Gestion des clés SSH

Gestion des clés SSH

Inscription, distribution et gestion du cycle de vie automatisées des clés SSH

Le problème auquel de nombreuses organisations sont confrontées aujourd'hui est que leur solution IAM ne prend pas en charge les clés SSH comme méthode de connexion.
Techniquement parlant, les solutions IAM existantes sont incapables de combler le fossé entre les nombreuses autorisations au sein d'un parc de serveurs Unix/Linux et les identités et autorisations trouvées dans l'AD/LDAP géré de manière centralisée.

Comme pour toute méthode d'authentification, les connexions SSH sont régies par l'IAM d'entreprise, qui, sous sa forme la plus simple, répond à la question de savoir qui peut accéder et où ? Habituellement, la source de vérité pour cela est le LDAP d'entreprise, Active Directory (AD) dans de nombreux cas, qui héberge la relation entre les identités et leurs emplacements d'accès autorisés. Avec les clés SSH, ce paysage est cependant très différent : aucune source unique de ce type n'existe, mais à la place, les informations d'autorisation sont réparties sur le parc de serveurs Unix/Linux lui-même. Si une entreprise héberge 100 serveurs, cela équivaut à 100 points de décision (ou de violation) individuels pour l'accès. Comme un accès peut en mener à un autre, le chiffre réel peut être beaucoup plus grand.

RCDevs Security vous aide

Gérer de manière centralisée vos clés SSH

Solution

Gestion des clés SSH

De nombreuses, voire toutes, les connexions Unix et Linux ne sont pas gérées, sans la possibilité de déterminer quelle clé appartient à quelle identité et si l'accès est en infraction avec les directives IAM de l'entreprise. En pratique, cela signifie qu'une identité inconnue peut se connecter avec une clé dont l'existence n'est même pas connue. Pour aggraver les choses, les connexions SSH sont généralement destinées à un accès privilégié, la forme d'accès la plus critique.
La solution SpanKey de RCDevs fournit une gestion du cycle de vie des clés SSH, de l'inscription Web en libre-service à la distribution automatisée des clés, en passant par l'audit des accès indésirables et le renouvellement des clés obsolètes. SpanKey fonctionne sur LDAP/AD standard avec des autorisations gérées de manière pratique dans le même emplacement central que les identités associées. La solution SpanKey est conçue pour prendre en charge même les plus grands parcs informatiques.

Caractéristiques

Caractéristiques principales

Gestion des droits et des identités
Au lieu d'avoir à gérer les autorisations SSH et les politiques de clé associées (droits) sur des hôtes individuels, à la main ou par des scripts personnalisés, elles sont simplement enregistrées dans le stockage central existant des droits et des identités (généralement l'AD/LDAP de l'entreprise, où les rôles sont régis par le méthode d'ajout d'utilisateurs dans et hors des groupes LDAP pertinents). Autrement dit, un groupe LDAP standard peut héberger des détails sur l'expiration, l'utilisation et divers autres droits de clé qui sont ensuite automatiquement appliqués aux hôtes membres et aux identités de ce groupe.
Approvisionnement
Le flux de travail de demande et d'acceptation d'accès aux clés ainsi que les renouvellements de clés sont gérés via des libre-services Web faciles à utiliser que l'on peut intégrer dans les cadres IAM existants via, par exemple, SAML ou ADFS standard. Grâce aux capacités OpenOTP intégrées dans SpanKey, les libre-services prennent également en charge de manière native l'authentification multifacteur allant des cartes Yubikeys et PIV aux jetons logiciels, QRCodes, SMS OTP à la demande et bien d'autres.
Autorisation d'authentification
Avec SpanKey, la décision d'accorder l'accès est déplacée des hôtes individuels vers le serveur SpanKey centralisé et donc finalement vers l'AD/LDAP de l'entreprise. Ceci est accompli via l'agent SpanKey qui relie le processus d'authentification SSH via le cadre standard Unix/Linux Pluggable Authentication Module (PAM). Cela simplifie non seulement le processus global d'authentification, mais le rend considérablement plus sûr, car les données d'autorisation ne contrôlent plus les comptes stockés localement sur les hôtes, mais au sein de l'AD/LDAP contrôlé de manière centralisée.
Surveillance
La surveillance de l'accès aux clés SSH a un double objectif dans le cadre de la gestion du cycle de vie IAM :

Pour détecter et signaler tout accès SSH (pas seulement basé sur des clés) qui enfreint les stratégies configurées.
Fournir un flux de travail de correction organique pour les environnements de clés SSH hérités, en utilisant des règles d'attribution prédéfinies où les clés sont automatiquement associées aux propriétaires (identités) en fonction des données de connexion collectées de manière transparente à partir des connexions en cours.
Principales caractéristiques
Prise en charge complète des implémentations d'annuaire LDAP/AD existantes
Configuration incroyablement facile (1 minute sur un hôte Linux vierge)
Comptes AD sous Linux (plus de PAM-LDAP ou Winbind)
RBAC sur l'interface de gestion Web (WebADM)
Authentification SSH avec cache de clé local pour une utilisation hors ligne
RBAC pour l'accès à la clé publique SSH
Autorisations d'accès à l'hôte avec simple balisage du serveur
Contrôles clés basés sur les rôles (à partir de strophes, restrictions de commande, ..)
Prise en charge des comptes partagés (conservation de l'audit personnel)
Expiration automatique de la clé publique
Inscription facile des clés via les self-services
Prise en charge des clés principales
Prise en charge des clés de récupération
Renouvellement de clé automatisé
Algorithmes pris en charge : clés RSA 1024, 2048 et 4096 bits. Courbe elliptique Avec clés 256, 384 et 521 bits. DSA Avec clés 1024 bits uniquement
Prise en charge HSM pour la génération de clés et le chiffrement
Enregistrement de session graphique dans une base de données ou un NAS crypté
Déploiement des règles d'audit et collecte des journaux pour les sessions utilisateur
Création de compte automatique et comptes temporaires
MFA en option avec OpenOTP Security Suite
Inscription des utilisateurs via les Self-Services
Prise en charge des clés matérielles PIV et des cartes à puce
Pris en charge sur la plupart des distributions Linux
Écran de verrouillage côté serveur

Compatibilité

Compatible avec

Liste non exhaustive de Distributions Linux compatibles SpanKey

Les serveurs SpanKey s'exécutent sur votre cluster WebADM et sont connectés à votre Active Directory ou à un autre annuaire LDAP. L'agent SpanKey pour Linux est fourni en tant que package source RPM/DEB.
Il peut être utilisé sur :

Serveurs Oracle / RedHat / Centos (>= RHEL6)
Debian/Ubuntu
Suse Linux
UNIX / BSD MacOS

Guide pratique

Découvrez à quel point il est simple d'intégrer SpanKey Server :

Installer et configurer Serveur de gestion de clés SSH SSH

Spankey v1

Spankey v2

FR
EN DE FR