Tuna Logo Tuna
RU EN
Войти

chess rook Бастион

Берёт всю сложность на себя!

SSH-сервер с ролевой мандатной моделью доступа, использующий принципы нулевого доверия.

Предназначен для безопасного доступа к инфраструктуре через централизованный контроль и аудит SSH-сессий. В отличие от классических SSH-серверов, Бастион делает акцент на идентификации пользователей, временных сертификатах и ролевой модели доступа.

Доступно в тарифе Команда

Bastion screenshot

Основные принципы

Мандатная модель
Role-Based Access Control, RBAC — доступ к SSH-серверам управляется через роли и политики, а не вручную через файлы authorized_keys.
Нулевое доверие
Принцип zero trust. Проверяет не только учетные данные пользователя, но и контекст: Кто запрашивает доступ? Какой сервер и с какой целью? Какие параметры у сессии (время, источник, политика MFA)?
Аутентификация без паролей
Passwordless — вместо статических паролей в дополнение к SSH-ключам используются PKI-сертификаты, которые автоматически истекают.

Что такое бастион в контексте SSH-доступа?

Вместо традиционного SSH-доступа ssh user@host на основе паролей или RSA-ключей, пользователи аутентифицируются через наш клиент tuna у нас на портале.

Далее на бастион-сервере работает аутентификация на основе сертификатов. Это штатный функционал OpenSSH, он является самым безопасным из всех, но исторически является самым сложным в настройке. И вот тут всю сложность мы берём на себя, вам же остаётся только безопасность!

После авторизации на портале, клиент генерирует RSA-ключи и публичную часть передаёт в API для доставки на бастион-серверы. Клиент также генерирует временный PKI-сертификат и он подписывается CA в портале Tuna. C RSA-ключом и сертификатом вы подключаетесь к серверу, сервер проверяет, что сертификат действителен, подписан верным CA и у пользователя, на которого выписан сертификат, достаточно прав на доступ с учётом ролей и политик.

Бастион-серверы в свою очередь тоже имеют временные сертификаты, подписанные CA, и при установке соединения клиент также проверяет валидность сервера в CA: так вы можете быть уверены, что ваш сервер — это именно ваш сервер, а не что-то подставное.

Bastion scheme

В итоге мы ничего не знаем про приватные ключи серверов и клиентов, они генерируются и хранятся локально, а значит у нас нет возможности подключиться к вашей инфраструктуре (как и злоумышленникам в случае гипотетических утечек у нас). Мы выступаем третьей стороной — хранителем CA, что подписывает сертификаты и аутентифицирует пользователя.

Отзывы о Бастионе

  • Всё супер, сервис очень помогает. Можно прокинуть туннель даже со своим доменом без покупки сертификата. Для локальной разработки самое то!
    Артём С.
  • Запустил 2 туннеля и уехал в отпуск. Очень переживал, не отвалится ли что. Ни разу ничего не отвалилось. Постоянный удаленный доступ. Спасибо!
    Eli N.
  • Наконец-то нашел качественную замену NGROK, задержка приятно радует, а парковка своего домена, это просто нечто) СУПЕР!
    Игорь

Как это работает?

  1. 1

    Вы запускаете tuna-bastion на своём сервере и регистрируете его в API Tuna. Генерируется пара RSA-ключей и сертификат на 30 дней, который подписывает CA, выделенный на команду в API Tuna. Приватный ключ хранится локально и никуда не передаётся, API Tuna его не знает, т.е. у нас нет доступа к вашим серверам.

  2. 2

    В панели управления my.tuna.am создаёте роль, описывающую модель доступа, и применяете к нужному пользователю.

  3. 3

    Пользователь запускает у себя команду tuna bastion login username. Генерируется пара RSA-ключей и сертификат на 12 часов, который подписывает CA, выделенный на команду в API Tuna, по аналогии с сервером. Но это происходит, только если у пользователя достаточно прав на подключения с таким логином.

Bastion scheme
  1. 4

    Пользователь запускает команду tuna bastion ssh username@hostname, и, если его сертификат валидный, сертификат сервера валидный, у пользователя достаточно прав и не наложено ограничений, то сессия устанавливается.

  2. Читать документацию →

Tuna Logo TUNA — платформа для разработчиков
Tuna Logo TUNA платформа для разработчиков

Тарифы

С годовой подпиской 2 месяца в подарок

  • Хобби

    • 1 HTTP туннель
    • 30 минут работы
    • Динамические поддомены
    • 1 проект
    • 5 окружений на проект
    • 5 конфигураций на окружение
    • 1 вебхук
    • 1 проект
    • 7 дней хранения

    Бесплатно

    Установить

  • Разработчик

    • 5 туннелей одновременно
    • 10 поддоменов в зоне tuna.am
    • 1 статический порт
    • 1 свой домен
    • Без ограничений по времени
    • Все виды туннелей
    • 10 проектов
    • 10 окружений на проект
    • 10 конфигураций на окружение
    • 3 монитора (watch)
    • 10 вебхуков
    • 1 проект
    • 30 дней хранения

    299 руб /в месяц

    2990 руб /в год

    Купить

  • Команда

    • 10 туннелей одновременно
    • 10 поддоменов в зоне tuna.am
    • 10 свой домен
    • 5 статичных портов
    • Свои доменные зоны
    • Политики трафика
    • IP-политики доступа
    • 20 проектов
    • 20 окружений на проект
    • 20 конфигураций на окружение
    • 5 мониторов (watch)
    • 10 вебхуков
    • 20 проектов
    • Безлимитное хранение
    • 200 узлов на команду i

    599 руб /в месяц

    5990 руб /в год

    Купить
Если по требованиям безопасности вам нужно установить ноду, через которую идет весь трафик для туннелей, внутри своей организации, напишите нам на почту info@tuna.am
Хобби
0 руб. / месяц
Разработчик
299 руб. / месяц
Команда
599 руб. за участника / месяц
Туннели
Время работы туннеля
30 минут
Без ограничений
Без ограничений
Число активных туннелей, шт
1
5
10
Число статичных доменов, шт
10
10
Число собственных доменов, шт
1
10
Число статичных портов, шт
1
5
Динамические поддомены
End-to-end шифрование
Let's Encrypt SSL/TLS сертификаты
Инспектор HTTP запросов
Базовая аутентификация
Встроенный файловый сервер
Передача TCP трафика
Встроенный SSH/SFTP сервер
HTTP/SMTP триггеры
Политики трафика
Свои доменные зоны (wildcard)
HTTP/HTTPS
GraphQL
WebSocket
Server-sent events
gRPC-Web
gRPC
SMTP
RTSP/RTP
RTMP
RDP
SSH
TCP
Шлюзы
Создание шлюзов с политиками трафика
Вебхуки
Лимит
1
10
20
Просмотр HTTP-запросов
Просмотр Email
Отчёты
Проектов
1
10
20
Дней хранения
7
30
Без ограничений
Видеозапись экрана
Консоль браузера
Сетевые запросы
Снимок DOM
Комментарии к отчётам
Секреты
Проектов
1
10
20
Окружений на проект
5
10
20
Конфигураций на окружение
5
10
20
Мониторы (watch)
5
Генератор секретов
История изменений
Синхронизация секретов в окружениях
Сравнение значения секрета в разных окружениях
Скрытые секреты
Сервисные ключи доступа к определённой конфигурации
Менеджер паролей
Общие каталоги
Хранение паролей по модели <u>нулевого знания</u>
Разделение по типу секретов
Поддержка TOTP
Возможность поделиться наружу
Бастион
Лимит бастион хостов
200
Zero-Trust SSH доступ к серверам
Мандатная (RBAC) модель доступа
Аутентификация на временных RSA ключах и PKI сертификатах
Другое
Ролевая модель доступа (RBAC)
Аудит событий
Оплата по счету (РФ)
Install Tuna application

С чего начать?

Начните с установки и первичной настройки клиента - это займет не больше минуты

Быстрый старт Читать документацию

Частые вопросы о Бастионе

  1. На текущий момент Бастион доступен только в тарифе «Команда».

  2. Нет, количество Бастионов может быть любым.

  3. Способы работы с Бастионом с примерами подробно описаны в соответствующем разделе нашей документации.

Остались вопросы? Напишите нам на почту info@tuna.am или задайте вопрос в нашем Telegram-сообществе.

Единая платформа для:

  • ускорения разработки
  • упрощения командного взаимодействия
  • повышения безопасности
  • оптимизации расходов

Tuna Desktop

Новый способ управлять туннелями без консоли. Установите на Windows, MacOS или Linux и начните за секунды.

Установить
Скриншот Tuna Desktop