SSH-Schlüsselverwaltung

SSH-Schlüsselverwaltung

Automatisierte Registrierung, Verteilung und Lebenszyklusverwaltung von SSH-Schlüsseln

Das Problem, mit dem viele Unternehmen heute konfrontiert sind, besteht darin, dass ihre IAM-Lösung keine SSH-Schlüssel als Anmeldemethode unterstützt.
Technisch gesehen sind die bestehenden IAM-Lösungen nicht in der Lage, die Lücke zwischen zahlreichen Autorisierungen innerhalb eines Unix/Linux-Serverbestands und den Identitäten und Autorisierungen innerhalb des zentral verwalteten AD/LDAP zu schließen.

Wie bei jeder Authentifizierungsmethode werden SSH-Logins durch das Unternehmens-IAM geregelt, das in einfachster Form die Frage beantwortet, wer wo zugreifen kann? Normalerweise ist die Quelle der Wahrheit dafür das Unternehmens-LDAP, in vielen Fällen Active Directory (AD), das die Beziehung zwischen Identitäten und ihren erlaubten Zugriffsorten hostet. Bei SSH-Schlüsseln ist diese Landschaft jedoch ganz anders: Es gibt keine solche einzige Quelle, sondern die Berechtigungsinformationen werden über die Unix/Linux-Serverlandschaft selbst verteilt. Wenn ein Unternehmen 100 Server hostet, bedeutet dies, dass es 100 einzelne Entscheidungs- (oder Verletzungs-)Punkte für den Zugriff gibt. Da ein Zugang zu einem anderen führen kann, kann die tatsächliche Zahl viel größer sein.

RCDevs Security hilft Ihnen dabei

Zentral verwalten Ihre SSH-Schlüssel

Lösung

SSH-Schlüsselverwaltung

Viele oder sogar alle Unix- und Linux-Logins laufen ungeregelt ab, ohne dass man feststellen kann, welcher Schlüssel zu welcher Identität gehört und ob der Zugriff gegen die IAM-Richtlinien des Unternehmens verstößt. In der Praxis bedeutet dies, dass sich eine unbekannte Identität mit einem Schlüssel anmelden kann, von dem nicht einmal bekannt ist, dass er existiert. Erschwerend kommt hinzu, dass SSH-Anmeldungen im Allgemeinen für den privilegierten Zugriff, die kritischste Form des Zugriffs, sind.
Die SpanKey-Lösung von RCDevs bietet SSH-Schlüssellebenszyklus-Management von der Self-Service-Web-Registrierung über die automatisierte Schlüsselverteilung bis hin zur Prüfung unerwünschter Zugriffe und Erneuerung veralteter Schlüssel. SpanKey arbeitet auf Standard-LDAP/AD mit Berechtigungen, die bequem an derselben zentralen Stelle verwaltet werden wie die zugehörigen Identitäten. Die SpanKey-Lösung wurde entwickelt, um selbst die größten IT-Umgebungen zu unterstützen.

Eigenschaften

Haupteigenschaften

Berechtigungs- und Identitätsmanagement
Anstatt SSH-Autorisierungen und zugehörige Schlüsselrichtlinien (Berechtigungen) auf einzelnen Hosts manuell oder durch benutzerdefinierte Skripte verwalten zu müssen, werden sie einfach in einem vorhandenen zentralen Berechtigungs- und Identitätsspeicher gespeichert (normalerweise das Unternehmens-AD/LDAP, wo Rollen mit der verwaltet werden Methode zum Hinzufügen von Benutzern zu und aus relevanten LDAP-Gruppen). Das heißt, eine Standard-LDAP-Gruppe kann Details über Ablauf, Nutzung und verschiedene andere Schlüsselberechtigungen hosten, die dann automatisch für Mitgliedshosts und Identitäten dieser Gruppe erzwungen werden.
Bereitstellung
Der Arbeitsablauf beim Anfordern und Akzeptieren des Schlüsselzugriffs sowie bei der Schlüsselerneuerung wird über einfach zu bedienende Web-Self-Services abgewickelt, die man beispielsweise über Standard-SAML oder ADFS in bestehende IAM-Frameworks einbetten kann. Dank der in SpanKey eingebetteten OpenOTP-Fähigkeiten unterstützen die Self-Services auch nativ Multi-Faktor-Authentifizierung, die von Yubikeys und PIV-Karten bis hin zu Soft-Token, QRCodes, On-Demand-SMS-OTP und vielem mehr reicht.
Authentifizierung & Autorisierung
Mit SpanKey wird die Entscheidung über die Zugriffsgewährung von einzelnen Hosts auf den zentralen SpanKey-Server und damit letztendlich auf das AD/LDAP des Unternehmens verlagert. Dies wird über den SpanKey-Agenten erreicht, der den SSH-Authentifizierungsprozess über das standardmäßige Unix/Linux Pluggable Authentication Module (PAM)-Framework verknüpft. Dies vereinfacht nicht nur den Gesamtprozess der Authentifizierung, sondern macht ihn auch deutlich sicherer, da Autorisierungsdaten nicht mehr die Kontrolle über die lokal auf Hosts gespeicherten Konten haben, sondern innerhalb des zentral gesteuerten AD/LDAP.
Überwachung
Die Überwachung des SSH-Schlüsselzugriffs hat im Rahmen des IAM-Lebenszyklusmanagements einen doppelten Zweck:

Um jeden SSH-Zugriff (nicht nur schlüsselbasierten) zu erkennen und zu melden, der gegen konfigurierte Richtlinien verstößt.
Bereitstellung eines organischen Behebungsworkflows für Legacy-SSH-Schlüsselumgebungen unter Verwendung vordefinierter Zuweisungsregeln, bei denen Schlüssel automatisch Besitzern (Identitäten) zugeordnet werden, basierend auf Anmeldedaten, die transparent von laufenden Anmeldungen erfasst werden
Hauptmerkmale
Vollständige Unterstützung für vorhandene LDAP/AD-Verzeichnisimplementierungen
Unglaublich einfache Einrichtung (1 Minute auf einem leeren Linux-Host)
AD-Konten unter Linux (kein PAM-LDAP oder Winbind mehr)
RBAC auf der Webverwaltungsschnittstelle (WebADM)
SSH-Authentifizierung mit lokalem Schlüsselcache für die Offline-Nutzung
RBAC für SSH-Zugriff auf öffentlichen Schlüssel
Host-Zugriffsberechtigungen mit einfachem Server-Tagging
Rollenbasierte Tastensteuerung (aus Strophen, Befehlseinschränkungen, ..)
Unterstützung für gemeinsame Konten (Erhaltung der persönlichen Prüfung)
Automatisierter Ablauf des öffentlichen Schlüssels
Einfache Schlüsselregistrierung über Self-Services
Unterstützung für Hauptschlüssel
Unterstützung für Wiederherstellungsschlüssel
Automatisierte Schlüsselerneuerung
Unterstützte Algorithmen: RSA 1024-, 2048- und 4096-Bit-Schlüssel. Elliptische Kurve Mit 256-, 384- und 521-Bit-Schlüsseln. DSA Nur mit 1024-Bit-Schlüsseln
HSM-Unterstützung für Schlüsselgenerierung und Verschlüsselung
Grafische Sitzungsaufzeichnung in verschlüsselter DB oder NAS
Bereitstellung von Überwachungsregeln und Protokollerfassung für Benutzersitzungen
Automatische Kontoerstellung und temporäre Konten
Optionale MFA mit OpenOTP Security Suite
Benutzerregistrierung über Self-Services
Unterstützung für Hardware-PIV-Schlüssel und Smartcards
Wird von den meisten Linux-Distributionen unterstützt
Serverseitiger Sperrbildschirm

Kompatibilität

Kompatibel mit

Nicht erschöpfende Liste von SpanKey-kompatible Linux-Distributionen

SpanKey-Server laufen auf Ihrem WebADM-Cluster und sind mit Ihrem Active Directory oder einem anderen LDAP-Verzeichnis verbunden. Der SpanKey-Agent für Linux wird als Quelle, RPM/DEB-Pakete bereitgestellt.
Es kann verwendet werden auf:

Oracle / RedHat / Centos-Server (>= RHEL6)
Debian / Ubuntu
Suse Linux
UNIX / BSD MacOS

Wie man

Sehen Sie, wie einfach es ist, SpanKey Server zu integrieren:

Installieren und konfigurieren Spankey SSH-Schlüsselverwaltungsserver

Spankey v1

Spankey v2

DE
EN FR DE