Bastionhost se presenta como una solución de Privileged Access Management ofrecida como servicio gestionado que coloca un intermediario instrumentado entre operadores e infraestructuras objetivo. Su función central es autenticar identidades, mantener las credenciales opacas, mediar las conexiones, grabar la actividad de las sesiones y aplicar condiciones de acceso en línea, con el fin de reducir la exposición de secretos y facilitar auditoría forense.
El rasgo diferenciador frente a un jump host tradicional es el credential vaulting: claves SSH, contraseñas de root, credenciales de bases de datos y credenciales RDP se almacenan cifradas y nunca se revelan al operador. Al iniciar una conexión, Bastionhost recupera la credencial desde el almacén, completa la autenticación hacia el sistema destino y entrega al operador un terminal o una sesión gráfica sin exponer el valor del secreto en texto claro.
Esa cadena de intermediación habilita rotaciones de credenciales frecuentes — diarias o semanales — porque ningún humano necesita conocer el valor actual para conectar. Asimismo, el offboarding se simplifica: deshabilitar la identidad en Bastionhost cierra de forma simultánea todos los accesos que dependían de esa identidad, sin requerir cambios manuales en cada sistema remoto.
Para el cifrado de los secretos, el servicio se integra con un sistema de gestión de claves (KMS) mediante cifrado por envoltura, de modo que las claves maestras quedan sujetas a las políticas de ciclo de vida del cliente. Esta integración permite que la custodia y la rotación de claves se rijan por el mismo marco de políticas que controla otras claves administradas por el cliente.
En el plano de identidades, Bastionhost admite usuarios y roles gestionados por el propio entorno de cuentas (RAM), proveedores externos mediante SAML 2.0 y Active Directory a través de LDAP. También soporta cuentas locales, aunque el documento técnico las considera operacionalmente más débiles. El servicio debe comportarse como relying party del proveedor de identidad empresarial y respetar las políticas de MFA del IdP; además, ofrece factores nativos como TOTP, SMS y correo electrónico.
Toda sesión interactiva — SSH, RDP y clientes de bases de datos — es mediada por Bastionhost y se registra con detalle. Las sesiones SSH y de bases de datos generan registros de comandos indexables y buscables, mientras que las sesiones RDP se graban en vídeo. Los logs y las grabaciones pueden exportarse a un almacenamiento de objetos (OSS) para cumplir requisitos de retención que excedan el período de conservación del servicio, y cada grabación se asume vinculada a un humano autenticado.
Las políticas de comandos trasladan parte del control desde la detección forense hacia la prevención en tiempo real: expresiones regulares evaluadas sobre la entrada del operador pueden permitir, alertar o bloquear acciones antes de que se ejecuten. El documento ofrece ejemplos concretos de bloqueo en el broker, como impedir comandos equivalentes a rm-rf sobre rutas de producción, evitar DROP TABLE contra activos etiquetados o bloquear intentos de escalada de privilegios fuera de ventanas de mantenimiento autorizadas.
La propuesta reduce vectores habituales de fuga de credenciales — por ejemplo, archivos locales en laptops o credenciales compartidas por mensajería— y facilita cumplimiento y auditoría al centralizar el acceso y automatizar la rotación de secretos. Al mismo tiempo, introduce limitaciones operativas señaladas por el autor: las cuentas locales pueden provocar deriva de identidad y la desactivación de factores MFA degrada el valor forense de las grabaciones. La exportación a OSS se plantea como respuesta cuando las políticas de retención obligan a un archivado externo más duradero.
Fuentes
Respuestas (0)
Aún no hay respuestas en este tema.
