Przejdź do głównej zawartości

Czym jest sejf?

Sejf to obiekt w VaultPAM, który przyznaje dostęp. Łączy on cztery elementy:

  • Kto — listę użytkowników i grup będących członkami.
  • Który zasób — cel, do którego pośredniczona jest sesja (serwer RDP, host SSH, baza danych, konsola webowa).
  • Które powiązanie konta — poświadczenie wstrzykiwane podczas uruchamiania sesji.
  • W ramach jakiej polityki — wymagane zatwierdzenie? włączone nagrywanie? dozwolony schowek? podniesienie MFA?

Dlaczego istnieje abstrakcja sejfu

Tradycyjne podejścia wiążą poświadczenia bezpośrednio z użytkownikami („Alicja ma hasło roota”). Sprawia to, że offboarding jest uciążliwy, rotacja uciążliwa, a audyt nieprecyzyjny. Dzięki sejfowi:

  • Alicja nigdy nie widzi poświadczenia — jest ono wstrzykiwane na poziomie proxy.
  • Usunięcie Alicji z sejfu natychmiast odbiera jej dostęp.
  • Rotacja poświadczenia wpływa jednolicie na każdą sesję.
  • Każdy dostęp jest audytowany na poziomie sejfu, a nie rozproszony po dziennikach zdarzeń systemu operacyjnego.

Model myślowy

┌──────────┐ ┌──────────┐ ┌──────────────┐
│ Members │ ──► │ Safe │ ──► │ Resource │
└──────────┘ │ policy │ │ (RDP / SSH │
│ approval │ │ / HTTP) │
│ recording│ └──────────────┘
└────┬─────┘ ▲
│ │ credential
▼ │ injected by
┌──────────┐ │ the proxy
│ Account │──────────────┘
│ binding │
└──────────┘

Wymiary polityki

Każdy sejf może ustawić:

  • Zatwierdzanie — brak / pojedynczy zatwierdzający / dwóch zatwierdzających („zasada czworga oczu”).
  • Nagrywanie — włączone / wyłączone (domyślnie włączone; zdecydowanie zalecane dla celów uprzywilejowanych).
  • Schowek i transfer plików — dozwolone / zablokowane / tylko audytowane.
  • Podniesienie MFA — wymagaj podniesienia podczas uruchamiania sesji, nawet jeśli użytkownik jest już uwierzytelniony.
  • TTL sesji — maksymalny czas trwania.
  • Godziny obowiązywania — przedziały czasowe, w których sejf jest dostępny do użycia.

Powiązane artykuły