Network & Security

Teleport คืออะไร? คู่มือ Open-Source Identity-Aware Access Proxy Zero Trust สำหรับ SME ไทย 2026

Teleport คือ Open-Source Identity-Aware Access Proxy ที่รวม SSH, Kubernetes, Database และ Web App เข้าใน Gateway เดียวด้วย Zero Trust + Short-Lived Certificate ช่วย SME ไทยปลอดภัยจากบัญชี Static Credentials ในยุค 2026

AF
ADS FIT Team
·8 นาที
Share:
Teleport คืออะไร? คู่มือ Open-Source Identity-Aware Access Proxy Zero Trust สำหรับ SME ไทย 2026

# Teleport คืออะไร? คู่มือ Open-Source Identity-Aware Access Proxy Zero Trust สำหรับ SME ไทย 2026

ในยุคที่พนักงาน Remote Work และระบบกระจายไปบน Multi-Cloud, Kubernetes, และ On-Prem พร้อมกัน — การจัดการสิทธิ์เข้าถึง SSH, Database, Internal Web App ด้วย Static Password หรือ SSH Key ที่ไม่หมดอายุ กลายเป็นช่องโหว่ใหญ่ที่สุดของ SME

Teleport คือ Open-Source Identity-Aware Access Proxy ที่รวม SSH, Kubernetes, Database, Web App, Windows Desktop เข้าไว้ที่ Gateway เดียว ปลดล็อคแนวคิด Zero Trust ด้วย Short-Lived Certificate + Single Sign-On + Session Recording — ทั้งหมดในแพ็กเกจเดียว ฟรี และ Self-Host ได้

บทความนี้จะอธิบายว่า Teleport ทำงานอย่างไร, แตกต่างจาก SSH Bastion / Jump Host แบบเดิมตรงไหน, ขั้นตอน Deploy บน SME และตัวอย่างการใช้จริงในปี 2026

ปัญหาที่ Teleport มาแก้

ลองนึกภาพ SME ไทยทั่วไปที่มี:

  • Server บน VPS / EC2 ราว 20 เครื่อง
  • Kubernetes Cluster 1 อัน
  • Database PostgreSQL บน RDS
  • Internal Dashboard เช่น Grafana, Metabase

    • ปัญหาที่เกิดขึ้นบ่อย:

    | ปัญหา | ความเสี่ยง |

    |---|---|

    | SSH Key ของพนักงานเก่ายังอยู่ในเครื่อง | คนที่ลาออกแล้วยังเข้าได้ |

    | ใช้ Password ฐานข้อมูลร่วมกัน | ไม่รู้ใคร DELETE ข้อมูล |

    | ไม่มี Audit Log ว่าใครรัน Command อะไร | สอบสวนเหตุการณ์ไม่ได้ |

    | VPN เปิด Tunnel กว้างเกินจำเป็น | Lateral Movement ง่าย |

    Teleport แก้ปัญหานี้ด้วย Identity-Aware Access — ทุกการเชื่อมต่อต้องผูกกับ Identity (จาก Google Workspace, Microsoft Entra, Okta) และได้ Certificate อายุสั้นมาก (default 12 ชั่วโมง) เป็นครั้ง ๆ ไป

    สถาปัตยกรรมของ Teleport

    Teleport มีคอมโพเนนต์หลัก 3 ส่วน:

  • Auth Service — Certificate Authority (CA) ออก SSH/X.509 Certificate, เก็บ Audit Log, Sync RBAC
  • Proxy Service — เป็น Gateway สาธารณะที่ผู้ใช้ติดต่อ ทำหน้าที่ Reverse Tunnel ไปยัง Resource
  • Agent (tsh / Web UI / tctl) — ติดตั้งบนเครื่องที่เข้าถึง resources

    • ทุก Server, Kubernetes Cluster, Database จะ register ตัวเองกับ Auth Service ผ่าน Reverse Tunnel — แปลว่าไม่ต้องเปิด SSH Port (22) ออกอินเทอร์เน็ตเลย ลด Attack Surface ได้มหาศาล

    คุณสมบัติเด่นของ Teleport (Open-Source Edition)

  • **Single Sign-On** ผ่าน OIDC / SAML / Google Workspace
  • **Short-Lived Certificate** — เลือกได้ 1 ชม. ถึง 30 วัน
  • **Per-Session MFA** — Yubikey, TOTP, WebAuthn
  • **Session Recording** — ดู Replay การ SSH ย้อนหลังได้
  • **Role-Based Access Control (RBAC)** ละเอียดระดับ Command
  • **Just-In-Time (JIT) Access Requests** — Dev ขอ Approve เข้า Prod ได้แบบมีเวลาจำกัด (Enterprise)
  • **Multi-Protocol Support** — SSH, Kubectl, RDP, MySQL/Postgres/MongoDB, HTTP

    • เปรียบเทียบกับโซลูชันอื่น

    | Feature | Teleport OSS | Bastion + SSH Key | AWS SSM | OpenVPN / WireGuard |

    |---|---|---|---|---|

    | Identity-Aware | ✅ | ❌ | ⚠️ | ❌ |

    | Short-Lived Cert | ✅ | ❌ | ✅ | ❌ |

    | Session Recording | ✅ | ❌ | ✅ | ❌ |

    | Multi-Protocol | ✅ (SSH, K8s, DB, Web) | ❌ | ⚠️ (SSH only) | ⚠️ (Network) |

    | Self-Hosted ฟรี | ✅ | ✅ | ❌ (AWS-only) | ✅ |

    | Audit Log | ✅ | ❌ | ✅ | ⚠️ |

    | Cost (10 nodes) | $0 | $0 | $0 | $0 |

    จุดเด่นของ Teleport คือ เป็น Open-Source แท้ (Apache 2.0 license) สามารถใช้ฟรีไม่จำกัดจำนวน Node ใน Self-Hosted Edition และเป็น Multi-Protocol จริงไม่ใช่แค่ SSH

    How-to: Deploy Teleport บน SME ใน 6 ขั้นตอน

    ตัวอย่าง Setup สำหรับองค์กรที่มี 20 servers + 1 Kubernetes Cluster:

    1. ติดตั้ง Teleport Cluster (Auth + Proxy รวมกัน)

    ```bash

    curl https://goteleport.com/static/install.sh | bash -s 16.0.0

    sudo teleport configure -o /etc/teleport.yaml \

    --cluster-name=teleport.adsfit.co.th \

    --public-addr=teleport.adsfit.co.th:443 \

    --acme --acme-email=ops@adsfit.co.th

    sudo systemctl enable --now teleport

    ```

    2. ตั้งค่า DNS + TLS ผ่าน Let's Encrypt อัตโนมัติด้วย flag `--acme`

    3. เชื่อมต่อ SSO กับ Google Workspace (สำหรับทีมที่ใช้ Gmail org อยู่แล้ว)

    ```yaml

    auth_service:

    authentication:

    type: oidc

    second_factor: webauthn

    ```

    4. ติดตั้ง Agent บน Server แต่ละเครื่อง

    ```bash

    sudo teleport node configure \

    --auth-server=teleport.adsfit.co.th:443 \

    --token=<token> > /etc/teleport.yaml

    sudo systemctl enable --now teleport

    ```

    5. เพิ่ม Kubernetes Cluster

    ```bash

    helm install teleport-agent teleport/teleport-kube-agent \

    --set roles=kube,db \

    --set proxyAddr=teleport.adsfit.co.th:443 \

    --set authToken=<kube-token>

    ```

    6. กำหนด Role-Based Access

    ```yaml

    kind: role

    metadata:

    name: dev-readonly

    spec:

    allow:

    logins: [readonly]

    node_labels:

    env: ['staging']

    kubernetes_groups: ['view']

    db_users: ['readonly']

    ```

    หลังจาก Deploy เสร็จ ผู้ใช้แค่รัน `tsh login --proxy=teleport.adsfit.co.th` แล้วใช้ `tsh ssh user@hostname` ทดแทน `ssh -i key.pem` ได้ทันที

    Best Practices สำหรับ Production

  • เปิด Session MFA สำหรับ Production — Per-session WebAuthn ป้องกัน Credential Theft
  • ตั้ง Cert TTL ที่เหมาะสม — Default 12 ชม. หรือสั้นกว่าสำหรับสภาพแวดล้อมที่อ่อนไหว
  • ใช้ Trusted Cluster — แยก Cluster ของ Production / Staging ออกจากกัน
  • Centralized Audit Log — ส่ง Event ไป SIEM เช่น Wazuh, Loki, Splunk
  • Backup etcd / Auth State — เพราะ Auth Service เก็บ CA Key สำคัญ
  • Enable Bastion Host Hardening — Proxy ควรมี Firewall, Fail2ban, OS Hardening

    • สรุป — ทำไม Teleport ถึงเหมาะกับ SME ไทย 2026

    Teleport ทำให้ SME สามารถสร้างมาตรฐาน Zero Trust Access แบบ Enterprise ได้โดยใช้ Open-Source ฟรี ไม่ต้องเสียค่า License Per User เหมือน BeyondTrust, CyberArk หรือ AWS SSM ที่ผูกอยู่กับ Cloud Provider เดียว

    จุดที่น่าสนใจ:

  • ลด Attack Surface — ไม่ต้องเปิด Port 22 / 3389 ออกอินเทอร์เน็ต
  • ลดภาระ IT — ไม่ต้องตามลบ SSH Key พนักงานที่ลาออก
  • เพิ่ม Auditability — ตอบโจทย์ PDPA, ISO 27001, SOC 2
  • Scale ได้ — ตั้งแต่ 5 servers ไปจนถึงหลักพัน Node
  • Multi-Cloud Friendly — รวม AWS + GCP + On-Prem ภายใต้ Identity เดียว

    • หากองค์กรของคุณยังใช้ SSH Key + Password Excel + VPN แบบเดิม ลอง Pilot Teleport บน Staging Environment สัก 1 สัปดาห์ คุณจะรู้สึกถึงความแตกต่างทั้งในด้านความปลอดภัยและ Developer Experience

    ทีม ADS FIT พร้อมช่วย SME ไทย Plan, Deploy และ Operate Teleport Cluster ตามมาตรฐาน Production ตั้งแต่ Day 1 — [ติดต่อเรา](/#contact) เพื่อรับคำแนะนำเฉพาะองค์กร หรืออ่านบทความที่เกี่ยวข้อง เช่น คู่มือ WireGuard VPN, Authentik SSO, และ OpenSSH Bastion Hardening

    Tags

    #Teleport#Zero Trust#SSH Bastion#Identity-Aware Proxy#Open-Source#DevSecOps

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🌐

    GoAccess 2026: Real-Time Web Log Analyzer Open-Source สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    Multicast IP Networking 2026: คู่มือ IGMP PIM Routing สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    EMQX vs Mosquitto 2026: คู่มือเลือก MQTT Broker สำหรับระบบ IoT SME ไทย

    7 พฤษภาคม 2569 · 9 นาที