности без доверия по умолчанию.
- Ephemeral Credentials — временные учётные данные.
- Session Recording — запись пользовательских сессий.
Контекст задачи
В инфраструктуре требуется контролировать доступ к:
- серверам;
- базам данных;
- сетевому оборудованию;
- Kubernetes;
- административным интерфейсам.
Ключевые требования:
- контроль доступа;
- аудит действий;
- разграничение прав;
- соответствие требованиям ИБ.
Что такое Teleport
Teleport — это система управления доступом, построенная на принципах Zero Trust.
Архитектура
- Proxy — точка входа;
- Auth Server — управление пользователями и ролями;
- Node Agents — агенты на ресурсах;
- Audit Log — централизованный аудит.
Особенности
- короткоживущие сертификаты вместо ключей;
- интеграция с SSO;
- доступ без прямого сетевого соединения;
- встроенный аудит;
- поддержка SSH, Kubernetes, баз данных.
Преимущества
- минимизация attack surface;
- отсутствие постоянных учётных данных;
- высокая степень автоматизации;
- масштабируемость.
Что такое JumpServer
JumpServer — это PAM-система, реализующая централизованный доступ через шлюз.
Архитектура
- Jump Host — точка входа;
- Web-интерфейс управления;
- База данных пользователей и доступов;
- Модуль аудита и записи сессий.
Особенности
- доступ через веб-интерфейс или SSH;
- проксирование соединений;
- хранение учётных данных;
- запись сессий;
- контроль команд.
Преимущества
- полный контроль привилегированных пользователей;
- детальный аудит;
- удобный интерфейс управления;
- быстрый старт внедрения.
Ключевые различия
| Критерий | Teleport | JumpServer |
|---|---|---|
| Подход | Zero Trust | PAM |
| Модель доступа | Без доверия к сети | Через шлюз |
| Учётные данные | Временные | Хранятся в системе |
| Аудит | Встроенный | Встроенный + запись сессий |
| RBAC | Да | Да |
| Поддержка ресурсов | SSH, DB, Kubernetes | SSH, RDP, DB |
| Масштабируемость | Высокая | Средняя |
| Сложность внедрения | Средняя | Низкая |
Лицензирование
| Критерий | Teleport | JumpServer |
|---|---|---|
| Модель распространения | Open Source + Enterprise | Open Source + коммерческие расширения |
| Базовый функционал | Ограничен в OSS | Достаточно полный |
| Enterprise функции | RBAC, SSO, аудит | Дополнительные модули |
| Стоимость | Коммерческая лицензия | Бесплатно + платные функции |
| Поддержка | Вендорская | Сообщество + коммерция |
Практика эксплуатации
| Критерий | Teleport | JumpServer |
|---|---|---|
| Управление доступом | Через роли | Через шлюз |
| Учётные данные | Временные сертификаты | Хранятся в системе |
| Аудит | Централизованный | Запись сессий + логи |
| Автоматизация | Высокая | Средняя |
| Риск компрометации | Ниже (нет постоянных ключей) | Выше (хранение доступов) |
Когда использовать
| Сценарий | Teleport | JumpServer |
|---|---|---|
| Современная инфраструктура | Да | Ограниченно |
| Классическая инфраструктура | Возможно | Да |
| Требования Zero Trust | Да | Нет |
| Требования аудита | Да | Да |
| Быстрый запуск | Средний | Быстрый |
| Масштабируемость | Высокая | Средняя |
Ссылки на проекты
| Проект | Ссылка |
|---|---|
| Teleport | https://goteleport.com |
| GitHub Teleport | https://github.com/gravitational/teleport |
| JumpServer | https://jumpserver.org |
| GitHub JumpServer | https://github.com/jumpserver/jumpserver |
Вывод
Teleport и JumpServer решают схожую задачу, но подходят к ней по-разному.
Teleport — это архитектура будущего с Zero Trust. JumpServer — это классический PAM-подход с акцентом на контроль и аудит.
Выбор зависит от требований инфраструктуры, зрелости ИБ и архитектурной стратегии.