Einfache Schlüsselregistrierung mit Self-Services
Die Self-Service-Anwendungen von RCDevs beinhalten eine SSH-Schlüsselverwaltungsfunktion, die es Benutzern ermöglicht, ihr eigenes SSH-Schlüsselpaar zu erstellen und den zugehörigen öffentlichen Schlüssel automatisch auf dem SpanKey-Server registrieren zu lassen. Die Liste der erlaubten SSH-Schlüsseltypen (RSA/ECC/DSA) und die Schlüssellänge (Anzahl der Bits) ist auf dem SpanKey-Server konfigurierbar. Der Self-Service generiert ein neues Schlüsselpaar und stellt den privaten Schlüssel sicher in verschiedenen Formaten bereit, darunter PuTTY und OpenSSH. Eine Richtlinienkonfiguration kann optional den Passphrasenschutz erzwingen. Der Self-Service-Zugang kann durch eine OTP-Login-Methode mit OpenOTP von RCDevs geschützt werden.
Grafische Sitzungsaufzeichnung
Mit SpanKey werden Terminalsitzungen überwacht und aufgezeichnet. Inaktive Sitzungen werden nach einer konfigurierbaren Zeit automatisch gesperrt und eine Benutzerkennwortabfrage wird zum Entsperren verwendet. Aber noch wichtiger ist, dass Terminalbenutzersitzungen live in der sicheren Datensatzdatenbank von WebADM aufgezeichnet werden. Sitzungen werden entweder in der SQL-Datenbank oder auf einem NAS-Mount verschlüsselt gespeichert. Zu Prüfungs- und Untersuchungszwecken können Sie Terminalsitzungen auch mit dem Sitzungsplayer in WebADM erneut abspielen. SpanKey kann eine eintägige SSH-Sitzung nur mit 3 MByte aufzeichnen! Im Gegensatz zu Lösungen von Mitbewerbern, bei denen die Aufnahme schnell einen hohen Speicherplatzbedarf hat, können Sie mit SpanKey Ihre Audit-Informationen jahrelang aufbewahren, ohne zusätzliche Terabyte zu benötigen.
Automatisierter Ablauf des öffentlichen Schlüssels
Das Ablaufen von SSH-Schlüsseln nach einer bestimmten Zeit ist erforderlich, um ein gewisses Maß an Vertrauen für die Benutzerschlüssel zu gewährleisten und die ISO- oder PCI-Vorschriften einzuhalten. Wenn SpanKey mit Schlüsselablauf konfiguriert ist, werden die Benutzer automatisch nach Ablauf ihrer öffentlichen Zeit benachrichtigt. Es wird eine E-Mail mit einem Erneuerungslink gesendet, der es ihnen ermöglicht, ihren gerade abgelaufenen öffentlichen Schlüssel selbst zu erneuern.
Bedingter Zugriff
Der bedingte Zugriff basiert auf zwei Schlüsselmethoden:
Vereinbarungsbasierter logischer Zugriff stellt sicher, dass Benutzer bestimmten Bedingungen oder Richtlinien zustimmen, bevor sie Zugriff erhalten, und fördert so die Einhaltung.
Anwesenheitsbasierter logischer Zugriff nutzt Echtzeit-Standort- oder Gerätedaten, um Zugriff auf der Grundlage kontextbezogener Kriterien wie Netzwerkstandort oder Gerätevertrauenswürdigkeit zu gewähren. Diese Methoden erhöhen die Sicherheit, indem sie die Bestätigung von Vereinbarungen mit Kontextfaktoren kombinieren und Unternehmen dabei helfen, strenge Zugangskontrollen durchzusetzen und kritische Vermögenswerte zu schützen.
Unterstützung für gemeinsames Konto
Gemeinsame Konten sind bei der Verwendung von SSH in Unternehmen weit verbreitet. Ein gemeinsames Konto (wie 'root' oder ein 'webmaster'-Benutzer) ist ein Systemkonto, das von mehreren Administratoren gleichzeitig verwendet wird. In SpanKey können Sie jeden generischen LDAP-Benutzer in ein gemeinsam genutztes SSH-Konto umwandeln, indem Sie dieses Konto einfach mit einer „LDAP-Gruppe mit gemeinsam genutztem Zugriff“ verknüpfen. Dann erhalten alle Mitglieder der Gruppe mit ihrem eigenen SSH-Schlüssel Zugriff auf das gemeinsame Konto.
Zentralisierte Prüfregeln und Protokolle
Durch die Integration von SpanKey Server in WebADM-Client-Richtlinien erhalten Sie die Möglichkeit, Auditd-Regeln zentral einzurichten und zu verwalten und so deren Durchsetzung bei SSH-Authentifizierungen sicherzustellen. Darüber hinaus ermöglicht dieses Setup die Erfassung von Protokollen aller SpanKey-Clients und erleichtert deren Übertragung an den SpanKey-Server, der sie dann nahtlos an ein SIEM-System zur umfassenden Sicherheitsanalyse und -überwachung weiterleiten kann.
Hauptschlüssel und Wiederherstellungsschlüssel
In SpanKey können Sie Mastergruppen definieren, in denen die Mitglieder der Gruppe als Superuser betrachtet werden und mit ihrem SSH-Schlüssel auf jedes andere SpanKey-Konto zugreifen können. Eine Mastergruppe kann für verschiedene Gruppen von Zielservern über WebADM-Clientrichtlinien unterschiedlich konfiguriert werden. Standardmäßig löschen die SpanKey-Agenten die Datei "authorized_keys" der Benutzer zur Laufzeit, um zu verhindern, dass Benutzer nicht übergebene öffentliche Schlüssel hinzufügen. Wenn Wiederherstellungsschlüssel konfiguriert sind, werden diese Schlüssel zu Wiederherstellungszwecken automatisch in die Datei "authorized_keys" des Benutzers geschrieben (falls der SpanKey-Agent nicht mit dem SpanKey-Server kommunizieren kann).
HSMs und Hardware-SSH-Geräte
Wenn HSMs (z. B. YubiHSM) in WebADM verwendet werden, verwendet die Erzeugung des privaten SSH-Schlüssels die echte zufällige Erzeugung des HSM, um die erforderliche Entropie (zufällige Bytes) zu sammeln, die in dem SSH-Schlüsselpaar-Erstellungsprozess verwendet wird. SpanKeys verwendet HSMs sowohl für die RSA- als auch für die ECC-(Elliptic Curve)-Schlüsselgenerierung. SpanKey unterstützt Hardwaregeräte wie Smartcards und die Yubikeys v4 mit PIV Applet. Bei Hardware-SSH-Geräten gibt es keine private SSH-Schlüsseldatei; die Benutzer müssen das Gerät nur an den USB-Port anschließen, um Remote-Server mit SSH zu verbinden.