Gestion des clés SSH

Gestion des clés SSH

Inscription automatisée de la clé SSH, distribution et gestion du cycle de vie

villes

Le problème auquel de nombreuses organisations sont confrontées aujourd'hui est que leurs solutions IAM ne prennent pas en charge les clés SSH comme méthode de connexion.

Comme pour toute méthode d'authentification, les connexions SSH sont régies par l'IAM d'entreprise, qui, sous sa forme la plus simple, répond à la question de savoir qui peut accéder et où ? Habituellement, la source de vérité pour cela est le LDAP d'entreprise, Active Directory (AD) dans de nombreux cas, qui héberge la relation entre les identités et leurs emplacements d'accès autorisés. Avec les clés SSH, ce paysage est cependant très différent : aucune source unique de ce type n'existe, mais à la place, les informations d'autorisation sont réparties sur le parc de serveurs Unix/Linux lui-même. Si une entreprise héberge 100 serveurs, cela équivaut à 100 points de décision (ou de violation) individuels pour l'accès. Comme un accès peut en mener à un autre, le chiffre réel peut être beaucoup plus grand.
Le problème auquel de nombreuses organisations sont confrontées aujourd'hui est que leurs solutions IAM ne prennent pas en charge les clés SSH comme méthode de connexion. Techniquement parlant, les solutions IAM existantes sont incapables de combler le fossé entre les nombreuses autorisations au sein d'un parc de serveurs Unix/Linux et les identités et autorisations trouvées dans l'AD/LDAP géré de manière centralisée.
RCDevs vous aide à

Gestion centralisée vos clés SSH

Gestion des clés SSH
De nombreuses, voire toutes, les connexions Unix et Linux ne sont pas gérées, sans la possibilité de déterminer quelle clé appartient à quelle identité et si l'accès est en infraction avec les directives IAM de l'entreprise. En pratique, cela signifie qu'une identité inconnue peut se connecter avec une clé dont l'existence n'est même pas connue. Pour aggraver les choses, les connexions SSH sont généralement destinées à un accès privilégié, la forme d'accès la plus critique.
La solution SpanKey de RCDevs fournit une gestion du cycle de vie des clés SSH, de l'inscription Web en libre-service à la distribution automatisée des clés, en passant par l'audit des accès indésirables et le renouvellement des clés obsolètes. SpanKey fonctionne sur LDAP/AD standard avec des autorisations gérées de manière pratique dans le même emplacement central que les identités associées. La solution SpanKey est conçue pour prendre en charge même les plus grands parcs informatiques.

Principale fonctionnalités

Gestion des droits et des identités
Au lieu d'avoir besoin de gérer les autorisations SSH et les politiques clés associées (droits) sur des hôtes individuels, à la main ou par des scripts personnalisés, ils sont simplement enregistrés dans le stockage central des droits et des identités existants, normalement l'AD/LDAP d'entreprise, où les rôles sont régis avec le méthode d'ajout d'utilisateurs dans et hors des groupes LDAP pertinents. C'est-à-dire qu'un groupe LDAP standard peut héberger des détails sur l'expiration, l'utilisation et divers autres droits de clé qui sont ensuite automatiquement appliqués aux hôtes membres et aux identités de ce groupe.
Approvisionnement
Le flux de travail de demande et d'acceptation d'accès aux clés ainsi que les renouvellements de clés sont gérés via des libre-services Web faciles à utiliser que l'on peut intégrer dans les cadres IAM existants via, par exemple, SAML ou ADFS standard. Grâce aux capacités OpenOTP intégrées dans SpanKey, les libre-services prennent également en charge de manière native l'authentification multifacteur allant des cartes Yubikeys et PIV aux jetons logiciels, QRCodes, SMS OTP à la demande et bien d'autres.
Authentification et autorisation
Avec SpanKey, la décision d'accorder l'accès est déplacée des hôtes individuels vers un serveur SpanKey centralisé et ainsi finalement l'AD/LDAP de l'entreprise. Ceci est accompli via l'agent SpanKey qui est lié au processus d'authentification SSH via le cadre standard Unix/Linux Pluggable Authentication Module (PAM). Cela simplifie non seulement le processus global d'authentification, mais le rend considérablement plus sécurisé, car les données d'autorisation ne contrôlent plus les comptes stockés localement sur les hôtes, mais au sein de l'AD/LDAP contrôlé de manière centralisée.
Surveillance
La surveillance de l'accès aux clés SSH a un double objectif dans le cadre de la gestion du cycle de vie IAM :

Pour détecter et signaler tout accès SSH (pas seulement basé sur des clés) qui enfreint les stratégies configurées.
Fournir un flux de travail de correction organique pour les environnements de clés SSH hérités, en utilisant des règles d'attribution prédéfinies où les clés sont automatiquement associées aux propriétaires (identités) en fonction des données de connexion collectées de manière transparente à partir des connexions en cours.

Principales caractéristiques

Prise en charge complète des implémentations d'annuaire LDAP/AD existantes
Configuration super facile (1 minute sur un hôte Linux vierge)
Comptes AD sous Linux (plus de PAM-LDAP ou Winbind)
RBAC sur l'interface de gestion Web (WebADM)
Authentification SSH avec cache de clé local pour une utilisation hors ligne
RBAC pour l'accès à la clé publique SSH
Autorisations d'accès à l'hôte avec simple balisage du serveur
Contrôles clés basés sur les rôles (à partir de strophes, restrictions de commande, ..)
Prise en charge des comptes partagés (conservation de l'audit personnel)
Expiration automatique de la clé publique
Inscription facile des clés via les self-services Web
Prise en charge des clés principales
Prise en charge des clés de récupération
Renouvellement de clé automatisé
Algorithmes pris en charge : clés RSA 1024, 2048 et 4096 bits. Courbe elliptique Avec clés 256, 384 et 521 bits. DSA Avec clés 1024 bits uniquement
Prise en charge de HSM pour la génération de clés et le chiffrement
Enregistrement de session graphique dans une base de données ou un NAS crypté
Déploiement de règles d'audit et collecte de journaux pour les sessions utilisateur
Création de compte automatique et comptes temporaires
Authentification multifacteur en option avec RCDevs OpenOTP
Inscription des utilisateurs via les self-services
Prise en charge des clés PIV matérielles et des cartes à puce.
Pris en charge sur la plupart des distributions Linux
Écran de verrouillage côté serveur
Compatible avec

Ceci est une liste non exhaustive de Distributions Linux compatibles SpanKey

Les serveurs SpanKey s'exécutent sur votre cluster WebADM et sont connectés à votre annuaire Active Directory ou à un autre annuaire LDAP. L'agent SpanKey pour Linux est fourni en tant que source, packages RPM/DEB. Il peut être utilisé sur :

Serveurs Oracle / RedHat / Centos (>= RHEL6)
Debian/Ubuntu
Suse Linux
UNIX / BSD MacOS
oracle_linux
chapeau rouge
centos
debian
suse
rasberrypi
Ubuntu
Découvrez à quel point il est simple d'intégrer SpanKey Server :

Installer et configurer Serveur de gestion de clés SSH SSH

Spankey v1

Spankey v2

Pour demander une démo en ligne, il vous suffit de créer votre compte ou de nous contacter.

Des démos en ligne sont disponibles gratuitement pour vous permettre d'essayer RCDevs multifacteur en 5 minutes et de vous authentifier avec votre mobile ou Yubikey.

Appelez pour une démo maintenant!

fr_FRFR