Serveur de clés SpanKey SSH et gestion des clés SSH

SpanKey Serveur de clés SSH

Authentification Linux centralisée

L'infrastructure informatique de la plupart des organisations repose sur Linux

et les serveurs Unix.

Gestion des clés SSH

L'accès au serveur Linux est généralement implémenté avec SSH pour l'administration et les scripts d'hôte à hôte. Le protocole SSH est sécurisé et extrêmement pratique pour la gestion des serveurs.
L'ajout d'une couche de sécurité supplémentaire est recommandé pour la gestion des clés SSH avec les systèmes critiques/de production.
RCDevs Security fournit ces couches de sécurité supplémentaires en combinant Clés publiques SSH et authentification multifacteur (MFA).

RCDevs vous aide

Gérez de manière centralisée Clés SSH

La solution SpanKey de RCDevs offre une gestion étendue du cycle de vie des clés SSH. Cela inclut des self-services pour l'auto-inscription de clés SSH sur le Web avec des clés privées logicielles et matérielles, la distribution automatisée des clés, l'audit des accès indésirables et des flux de travail de renouvellement automatique pour les clés publiques obsolètes.
SpanKey est le composant de service de clé SSH centralisé pour OpenSSH où les clés publiques sont stockées dans votre répertoire LDAP central (ex. Active Directory). Avec SpanKey, il n'est pas nécessaire de distribuer, d'expirer manuellement ou de maintenir les clés publiques sur les serveurs.
Au lieu de cela, l'agent SpanKey est déployé sur les serveurs Linux cibles et est chargé de fournir les clés publiques des utilisateurs à la demande. Le serveur SpanKey fournit un contrôle d'accès par hôte avec "balisage de serveur", groupes d'accès LDAP, gestion depuis la console RCDevs WebADM, comptes partagés, utilisateurs privilégiés (clés principales), clés de récupération.

Notre solution SpanKey est conçue pour prendre en charge même les plus grands parcs informatiques.
Inscription facile des clés avec les libre-services
Les applications en libre-service de RCDevs incluent une fonction de gestion des clés SSH qui permet aux utilisateurs de créer leur propre paire de clés SSH et d'obtenir la clé publique associée automatiquement inscrite sur le serveur SpanKey. La liste des types de clés SSH autorisés (RSA/ECC/DSA) et la longueur de clé (nombre de bits) est configurable sur le serveur SpanKey. Le libre-service génère une nouvelle paire de clés et fournit en toute sécurité la clé privée dans plusieurs formats, notamment PuTTY et OpenSSH. Une configuration de stratégie peut éventuellement appliquer une protection par mot de passe. L'accès en libre-service peut être protégé par une méthode de connexion OTP avec OpenOTP de RCDevs.
Enregistrement de session graphique
Avec SpanKey, les sessions de terminal sont surveillées et enregistrées. Les sessions inactives sont automatiquement verrouillées après une durée configurable et une invite de mot de passe utilisateur est utilisée pour le déverrouillage. Mais plus important encore, les sessions des utilisateurs du terminal sont enregistrées en direct dans la base de données d'enregistrement sécurisée WebADM. Les sessions sont stockées cryptées sur la base de données SQL ou sur un montage NAS. À des fins d'audit et d'enquête, vous pouvez également relire les sessions de terminal avec le lecteur de session dans WebADM. SpanKey est capable d'enregistrer une session SSH d'une journée en 3 Mo seulement ! Contrairement aux solutions concurrentes où l'enregistrement devient rapidement lourd en taille de stockage, SpanKey vous permet de conserver vos informations d'audit pendant des années sans nécessiter de téraoctets supplémentaires.
Expiration automatique de la clé publique
L'expiration des clés SSH après un laps de temps déterminé est nécessaire pour garantir un certain niveau de confiance pour les clés utilisateur et pour se conformer aux réglementations ISO ou PCI. Lorsque SpanKey est configuré avec l'expiration de la clé, les utilisateurs sont automatiquement avertis de l'expiration de leur public. Un e-mail est envoyé avec un lien de renouvellement leur permettant de renouveler eux-mêmes leur clé publique qui vient d'expirer.
Accès conditionnel
L'accès conditionnel repose sur deux méthodes clés : Accès logique basé sur un accord garantit que les utilisateurs acceptent des conditions ou des politiques spécifiques avant d’y accéder, favorisant ainsi la conformité. Accès logique basé sur la présence exploite la localisation en temps réel ou les données de l'appareil pour accorder l'accès en fonction de critères contextuels, tels que l'emplacement du réseau ou la fiabilité de l'appareil. Ces méthodes améliorent la sécurité en combinant la confirmation des accords avec des facteurs contextuels, aidant ainsi les organisations à appliquer des contrôles d'accès stricts et à protéger les actifs critiques.
Prise en charge du compte partagé
Les comptes partagés sont une pratique très courante avec l'utilisation de SSH par l'entreprise. Un compte partagé (comme un utilisateur 'root' ou 'webmaster') est un compte système utilisé simultanément par plusieurs administrateurs. Dans SpanKey, vous pouvez transformer n'importe quel utilisateur LDAP générique en un compte SSH partagé simplement en liant ce compte à un « groupe LDAP à accès partagé ». Ensuite, tous les membres du groupe ont accès au compte partagé avec leur propre clé SSH.
Règles et journaux d'audit centralisés
Avec SpanKey Server intégré aux politiques client WebADM, vous bénéficiez de la possibilité d'établir et de gérer de manière centralisée les règles Auditd, garantissant ainsi leur application lors des authentifications SSH. De plus, cette configuration permet la collecte de journaux de tous les clients SpanKey, facilitant leur transmission au serveur SpanKey, qui peut ensuite les relayer de manière transparente vers un système SIEM pour une analyse et une surveillance complètes de la sécurité.
Clés principales et clés de récupération
Dans SpanKey, vous pouvez définir des groupes maîtres où les membres du groupe sont considérés comme des super utilisateurs et peuvent utiliser leur clé SSH pour accéder à tout autre compte SpanKey. Un groupe maître peut être configuré différemment pour différents ensembles de serveurs cibles via les politiques client WebADM. Par défaut, les agents SpanKey effacent le fichier enabled_keys des utilisateurs au moment de l'exécution pour empêcher les utilisateurs d'ajouter des clés publiques non remises. Si des clés de récupération sont configurées, ces clés sont automatiquement écrites dans le fichier enabled_keys de l'utilisateur à des fins de récupération (dans le cas où l'agent SpanKey ne peut pas communiquer avec le serveur SpanKey).
HSMs et périphériques SSH
Lorsque des HSMs (c'est-à-dire YubiHSM) sont utilisés dans WebADM, la génération de clé privée SSH utilisera la véritable génération aléatoire du HSM pour collecter l'entropie requise (octets aléatoires) utilisée dans le processus de création de paire de clés SSH. SpanKeys utilise des HSMs pour la génération de clés RSA et ECC (Elliptic Curve). SpanKey prend en charge les périphériques matériels tels que les cartes à puce et les Yubikeys v4 avec PIV Applet. Avec les périphériques SSH, il n'y a pas de fichier de clé privée SSH ; les utilisateurs ont juste besoin de brancher l'appareil sur le port USB pour connecter des serveurs distants avec SSH.
Schéma d'architecture de

Serveur SpanKey et agent SpanKey OpenSSH

Architecture du serveur SpanKey
Découvrez à quel point il est simple d'intégrer SpanKey Server :

Installer et configurer le serveur de gestion de clés SSH Spankey

Clé espagnole v1
Clé espagnole v2

Où utiliser SpanKey?

Le serveur SpanKey s'exécute sur votre cluster WebADM et est connecté à votre Active Directory ou à tout autre annuaire LDAP.

L'agent SpanKey pour Linux est fourni sous forme de packages RPM et DEB.

Il peut être utilisé sur :
• Serveurs Oracle/RedHat/Centos
• Debian/Ubuntu
• Utiliser Linux
• Raspberry Pi/ARM

Clé publique Algorithmes

SpanKey prend en charge les normes de l'industrie pour l'authentification basée sur une clé publique avec OpenSSH :

• RSA avec 1024, 2048 et 4096 bits
• ECC (Courbe Elliptique) Avec 256, 384 et 521 bits
• DSA Avec 1024 bits uniquement

Administration et utilisation du service d'assistance SSH

La preuve
par l'expérience.

Que vous achetiez une voiture ou une solution de sécurité, vous souhaitez toujours la tester avant de signer sur la ligne pointillée. Nous le savons et vous le savez.

Contactez-nous pour votre PoC gratuit ou testez par vous-même.

FR