SpanKey SSH-Schlüsselserver

SpanKey SSH-Schlüsselserver

Zentralisierte Linux-Authentifizierung

Die IT-Infrastruktur der meisten Organisationen basiert auf Linux

und Unix-Server.

Der Linux-Serverzugriff wird im Allgemeinen mit SSH sowohl für die Verwaltung als auch für das Host-to-Host-Scripting implementiert. Das SSH-Protokoll ist sicher und äußerst praktisch für die Serververwaltung.
Das Hinzufügen einer zusätzlichen Sicherheitsebene wird für die SSH-Verwaltung mit kritischen/produktiven Systemen empfohlen.
RCDevs Security bietet diese zusätzlichen Sicherheitsebenen durch Kombination Öffentliche SSH-Schlüssel und Multi-Faktor-Authentifizierung (MFA).

RCDevs hilft Ihnen dabei

Zentral verwalten SSH-Schlüssel

Spankey SSH zentral verwalten
Die SpanKey-Lösung von RCDevs bietet ein erweitertes SSH-Schlüssellebenszyklusmanagement. Dazu gehören Self-Services für die webbasierte Selbstregistrierung von SSH-Schlüsseln mit privaten Software- und Hardwareschlüsseln, die automatisierte Schlüsselverteilung, die Überwachung unerwünschter Zugriffe und Workflows zur automatischen Verlängerung veralteter öffentlicher Schlüssel.
SpanKey ist die zentralisierte SSH-Schlüsseldienstkomponente für OpenSSH, bei der die öffentlichen Schlüssel in Ihrem zentralen LDAP-Verzeichnis (z. B. Active Directory) gespeichert werden. Mit SpanKey müssen die öffentlichen Schlüssel nicht auf den Servern verteilt, manuell abgelaufen oder gepflegt werden.
Stattdessen wird der SpanKey-Agent auf den Ziel-Linux-Servern bereitgestellt und ist für die Bereitstellung der öffentlichen Schlüssel der Benutzer bei Bedarf verantwortlich. SpanKey-Server bietet Zugriffskontrolle pro Host mit „Server-Tagging“, LDAP-Zugriffsgruppen, Verwaltung über die RCDevs WebADM-Konsole, gemeinsam genutzte Konten, privilegierte Benutzer (Hauptschlüssel), Wiederherstellungsschlüssel.

Unsere SpanKey-Lösung ist darauf ausgelegt, selbst die größten IT-Bestände zu unterstützen.
Einfache Schlüsselregistrierung mit Self-Services
Die Self-Service-Anwendungen von RCDevs beinhalten eine SSH-Schlüsselverwaltungsfunktion, die es Benutzern ermöglicht, ihr eigenes SSH-Schlüsselpaar zu erstellen und den zugehörigen öffentlichen Schlüssel automatisch auf dem SpanKey-Server registrieren zu lassen. Die Liste der erlaubten SSH-Schlüsseltypen (RSA/ECC/DSA) und die Schlüssellänge (Anzahl der Bits) ist auf dem SpanKey-Server konfigurierbar. Der Self-Service generiert ein neues Schlüsselpaar und stellt den privaten Schlüssel sicher in verschiedenen Formaten bereit, darunter PuTTY und OpenSSH. Eine Richtlinienkonfiguration kann optional den Passphrasenschutz erzwingen. Der Self-Service-Zugang kann durch eine OTP-Login-Methode mit OpenOTP von RCDevs geschützt werden.
Grafische Sitzungsaufzeichnung
Mit SpanKey werden Terminalsitzungen überwacht und aufgezeichnet. Inaktive Sitzungen werden nach einer konfigurierbaren Zeit automatisch gesperrt und eine Benutzerkennwortabfrage wird zum Entsperren verwendet. Aber noch wichtiger ist, dass Terminalbenutzersitzungen live in der sicheren Datensatzdatenbank von WebADM aufgezeichnet werden. Sitzungen werden entweder in der SQL-Datenbank oder auf einem NAS-Mount verschlüsselt gespeichert. Zu Prüfungs- und Untersuchungszwecken können Sie Terminalsitzungen auch mit dem Sitzungsplayer in WebADM erneut abspielen. SpanKey kann eine eintägige SSH-Sitzung nur mit 3 MByte aufzeichnen! Im Gegensatz zu Lösungen von Mitbewerbern, bei denen die Aufnahme schnell einen hohen Speicherplatzbedarf hat, können Sie mit SpanKey Ihre Audit-Informationen jahrelang aufbewahren, ohne zusätzliche Terabyte zu benötigen.
Automatisierter Ablauf des öffentlichen Schlüssels
Das Ablaufen von SSH-Schlüsseln nach einer bestimmten Zeit ist erforderlich, um ein gewisses Maß an Vertrauen für die Benutzerschlüssel zu gewährleisten und die ISO- oder PCI-Vorschriften einzuhalten. Wenn SpanKey mit Schlüsselablauf konfiguriert ist, werden die Benutzer automatisch nach Ablauf ihrer öffentlichen Zeit benachrichtigt. Es wird eine E-Mail mit einem Erneuerungslink gesendet, der es ihnen ermöglicht, ihren gerade abgelaufenen öffentlichen Schlüssel selbst zu erneuern.
Bedingter Zugriff
Der bedingte Zugriff basiert auf zwei Schlüsselmethoden: Vereinbarungsbasierter logischer Zugriff stellt sicher, dass Benutzer bestimmten Bedingungen oder Richtlinien zustimmen, bevor sie Zugriff erhalten, und fördert so die Einhaltung. Anwesenheitsbasierter logischer Zugriff nutzt Echtzeit-Standort- oder Gerätedaten, um Zugriff auf der Grundlage kontextbezogener Kriterien wie Netzwerkstandort oder Gerätevertrauenswürdigkeit zu gewähren. Diese Methoden erhöhen die Sicherheit, indem sie die Bestätigung von Vereinbarungen mit Kontextfaktoren kombinieren und Unternehmen dabei helfen, strenge Zugangskontrollen durchzusetzen und kritische Vermögenswerte zu schützen.
Unterstützung für gemeinsames Konto
Gemeinsame Konten sind bei der Verwendung von SSH in Unternehmen weit verbreitet. Ein gemeinsames Konto (wie 'root' oder ein 'webmaster'-Benutzer) ist ein Systemkonto, das von mehreren Administratoren gleichzeitig verwendet wird. In SpanKey können Sie jeden generischen LDAP-Benutzer in ein gemeinsam genutztes SSH-Konto umwandeln, indem Sie dieses Konto einfach mit einer „LDAP-Gruppe mit gemeinsam genutztem Zugriff“ verknüpfen. Dann erhalten alle Mitglieder der Gruppe mit ihrem eigenen SSH-Schlüssel Zugriff auf das gemeinsame Konto.
Zentralisierte Prüfregeln und Protokolle
Durch die Integration von SpanKey Server in WebADM-Client-Richtlinien erhalten Sie die Möglichkeit, Auditd-Regeln zentral einzurichten und zu verwalten und so deren Durchsetzung bei SSH-Authentifizierungen sicherzustellen. Darüber hinaus ermöglicht dieses Setup die Erfassung von Protokollen aller SpanKey-Clients und erleichtert deren Übertragung an den SpanKey-Server, der sie dann nahtlos an ein SIEM-System zur umfassenden Sicherheitsanalyse und -überwachung weiterleiten kann.
Hauptschlüssel und Wiederherstellungsschlüssel
In SpanKey können Sie Mastergruppen definieren, in denen die Mitglieder der Gruppe als Superuser betrachtet werden und mit ihrem SSH-Schlüssel auf jedes andere SpanKey-Konto zugreifen können. Eine Mastergruppe kann für verschiedene Gruppen von Zielservern über WebADM-Clientrichtlinien unterschiedlich konfiguriert werden. Standardmäßig löschen die SpanKey-Agenten die Datei "authorized_keys" der Benutzer zur Laufzeit, um zu verhindern, dass Benutzer nicht übergebene öffentliche Schlüssel hinzufügen. Wenn Wiederherstellungsschlüssel konfiguriert sind, werden diese Schlüssel zu Wiederherstellungszwecken automatisch in die Datei "authorized_keys" des Benutzers geschrieben (falls der SpanKey-Agent nicht mit dem SpanKey-Server kommunizieren kann).
HSMs und Hardware-SSH-Geräte
Wenn HSMs (z. B. YubiHSM) in WebADM verwendet werden, verwendet die Erzeugung des privaten SSH-Schlüssels die echte zufällige Erzeugung des HSM, um die erforderliche Entropie (zufällige Bytes) zu sammeln, die in dem SSH-Schlüsselpaar-Erstellungsprozess verwendet wird. SpanKeys verwendet HSMs sowohl für die RSA- als auch für die ECC-(Elliptic Curve)-Schlüsselgenerierung. SpanKey unterstützt Hardwaregeräte wie Smartcards und die Yubikeys v4 mit PIV Applet. Bei Hardware-SSH-Geräten gibt es keine private SSH-Schlüsseldatei; die Benutzer müssen das Gerät nur an den USB-Port anschließen, um Remote-Server mit SSH zu verbinden.
Architekturdiagramm von

SpanKey-Server und SpanKey-OpenSSH-Agent

SpanKey Server-OpenSSHAgent2
Sehen Sie, wie einfach es ist, SpanKey Server zu integrieren:

Spankey SSH Key Management Server installieren und konfigurieren Key

SpanKey v1
SpanKey v2

Wo zu verwenden SpanKey?

Der SpanKey-Server läuft auf Ihrem WebADM-Cluster und ist mit Ihrem Active Directory oder einem anderen LDAP-Verzeichnis verbunden.

Der SpanKey-Agent für Linux wird als RPM- und DEB-Paket bereitgestellt.

Es kann verwendet werden auf:
• Oracle-/RedHat-/Centos-Server
• Debian/Ubuntu
• Verwenden Sie Linux
• Himbeer-Pi/ARM

Öffentlicher Schlüssel Algorithmen

SpanKey unterstützt die Industriestandards für Public-Key-basierte Authentifizierung mit OpenSSH:

• RSA Mit 1024, 2048 und 4096 Bit
• ECC (Elliptic Curve) Mit 256, 384 und 521 Bit
• DSA Nur mit 1024 Bit

SSH-Helpdesk-Verwaltung und -Nutzung

DE