📋 Contenido
⚡ Veredicto rápido
**Teleport es la mejor opción para reemplazar VPN + bastión SSH + acceso K8s + DB proxies con una sola plataforma zero trust**. Su versión open source cubre todas las funcionalidades clave (certificados efímeros, RBAC, MFA, session recording). Para deployments grandes y compliance estricto (FedRAMP, IL5) hace falta tier comercial. La curva de aprendizaje es real — la configuración inicial de roles, traits y políticas requiere inversión.
✓ Puntos fuertes
- Una sola plataforma para SSH, K8s, DB, apps y desktops (RDP/VNC)
- Certificados efímeros (TTL 1h-30d) — adiós a llaves SSH long-lived
- Session recording completo + replay (auditoría enterprise lista)
- Soporte SSO (SAML, OIDC) y MFA hardware (FIDO2, YubiKey)
- Comunidad Community activa con buena cobertura de features
✗ Puntos débiles
- Configuración avanzada (RBAC + traits) requiere tiempo de aprendizaje
- Cluster Teleport en HA es complejo de operar (etcd / DynamoDB backend)
- Algunos features avanzados (Device Trust, Identity Locking) solo en Enterprise
- El acceso 'agentless' aún tiene limitaciones para ciertos protocols
Puntuación SecOpsIA: ★★★★½ 4.6/5
Qué es Teleport
Teleport es el access proxy open source que reemplaza VPN, bastiones SSH, proxies de base de datos y dashboards de Kubernetes con una sola plataforma. Fundada en 2015 por Ev Kontsevoy, Sasha Klizhentas y Taylor Wakefield (ex-RackN), Gravitational (rebautizada Teleport en 2021) es referencia en zero trust access.
La idea central: los humanos no acceden a infraestructura con llaves persistentes. Cada acceso (SSH, kubectl, psql) se autentica vía SSO + MFA, recibe un certificado efímero firmado por Teleport y queda grabado para auditoría. Las llaves long-lived desaparecen — y con ellas la mayor superficie de ataque histórica del SOC.
Ficha técnica
| Categoría | Zero Trust Access Proxy / PAM moderno |
|---|---|
| Licencia | AGPL v3 (Community) + comercial (Enterprise / Cloud) |
| Desarrollador | Gravitational / Teleport |
| Lanzamiento | 2016 |
| Versión actual | 16.x (2026) |
| Lenguajes | Go |
| Protocolos | SSH, Kubernetes API, PostgreSQL/MySQL/MongoDB/Redis/Snowflake, HTTPS, RDP/VNC, Windows Desktop |
| Identidad | SSO SAML/OIDC, MFA TOTP/WebAuthn/U2F |
| Backend | etcd, DynamoDB, PostgreSQL, Firestore |
| Compliance | FedRAMP Moderate (Enterprise Cloud), SOC 2, PCI DSS, HIPAA |
| API | gRPC + REST + Terraform provider oficial |
| Web oficial | goteleport.com |
Qué problemas resuelve
Teleport ataca tres problemas históricos:
1. VPN para acceder a backend
Las VPN tradicionales (OpenVPN, IPsec) dan acceso a una red entera. Si un atacante compromete las credenciales VPN, se mueve lateralmente. Teleport autentica y autoriza cada conexión a recursos específicos.
2. Llaves SSH long-lived
Las llaves SSH típicas no rotan. Si una se filtra (laptop perdido, repo público), el atacante tiene acceso indefinido. Teleport emite certificados con TTL configurable (1h por defecto) sobre la misma identidad SSO.
3. Acceso a K8s y bases de datos
El kubectl con kubeconfig estático y el psql con credenciales en .pgpass tienen el mismo problema. Teleport actúa como proxy autenticado para ambos, con audit log completo de comandos ejecutados.
Arquitectura
Teleport tiene tres servicios principales:
| Servicio | Función |
|---|---|
| Auth Service | CA interna que emite certificados. Mantiene RBAC y users/roles. |
| Proxy Service | Endpoint público al que se conectan usuarios (tsh, web UI). Single point of contact. |
| Nodes / Agents | Servidores SSH, K8s, DB que registran y dialogan con el Proxy. |
Ejemplo de flujo SSH:
- Usuario ejecuta
tsh login --proxy=teleport.company.com. - Teleport redirige al IdP (Okta/AzureAD), valida MFA.
- Auth Service emite certificado SSH efímero (1h).
tsh ssh user@serverusa ese certificado contra el Proxy.- Proxy reenvía la conexión al Node, registrando todo (comandos, archivos transferidos, video del PTY).
RBAC y roles
Teleport modela permisos en roles YAML que se asignan a usuarios via SSO traits. Ejemplo:
kind: role
version: v7
metadata:
name: dev-staging
spec:
allow:
logins: ["{{external.username}}"]
node_labels:
env: staging
kubernetes_labels:
env: staging
db_labels:
env: staging
rules:
- resources: ["session"]
verbs: ["read", "list"]
deny:
node_labels:
env: production
Este role permite acceso SSH/K8s/DB solo a recursos etiquetados env: staging, deniega producción explícitamente y permite ver session recordings.
La potencia está en traits dinámicos: variables del IdP (external.username, external.groups, external.team) se interpolan, permitiendo políticas como "cada developer puede SSH a servidores con label owner: {{external.username}}".
Despliegue rápido (laboratorio)
Instalación de un cluster Teleport con Docker Compose para evaluación:
# Single-node Teleport (Auth + Proxy + Node, no para producción)
docker run -d --name teleport \
-p 3025:3025 -p 3080:3080 -p 3023:3023 \
-v ~/teleport/config:/etc/teleport \
-v ~/teleport/data:/var/lib/teleport \
public.ecr.aws/gravitational/teleport-distroless:16 \
start --acme --acme-email=admin@example.com
Producción: separar Auth (HA, mínimo 3 nodos con backend distribuido), Proxy (LB delante), Nodes en cada servidor. Para grandes deployments, Teleport Cloud (SaaS gestionado por Teleport) ahorra mucha operación.
Login desde laptop:
brew install teleport
tsh login --proxy=teleport.example.com --auth=okta
tsh ssh user@web-1.staging
tsh kube login k8s-staging
tsh db connect postgres-staging
Precios y modelo de negocio
| Precio | Incluye | |
|---|---|---|
| Community | Gratis (AGPL v3) | SSH, K8s, DB, Apps, RDP, session recording, audit, RBAC |
| Teleport Enterprise (self-hosted) | Bajo demanda | Device Trust, Access Requests con workflow, FedRAMP, soporte |
| Teleport Cloud | Desde ~12 USD/usuario/mes | Todo Enterprise gestionado por Teleport (multitenant) |
Preguntas frecuentes
¿Teleport reemplaza realmente a la VPN?
Para acceso a SSH, K8s, DB y apps internas vía HTTPS, sí. Para tráfico genérico de red (impresoras corporativas, broadcast LAN, protocolos no soportados), aún necesitas VPN o Tailscale en paralelo.
¿Cuál es la diferencia entre Teleport y Tailscale?
Tailscale es VPN mesh basada en WireGuard — da conectividad de red plana entre nodos. Teleport es access proxy — autentica y audita cada conexión a recursos específicos. Son complementarios; muchas empresas usan Tailscale para red + Teleport para acceso administrativo.
¿Teleport Community sirve para producción?
Sí, ampliamente. Las funcionalidades que se quedan en Enterprise son: Device Trust (verificar postura del dispositivo), Access Requests workflow (just-in-time con aprobación), compliance FedRAMP, y soporte comercial. Si no necesitas eso, Community es completo.
¿Se puede integrar Teleport con un IdP existente?
Sí — Teleport soporta SAML 2.0 y OIDC. Integraciones documentadas con Okta, Azure AD, Google Workspace, OneLogin, JumpCloud, Authentik, Keycloak. El usuario solo necesita login en su IdP, Teleport delega autenticación y mapea grupos a roles.