Zum Hauptinhalt springen

Was ist ein Safe?

Ein Safe ist das Objekt in VaultPAM, das den Zugriff gewährt. Es verbindet vier Dinge miteinander:

  • Wer — eine Liste von Mitgliederbenutzern und -gruppen.
  • Welche Ressource — das Ziel, zu dem die Sitzung vermittelt wird (ein RDP-Server, SSH-Host, eine Datenbank, eine Webkonsole).
  • Welche Account-Bindung — die Anmeldeinformation, die beim Start der Sitzung eingespeist wird.
  • Unter welcher Richtlinie — Genehmigung erforderlich? Aufzeichnung aktiv? Zwischenablage erlaubt? MFA-Step-up?

Warum die Safe-Abstraktion existiert

Herkömmliche Ansätze binden Anmeldeinformationen direkt an Benutzer ("Alice hat das Root-Passwort"). Das macht das Offboarding mühsam, die Rotation mühsam und die Prüfung vage. Mit einem Safe:

  • Alice sieht die Anmeldeinformation nie — sie wird am Proxy eingespeist.
  • Das Entfernen von Alice aus dem Safe entzieht ihr den Zugriff sofort.
  • Das Rotieren der Anmeldeinformation wirkt sich einheitlich auf jede Sitzung aus.
  • Jeder Zugriff wird auf Safe-Ebene geprüft, nicht verstreut über die Ereignisprotokolle des Betriebssystems.

Gedankenmodell

┌──────────┐ ┌──────────┐ ┌──────────────┐
│ Members │ ──► │ Safe │ ──► │ Resource │
└──────────┘ │ policy │ │ (RDP / SSH │
│ approval │ │ / HTTP) │
│ recording│ └──────────────┘
└────┬─────┘ ▲
│ │ credential
▼ │ injected by
┌──────────┐ │ the proxy
│ Account │──────────────┘
│ binding │
└──────────┘

Richtliniendimensionen

Jeder Safe kann Folgendes festlegen:

  • Genehmigung — keine / einzelner Genehmiger / Zwei-Genehmiger-Prinzip ("Vier-Augen-Prinzip").
  • Aufzeichnung — ein / aus (standardmäßig ein; für privilegierte Ziele dringend empfohlen).
  • Zwischenablage & Dateiübertragung — erlaubt / blockiert / nur geprüft.
  • MFA-Step-up — Step-up beim Start der Sitzung verlangen, auch wenn der Benutzer bereits authentifiziert ist.
  • Sitzungs-TTL — maximale Dauer.
  • Gültige Zeiten — Zeitfenster, in denen der Safe nutzbar ist.

Verwandte Artikel