CEVIU Logo
Voltar

HashiCorp Boundary 1.0 chega com gravação de sessão RDP e foco em Kubernetes

Aprofundamento CEVIU

Aprofundamento

O mylinuxhost.rnd.dc-canada não é um servidor real, mas um exemplo concreto de como o Boundary 1.0 resolve um problema operacional crônico em ambientes multi-tenant: conflito de apelidos em escopos distintos. Ele representa um alias hierárquico no tipo project, onde rnd é a organização e dc-canada o projeto, permitindo que equipes diferentes usem o mesmo nome base (mylinuxhost) sem colisão. Isso é essencial para plataformas de engenharia que gerenciam dezenas de clusters Kubernetes com múltiplas squads, pois elimina a necessidade de coordenação manual de nomes ou prefixos artificiais.

O Boundary funciona como uma camada de autorização contínua entre usuários (humanos ou IA) e alvos, servidores Linux/Windows, bancos de dados, APIs Kubernetes. Ele não abre portas na rede nem depende de agentes instalados nos hosts. Em vez disso, autentica via Vault, injeta credenciais dinâmicas no momento da conexão e registra cada interação. A versão 1.0 traz dois Helm charts oficiais: um para controladores (que orquestram políticas) e outro para workers (que executam sessões), tornando viável rodar toda a stack em clusters produtivos com GitOps e atualizações declarativas.

O que mudou

A cobertura CEVIU de 25 de maio já mostrava o RDP baseado em identidade com credenciais dinâmicas do Active Directory artigo original. Agora, o Boundary 1.0 entrega a gravação dessas sessões, um salto de conformidade para setores regulados. Também evoluiu desde a versão 0.22: antes, a injeção de credenciais RDP era 'passwordless'; agora, cada clique, tecla e janela é capturado e reproduzível. Além disso, os aliases deixaram de ser globais e passaram a ter escopo automático, algo ausente na cobertura anterior, que ainda tratava aliases como entidades planas sujeitas a conflitos manuais.

Por que isso importa

Para equipes de plataforma, isso significa menos tempo gasto em auditoria manual de acessos remotos e mais confiança em pipelines de infraestrutura como código. Um administrador pode aprovar acesso a mylinuxhost.rnd.dc-canada via política no Vault e saber exatamente o que foi feito durante a sessão RDP, sem depender de logs do Windows ou de ferramentas de terceiros. Para segurança, é a primeira vez que o Boundary oferece rastreabilidade completa em ambientes Windows, fechando uma lacuna crítica que persistia desde sua estreia com SSH em 2020. E para IA, o lançamento sinaliza que a arquitetura está pronta para integrar credenciais HTTP efêmeras e autorização por etapa, embora essa parte ainda esteja em early access.

Linha do tempo

  1. Lançamento do HashiCorp Vault 2.0 com federação de identidades para workloads sem credenciais estáticas

  2. Cobertura CEVIU sobre uso do Boundary + Vault para RDP baseado em identidade com credenciais dinâmicas de AD

  3. Cobertura CEVIU sobre segurança de agentes de IA com Boundary, usando autorização just-in-time e credenciais dinâmicas

  4. Lançamento do Boundary 1.0 com gravação de sessões RDP, Helm charts oficiais para Kubernetes e aliases hierárquicos como mylinuxhost.rnd.dc-canada

Perguntas frequentes

O mylinuxhost.rnd.dc-canada é um host real ou apenas um exemplo?

É um exemplo de alias hierárquico usado na documentação oficial para ilustrar como o Boundary 1.0 resolve conflitos de nomes entre projetos distintos. Não representa um servidor físico ou virtual específico, é um padrão de nomenclatura aplicável a qualquer ambiente multi-tenant.

A gravação de sessão RDP já estava disponível antes da versão 1.0?

Não. A gravação foi introduzida pela primeira vez no Boundary 1.0. Versões anteriores, como a 0.13, tinham gravação apenas para SSH. O suporte a RDP é novo e atende diretamente a requisitos de conformidade em ambientes Windows, como PCI-DSS e LGPD para acesso remoto.

Quais são as limitações reais da gravação de sessão hoje?

A gravação está restrita a SSH e RDP. Suporte para Kubernetes (kubectl), bancos de dados (PostgreSQL, MySQL) e requisições HTTP/HTTPS ainda está em desenvolvimento. Também não há gravação nativa de sessões em terminais web ou interfaces gráficas além do RDP, só o fluxo de teclado e tela capturado pelo protocolo.

Como o Boundary 1.0 se integra com o Vault 2.0 mencionado na cobertura CEVIU de abril?

O Boundary 1.0 depende do Vault 2.0 para emissão de credenciais dinâmicas com tempo de vida curto, especialmente para RDP via AD e para identidades não humanas. A federação de identidades do Vault 2.0 permite que o Boundary valide tokens de Entra ID, PIM e até workloads do Kubernetes sem credenciais estáticas, formando um ciclo fechado de zero trust.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU DevOps
Publicado
03 de julho de 2026
Editoria
CEVIU DevOps

Quer receber mais sobre CEVIU DevOps?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser