Bastionhost объединяет зашифрованный сейф учётных данных и брокер сессий для управления привилегиями

Сервис Bastionhost реализует модель Privileged Access Management (PAM), объединяя зашифрованное хранилище учётных данных и брокер сессий, который посредничает между операторами и целевой инфраструктурой. Это значит, что целевые креденшелы не раскрываются пользователям: соединения устанавливаются от имени сервиса, а все действия фиксируются — что повышает безопасность и упрощает контроль при аудите и инцидент‑реакции.

В основе решения — credential vaulting: SSH‑ключи, root‑пароли, пароли учётных записей баз данных и RDP‑учётные данные сохраняются в зашифрованном виде и не показываются оператору. При запуске сессии Bastionhost извлекает необходимые креденшелы и устанавливает соединение, предоставляя пользователю терминал или графический интерфейс, при этом целевой пароль остаётся непрозрачным для человека. Такая архитектура позволяет автоматизировать ротацию учётных данных и моментально аннулировать доступ — например, отключением идентичности в Bastionhost при увольнении сотрудника.

Модель доступа интегрируется с существующими провайдерами идентичности: поддерживаются RAM‑пользователи и роли, внешние провайдеры через SAML 2.0 и Active Directory через LDAP; локальные пользователи тоже возможны, но рассматриваются как наименее безопасный вариант. Рекомендуемая конфигурация — сделать Bastionhost relying party внешнего IdP и требовать многофакторную аутентификацию (TOTP, SMS, email или политика upstream IdP). Авторизация строится на группах пользователей, которые связаны с asset‑группами и политиками по протоколу, окнам доступа и ограничениям команд.

Весь интерактивный трафик (SSH, RDP, клиент БД) проходит через брокер сессий с полным логированием ввода/вывода: SSH и сеансы баз данных формируют поисковые логи выполненных команд, RDP записывается в виде видео. Записи можно экспортировать в объектное хранилище OSS для длительного хранения и последующего анализа, что полезно и для форензики, и для соответствия регуляторным требованиям. Помимо пассивного логирования, Bastionhost применяет политики команд в реальном времени: регулярные выражения проверяют ввод и могут разрешать, поднимать тревогу или блокировать исполнение. В качестве превентивных примеров указаны блокировки rm-rf по production‑путям, DROP TABLE для помеченных БД и попытки повышения привилегий вне согласованных окон обслуживания.

упрощая масштабирование. Также отмечено: отключение второго фактора снижает юридическую и оперативную ценность записей, а шаблоны для блокировок требуют аккуратной настройки, чтобы избежать ложных срабатываний.