SpanKey SSH-Schlüsselserver

SpanKey SSH-Schlüsselserververwaltung

Zentralisierte Linux-Authentifizierung

spankey

Die IT-Infrastruktur der meisten mittelständischen bis großen Unternehmen beruht auf Linux- und/oder UNIX-Server.

Der Zugriff auf Linux-Server wird in der Regel mit SSH-Zugriff sowohl für die Administration als auch für das Host-to-Host-Skripting realisiert. Das SSH-Protokoll ist sehr sicher und äußerst praktisch für die Serververwaltung. Für das SSH-Management mit kritischen/Produktionssystemen wird jedoch empfohlen, ein zusätzliches Sicherheitsblatt hinzuzufügen.
RCDevs bietet diese zusätzlichen Sicherheitsebenen durch die Kombination Öffentliche SSH-Schlüssel und Multi-Faktor-Authentifizierung (MFA).
RCDevs hilft Ihnen dabei

Verwalten SSH-Schlüssel zentral

Spankey SSH zentral verwalten
Die SpanKey-Lösung von RCDevs bietet ein erweitertes SSH-Schlüssellebenszyklus-Management. Dazu gehören Self-Services für die webbasierte Selbstregistrierung von SSH-Schlüsseln mit privaten Software- und Hardware-Schlüsseln, automatisierte Schlüsselverteilung, Prüfung unerwünschter Zugriffe und automatische Erneuerungs-Workflows für veraltete öffentliche Schlüssel.
SpanKey ist die zentrale SSH-Schlüsseldienstkomponente für OpenSSH, bei der die öffentlichen Schlüssel in Ihrem zentralen LDAP-Verzeichnis (zB Active Directory) gespeichert werden. Mit SpanKey müssen die öffentlichen Schlüssel nicht auf den Servern verteilt, manuell verfallen oder gepflegt werden. Stattdessen wird der SpanKey-Agent auf den Linux-Zielservern bereitgestellt und ist dafür verantwortlich, die öffentlichen Schlüssel der Benutzer bei Bedarf bereitzustellen. Der SpanKey-Server bietet Zugriffskontrolle pro Host mit „Server-Tagging“, LDAP-Zugriffsgruppen, Verwaltung über die RCDevs WebADM-Konsole, gemeinsame Konten, privilegierte Benutzer (Hauptschlüssel), Wiederherstellungsschlüssel.
Die SpanKey-Lösung wurde entwickelt, um selbst die größten IT-Umgebungen zu unterstützen.
Einfache Schlüsselregistrierung mit Self-Services
Die Self-Service-Anwendungen von RCDevs beinhalten eine SSH-Schlüsselverwaltungsfunktion, die es Benutzern ermöglicht, ihr eigenes SSH-Schlüsselpaar zu erstellen und den zugehörigen öffentlichen Schlüssel automatisch auf dem SpanKey-Server registrieren zu lassen. Die Liste der erlaubten SSH-Schlüsseltypen (RSA/ECC/DSA) und die Schlüssellänge (Anzahl der Bits) ist auf dem SpanKey-Server konfigurierbar. Der Self-Service generiert ein neues Schlüsselpaar und stellt den privaten Schlüssel sicher in verschiedenen Formaten bereit, darunter PuTTY und OpenSSH. Eine Richtlinienkonfiguration kann optional den Passphrasenschutz erzwingen. Der Self-Service-Zugang kann durch eine OTP-Login-Methode mit OpenOTP von RCDevs geschützt werden.
Grafische Sitzungsaufzeichnung
Mit SpanKey werden Terminalsitzungen überwacht und aufgezeichnet. Inaktive Sitzungen werden nach einer konfigurierbaren Zeit automatisch gesperrt und eine Benutzerkennwortabfrage wird zum Entsperren verwendet. Aber noch wichtiger ist, dass Terminalbenutzersitzungen live in der sicheren Datensatzdatenbank von WebADM aufgezeichnet werden. Sitzungen werden entweder in der SQL-Datenbank oder auf einem NAS-Mount verschlüsselt gespeichert. Zu Prüfungs- und Untersuchungszwecken können Sie Terminalsitzungen auch mit dem Sitzungsplayer in WebADM erneut abspielen. SpanKey kann eine eintägige SSH-Sitzung nur mit 3 MByte aufzeichnen! Im Gegensatz zu Lösungen von Mitbewerbern, bei denen die Aufnahme schnell einen hohen Speicherplatzbedarf hat, können Sie mit SpanKey Ihre Audit-Informationen jahrelang aufbewahren, ohne zusätzliche Terabyte zu benötigen.
Automatisierter Ablauf des öffentlichen Schlüssels
Das Ablaufen von SSH-Schlüsseln nach einer bestimmten Zeit ist erforderlich, um ein gewisses Maß an Vertrauen für die Benutzerschlüssel zu gewährleisten und die ISO- oder PCI-Vorschriften einzuhalten. Wenn SpanKey mit Schlüsselablauf konfiguriert ist, werden die Benutzer automatisch nach Ablauf ihrer öffentlichen Zeit benachrichtigt. Es wird eine E-Mail mit einem Erneuerungslink gesendet, der es ihnen ermöglicht, ihren gerade abgelaufenen öffentlichen Schlüssel selbst zu erneuern.
Unterstützung für gemeinsames Konto
Gemeinsame Konten sind bei der Verwendung von SSH in Unternehmen weit verbreitet. Ein gemeinsames Konto (wie 'root' oder ein 'webmaster'-Benutzer) ist ein Systemkonto, das von mehreren Administratoren gleichzeitig verwendet wird. In SpanKey können Sie jeden generischen LDAP-Benutzer in ein gemeinsam genutztes SSH-Konto umwandeln, indem Sie dieses Konto einfach mit einer „LDAP-Gruppe mit gemeinsam genutztem Zugriff“ verknüpfen. Dann erhalten alle Mitglieder der Gruppe mit ihrem eigenen SSH-Schlüssel Zugriff auf das gemeinsame Konto.
Hauptschlüssel und Wiederherstellungsschlüssel
In SpanKey können Sie Mastergruppen definieren, in denen die Mitglieder der Gruppe als Superuser betrachtet werden und mit ihrem SSH-Schlüssel auf jedes andere SpanKey-Konto zugreifen können. Eine Mastergruppe kann für verschiedene Gruppen von Zielservern über WebADM-Clientrichtlinien unterschiedlich konfiguriert werden. Standardmäßig löschen die SpanKey-Agenten die Datei "authorized_keys" der Benutzer zur Laufzeit, um zu verhindern, dass Benutzer nicht übergebene öffentliche Schlüssel hinzufügen. Wenn Wiederherstellungsschlüssel konfiguriert sind, werden diese Schlüssel zu Wiederherstellungszwecken automatisch in die Datei "authorized_keys" des Benutzers geschrieben (falls der SpanKey-Agent nicht mit dem SpanKey-Server kommunizieren kann).
HSMs und Hardware-SSH-Geräte
Wenn HSMs (z. B. YubiHSM) in WebADM verwendet werden, verwendet die Erzeugung des privaten SSH-Schlüssels die echte zufällige Erzeugung des HSM, um die erforderliche Entropie (zufällige Bytes) zu sammeln, die in dem SSH-Schlüsselpaar-Erstellungsprozess verwendet wird. SpanKeys verwendet HSMs sowohl für die RSA- als auch für die ECC-(Elliptic Curve)-Schlüsselgenerierung. SpanKey unterstützt Hardwaregeräte wie Smartcards und die Yubikeys v4 mit PIV Applet. Bei Hardware-SSH-Geräten gibt es keine private SSH-Schlüsseldatei; die Benutzer müssen das Gerät nur an den USB-Port anschließen, um Remote-Server mit SSH zu verbinden.
Die Architektur Diagramm von

SpanKey-Server und SpanKey OpenSSH-Agent

Spankey-Architektur
Sehen Sie, wie einfach es ist, SpanKey Server zu integrieren:
Spankey SSH Key Management Server installieren und konfigurieren Key

Spankey v1

Spankey v2

Wo kann man SpanKey verwenden:

Der SpanKey-Server läuft auf Ihrem WebADM-Cluster und ist mit Ihrem Active Directory oder einem anderen LDAP-Verzeichnis verbunden. Der SpanKey-Agent für Linux wird als RPM- und DEB-Paket bereitgestellt. Es kann verwendet werden auf:
Oracle / RedHat / Centos-Server
Debian / Ubuntu
Suse Linux
UNIX / BSD MacOS

Algorithmen für öffentliche Schlüssel:

SpanKey unterstützt die Industriestandards für die Public-Key-basierte Authentifizierung mit OpenSSH:
RSA mit 1024, 2048 und 4096 Bit
ECC (Elliptische Kurve) mit 256, 384 und 521 Bit
DSA Nur mit 1024 Bit

Überprüfen Sie die SSH-Self-Service-Funktionen

Um eine Online-Demo anzufordern, müssen Sie nur Ihr Konto erstellen oder uns kontaktieren.

Online-Demos sind kostenlos verfügbar, damit Sie RCDevs Multi-Faktor in 5 Minuten ausprobieren und sich mit Ihrem Handy oder Yubikey authentifizieren können.
de_DEDE