Serveur de clés SSH SpanKey

Gestion du serveur de clés SSH SpanKey

Authentification Linux centralisée

clé de voûte

L'infrastructure informatique de la plupart des entreprises de toute taille repose sur Serveurs Linux et/ou UNIX.

L'accès aux serveurs Linux est généralement implémenté avec un accès SSH pour l'administration et les scripts d'hôte à hôte. Le protocole SSH est très sécurisé et extrêmement pratique pour la gestion des serveurs. Mais l'ajout d'une feuille de sécurité supplémentaire est recommandé pour la gestion SSH avec des systèmes critiques/de production.
RCDevs fournit ces couches de sécurité supplémentaires en combinant Clés publiques SSH et authentification multifacteur (MFA).
RCDevs vous aide à

Faire en sorte Clés SSH de manière centralisée

Spakey Gérer SSH de manière centralisée
La solution SpanKey de RCDevs fournit une gestion étendue du cycle de vie des clés SSH. Cela inclut les libre-services pour l'auto-inscription des clés SSH basées sur le Web avec des clés privées logicielles et matérielles, la distribution automatisée des clés, l'audit des accès indésirables et les workflows de renouvellement automatique pour les clés publiques obsolètes.
SpanKey est le composant de service de clé SSH centralisé pour OpenSSH où les clés publiques sont stockées dans votre annuaire LDAP central (par ex. Active Directory). Avec SpanKey, il n'est pas nécessaire de distribuer, d'expirer manuellement ou de maintenir les clés publiques sur les serveurs. Au lieu de cela, l'agent SpanKey est déployé sur les serveurs Linux cibles et est chargé de fournir les clés publiques des utilisateurs à la demande. Le serveur SpanKey fournit un contrôle d'accès par hôte avec « marquage du serveur », des groupes d'accès LDAP, une gestion à partir de la console RCDevs WebADM, des comptes partagés, des utilisateurs privilégiés (clés principales), des clés de récupération.
La solution SpanKey est conçue pour prendre en charge même les plus grands parcs informatiques.
Inscription facile des clés avec les libre-services
Les applications en libre-service de RCDevs incluent une fonction de gestion des clés SSH qui permet aux utilisateurs de créer leur propre paire de clés SSH et d'obtenir la clé publique associée automatiquement inscrite sur le serveur SpanKey. La liste des types de clés SSH autorisés (RSA/ECC/DSA) et la longueur de clé (nombre de bits) est configurable sur le serveur SpanKey. Le libre-service génère une nouvelle paire de clés et fournit en toute sécurité la clé privée dans plusieurs formats, notamment PuTTY et OpenSSH. Une configuration de stratégie peut éventuellement appliquer une protection par mot de passe. L'accès en libre-service peut être protégé par une méthode de connexion OTP avec OpenOTP de RCDevs.
Enregistrement de session graphique
Avec SpanKey, les sessions de terminal sont surveillées et enregistrées. Les sessions inactives sont automatiquement verrouillées après une durée configurable et une invite de mot de passe utilisateur est utilisée pour le déverrouillage. Mais plus important encore, les sessions des utilisateurs du terminal sont enregistrées en direct dans la base de données d'enregistrement sécurisée WebADM. Les sessions sont stockées cryptées sur la base de données SQL ou sur un montage NAS. À des fins d'audit et d'enquête, vous pouvez également relire les sessions de terminal avec le lecteur de session dans WebADM. SpanKey est capable d'enregistrer une session SSH d'une journée en 3 Mo seulement ! Contrairement aux solutions concurrentes où l'enregistrement devient rapidement lourd en taille de stockage, SpanKey vous permet de conserver vos informations d'audit pendant des années sans nécessiter de téraoctets supplémentaires.
Expiration automatique de la clé publique
L'expiration des clés SSH après un laps de temps déterminé est nécessaire pour garantir un certain niveau de confiance pour les clés utilisateur et pour se conformer aux réglementations ISO ou PCI. Lorsque SpanKey est configuré avec l'expiration de la clé, les utilisateurs sont automatiquement avertis de l'expiration de leur public. Un e-mail est envoyé avec un lien de renouvellement leur permettant de renouveler eux-mêmes leur clé publique qui vient d'expirer.
Prise en charge du compte partagé
Les comptes partagés sont une pratique très courante avec l'utilisation de SSH par l'entreprise. Un compte partagé (comme un utilisateur 'root' ou 'webmaster') est un compte système utilisé simultanément par plusieurs administrateurs. Dans SpanKey, vous pouvez transformer n'importe quel utilisateur LDAP générique en un compte SSH partagé simplement en liant ce compte à un « groupe LDAP à accès partagé ». Ensuite, tous les membres du groupe ont accès au compte partagé avec leur propre clé SSH.
Clés principales et clés de récupération
Dans SpanKey, vous pouvez définir des groupes maîtres où les membres du groupe sont considérés comme des super utilisateurs et peuvent utiliser leur clé SSH pour accéder à tout autre compte SpanKey. Un groupe maître peut être configuré différemment pour différents ensembles de serveurs cibles via les politiques client WebADM. Par défaut, les agents SpanKey effacent le fichier enabled_keys des utilisateurs au moment de l'exécution pour empêcher les utilisateurs d'ajouter des clés publiques non remises. Si des clés de récupération sont configurées, ces clés sont automatiquement écrites dans le fichier enabled_keys de l'utilisateur à des fins de récupération (dans le cas où l'agent SpanKey ne peut pas communiquer avec le serveur SpanKey).
HSMs et périphériques SSH
Lorsque des HSMs (c'est-à-dire YubiHSM) sont utilisés dans WebADM, la génération de clé privée SSH utilisera la véritable génération aléatoire du HSM pour collecter l'entropie requise (octets aléatoires) utilisée dans le processus de création de paire de clés SSH. SpanKeys utilise des HSMs pour la génération de clés RSA et ECC (Elliptic Curve). SpanKey prend en charge les périphériques matériels tels que les cartes à puce et les Yubikeys v4 avec PIV Applet. Avec les périphériques SSH, il n'y a pas de fichier de clé privée SSH ; les utilisateurs ont juste besoin de brancher l'appareil sur le port USB pour connecter des serveurs distants avec SSH.
Architecture schéma de

Serveur SpanKey et agent SpanKey OpenSSH

architecture clé de voûte
Voyez comme il est simple d'intégrer SpanKey Server :
Installer et configurer le serveur de gestion de clés SSH Spankey

Spankey v1

Spankey v2

Où utiliser SpanKey :

Le serveur SpanKey s'exécute sur votre cluster WebADM et est connecté à votre annuaire Active Directory ou à tout autre annuaire LDAP. L'agent SpanKey pour Linux est fourni sous forme de packages RPM et DEB. Il peut être utilisé sur :
Serveurs Oracle / RedHat / Centos
Debian/Ubuntu
Suse Linux
UNIX / BSD MacOS

Algorithmes à clé publique :

SpanKey prend en charge les normes de l'industrie pour l'authentification par clé publique avec OpenSSH :
RSA Avec 1024, 2048 et 4096 bits
ECC (courbe elliptique) avec 256, 384 et 521 bits
DSA Avec 1024 bits uniquement

Vérifiez les fonctionnalités SSH Self Service

Pour demander une démo en ligne, il vous suffit de créer votre compte ou de nous contacter.

Des démos en ligne sont disponibles gratuitement pour vous permettre d'essayer RCDevs multifacteur en 5 minutes et de vous authentifier avec votre mobile ou Yubikey.

Appelez pour une démo maintenant!

fr_FRFR