Zum Hauptinhalt springen

Übersicht über die Rotation von Anmeldeinformationen

Die Rotation von Anmeldeinformationen ist die Praxis, ein privilegiertes Passwort, einen SSH-Schlüssel oder ein Token planmäßig oder bei Bedarf zu ersetzen. Dieser Artikel erläutert, wie die Rotation in VaultPAM funktioniert und wie Sie Rotationsrichtlinien konfigurieren.

Eine Schritt-für-Schritt-Anleitung, um eine Anmeldeinformation sofort manuell zu rotieren, finden Sie unter Eine Anmeldeinformation rotieren.

Was Rotation bedeutet

Wenn eine Anmeldeinformation rotiert wird, generiert VaultPAM ein neues Geheimnis und aktualisiert den im Safe gespeicherten Wert. Das alte Geheimnis wird verworfen. Wenn die Anmeldeinformation mit einem verwalteten Konto auf einem Zielsystem verknüpft ist, überträgt VaultPAM den neuen Wert auch an dieses System.

Die Rotation verkleinert das Zeitfenster der Gefährdung: Selbst wenn eine Anmeldeinformation kompromittiert wird, verliert sie nach der nächsten Rotation ihre Gültigkeit.

Manuelle vs. automatische Rotation

ModusWann sie erfolgtWer sie auslöst
ManuellBei BedarfOperator oder Admin in der Safe-Ansicht
AutomatischNach einem konfigurierten ZeitplanVaultPAM-Rotationsmodul
EreignisgesteuertNach Beendigung einer Sitzung oder einem bestimmten EreignisPro Safe konfigurierbar

Festlegen der Rotationshäufigkeit

Die Rotationshäufigkeit wird pro Safe konfiguriert:

  1. Gehen Sie zu Safes und öffnen Sie den Safe, den Sie konfigurieren möchten.
  2. Wählen Sie Einstellungen > Rotationsrichtlinie.
  3. Legen Sie das Rotationsintervall fest (täglich, wöchentlich, monatlich oder benutzerdefiniert in Tagen).
  4. Aktivieren Sie optional Nach Sitzung rotieren, um die Anmeldeinformation am Ende jeder Sitzung automatisch zu rotieren.
  5. Speichern Sie die Richtlinie.

Erfolgszustand: Der Safe zeigt Datum und Uhrzeit der nächsten geplanten Rotation an. Rotationsereignisse erscheinen im Prüfprotokoll.

Compliance-Begründung

Eine regelmäßige Rotation von Anmeldeinformationen wird gefordert oder empfohlen durch:

  • NIS2 Artikel 21 -- Maßnahmen zur Zugangskontrolle und minimalen Rechtevergabe
  • SOC 2 CC6.1 -- logische Zugangskontrollen
  • CIS Control 5 -- Kontenverwaltung

Eine maximale Rotationsdauer von 90 Tagen ist eine gängige Basis für privilegierte Konten. Für Dienstkonten mit automatisiertem Checkout werden kürzere Intervalle (7-30 Tage) empfohlen.

Verwandte Artikel