Παράλειψη στο κύριο περιεχόμενο

Τι είναι ένα Safe;

Ένα Safe είναι το αντικείμενο στο VaultPAM που παρέχει πρόσβαση. Συνδέει μαζί τέσσερα στοιχεία:

  • Ποιος — μια λίστα χρηστών μελών και ομάδων.
  • Ποιος πόρος — ο στόχος στον οποίο διαμεσολαβείται η συνεδρία (ένας διακομιστής RDP, σύστημα SSH, βάση δεδομένων, κονσόλα web).
  • Ποια σύνδεση λογαριασμού — το διαπιστευτήριο που ενέχεται κατά την έναρξη της συνεδρίας.
  • Σύμφωνα με ποια πολιτική — απαιτείται έγκριση; είναι ενεργή η εγγραφή; επιτρέπεται το πρόχειρο; βήμα ανάβαθμου MFA;

Γιατί υπάρχει η αφαίρεση του Safe

Οι παλαιές προσεγγίσεις συνδέουν τα διαπιστευτήρια απευθείας με τους χρήστες ("Η Alice έχει τον κωδικό πρόσβασης root"). Αυτό καθιστά την αποσύνδεση επώδυνη, την περιστροφή επώδυνη και τον έλεγχο ασαφή. Με ένα Safe:

  • Η Alice δεν βλέπει ποτέ το διαπιστευτήριο — ενέχεται στον proxy.
  • Η αφαίρεση της Alice από το Safe ανακαλεί αμέσως την πρόσβασή της.
  • Η περιστροφή του διαπιστευτηρίου επηρεάζει κάθε συνεδρία ομοιόμορφα.
  • Κάθε πρόσβαση ελέγχεται στο επίπεδο του Safe, όχι διασκορπισμένη σε αρχεία συμβάντων λειτουργικού συστήματος.

Νοητικό μοντέλο

┌──────────┐ ┌──────────┐ ┌──────────────┐
│ Members │ ──► │ Safe │ ──► │ Resource │
└──────────┘ │ policy │ │ (RDP / SSH │
│ approval │ │ / HTTP) │
│ recording│ └──────────────┘
└────┬─────┘ ▲
│ │ credential
▼ │ injected by
┌──────────┐ │ the proxy
│ Account │──────────────┘
│ binding │
└──────────┘

Διαστάσεις πολιτικής

Κάθε Safe μπορεί να ορίσει:

  • Έγκριση — καμία / μοναδικός εγκριτής / δύο εγκριτές ("τέσσερα μάτια").
  • Εγγραφή — ενεργή / απενεργοποιημένη (ενεργή από προεπιλογή· συνιστάται έντονα για προνομιούχους στόχους).
  • Πρόχειρο και μεταφορά αρχείων — επιτρεπόμενα / αποκλεισμένα / μόνο με έλεγχο.
  • Βήμα ανάβαθμου MFA — απαίτηση ανάβαθμου κατά την έναρξη της συνεδρίας ακόμη και αν ο χρήστης είναι ήδη πιστοποιημένος.
  • TTL συνεδρίας — μέγιστη διάρκεια.
  • Έγκυρες ώρες — χρονικά παράθυρα όταν το Safe είναι χρησιμοποιήσιμο.

Σχετικά άρθρα