PrivX™ Architektur & Betrieb

 

Inhalt

 

Was ist der PrivX On-Demand Access Manager?

PrivX On-Demand Access Manager ist eine Zugangsmanagement-Plattform, welche in Cloud- und elastischen Computerumgebungen zum Thema privilegierte Zugriffsverwaltung revolutionäres leistet. PrivX eliminiert die Notwendigkeit von Passwörtern auf Benutzerkonten und verwendet stattdessen kurzlebige SSH-Zertifikate. Auf diese Weise werden Passwort-Rotation, die Credential-Management und das Verwahren von Berechtigungen für privilegierten Zugriff vollständig eliminiert. Der Zugriff wird basierend auf Rollen gewährt, welche im Active Directory (AD) in Echtzeit definiert sind.

Dazu werden keine Software-Agenten auf den Servern benötigt, Passwörter, Passwort-Rotation und Passwort-Tresore entfallen komplett - ebenso wie die permanenten SSH-Schlüssel.

Dies alles führt zu einer schnelleren und kostengünstigeren Bereitstellung der Lösung, einer nahezu unbegrenzten Skalierbarkeit, extremer Zuverlässigkeit durch eine vereinfachte und zukunftssichere Architektur, ohne dabei eine Herstelleranbindung zu benötigen. Last but not least seien die niedrigeren laufenden Kosten erwähnt!

Das Problem mit traditionellen Berechtigungsnachweisen / Credentials

IT ist der Engpass bei der Bearbeitung und Vergabe von Zugriffsrechten. Anmeldedaten müssen jedes Mal bereitgestellt, entfernt oder auf den Endpunkten konfiguriert werden, wenn neue Instanzen online gehen, ein Mitarbeiter die Rollen oder Zuständigkeiten wechselt, der Zugriff von Drittanbietern entfernt werden muss und so weiter.

Herkömmliche PAM-Lösungen auf der Basis von Passwort-Tresoren sind in Cloud-Umgebungen bzw. elastischen Umgebungen nur schwer bzw. gar nicht mehr zu implementieren. Die Sicherung, Verwaltung, Rotation und das Verwahren traditioneller Berechtigungsnachweise war schon immer schwierig. Der Umfang und die Elastizität in Cloudumgebungen verschärfen das Problem und machen es in elastischen Umgebungen zur Unmöglichkeit!

Wie PrivX die Skalierbarkeit und Sicherheit verbessert

PrivX On-Demand Access Manager verbessert die Effizienz und Sicherheit, indem es herkömmliche Anmeldeinformationen durch kurzlebige On-Demand-SSH-Zertifikate ersetzt. Das bedeutet, dass auf den Endpunkten keine Berechtigungsnachweise / Credentials oder Software-Agenten erforderlich sind, die Anmeldedaten nach jeder Verwendung geändert werden und Benutzer niemals direkten Zugriff auf die Endpunkt-Anmeldedaten haben.

Zertifikate sind deswegen vertrauenswürdig, da diese Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt, nicht auf einem Server für jeden Benutzer oder jede Berechtigung separat konfiguriert werden. Die Cloud-Umgebungen, in denen keine Sorgen um die Bereitstellung, Verwaltung oder Überwachung von Berechtigungsnachweisen gemacht werden müssen, können mithilfe von PrivX schnell und effizient skaliert werden.

Schnellere Bereitstellung und geringere TCO

Keine Agenten auf den Endpunkten, keine Anmeldeinformationen, die bereitgestellt werden müssen, kein Passwort-Tresor zum konfigurieren oder Schulung von Benutzern bedeutet keine langwierige Bereitstellung des Projektes. Den Benutzer wird selbstverständlich freigestellt, ihre bestehenden SSH- und RDP-Client-Tools weiter zu verwenden. Eine schnellere Bereitstellung, keine zusätzliche Schulung und die Verwendung der bereits vorhandenen Tools bedeuten für Ihr Projekt niedrigere TCO (Total Cost of Ownership).

Ein Portal und eine Datenbank werden als virtuelle Maschinen installiert und ein Skript auf den Zielservern ausgeführt, um SSH-Konfigurationsdateien zu aktualisieren. Diese Arbeistschritte sind in wenigen Stunden abgeschlossen.

Schlüsselfunktion

Eliminierung von Passwörtern und SSH-Schlüsseln

Mit PrivX können Sie alle permanenten Anmeldeinformationen von Servern entfernen. Passwörter für Dienstkonten oder gar root werden nicht mehr benötigt. Auch permanente SSH-Schlüssel sind nicht erforderlich. Das bedeutet, dass es keine lange gültigen Zugangsdaten mehr gibt, welche von Hackern gestohlen werden könnten. Das ist ein bedeutender Schritt auf dem Weg, Passwörter generell loszuwerden.

Sitzungsaufzeichnung

PrivX bietet Sitzungsaufzeichnung für alle privilegierten Benutzer. Dies ist eine Voraussetzung in vielen Compliance-Vorschriften und Cyber-Sicherheitsstandards. Es ist auch eine wichtige Abschreckung gegen Insiderkriminalität und ein wichtiges Instrument der Forensik und Beweiserhebung.

Analytik und Frühwarnung

PrivX kann auch Benutzeraktionen und Session-Inhalte an die Analyse-Tools zur Frühwarnung weiterleiten. Es lässt sich mit SIEM (Security Incident and Event Management) und den im Unternehmen eingesetzten Analysesystemen integrieren. Dies ermöglicht eine frühzeitige Warnung vor verdächtigen und unzulässigen Aktivitäten durch priviligierte Benutzer.

Transparente Überwachung

PrivX bietet eine transparente Überwachung des verschlüsselten SSH- und Remote Desktop (RDP)-Verkehrs. PrivX entschlüsselt den SSH- und RDP-Verkehr on the fly mittels privater Endpoint-Schlüssel. Dadurch kann PrivX den Zugriff transparent kontrollieren, auswerten und kontrollieren. Keine andere Lösung ist in der Lage, den Zugriff durch Automatisierungswerkzeuge und Skripte derart transparent zu steuern.

Implementierung

Die Benutzersicht

Zuerst authentifiziert sich der Benutzer mit seinem Active Directory-Passwort oder einer Zwei-Faktor-Authentifizierung bei einem PrivX-Gateway. PrivX validiert den Benutzer und seine Rolle gegen Active Directory. PrivX generiert dann ein kurzlebiges SSH-Zertifikat, um den Benutzer transparent mit dem gewünschten Zielhost zu verbinden. Zu keinem Zeitpunkt speichert PrivX die Zugangsdaten auf der Festplatte oder konfiguriert sie auf den Zielservern.

Wie PrivX-Rollen erstellt und abgebildet werden

PrivX provides role-based access control (RBAC) for users. Group memberships are defined in Active Directory or LDAP, and rules are used to map those to roles with access rights and additional conditions for access.

PrivX roles are used to authenticate against the target hosts. Roles can be defined as explicitly granted roles, or they can be dynamically mapped from existing Active Directory groups. A single role mapping may depend on multiple user directory sources for rules. Role Store dynamically evaluates user’s roles as needed.

Zertifizierungsstelle

PrivX fungiert als Certificate Authority (CA) und erstellt kurzlebige SSH-Zertifikate. Traditionelle CAs können zu diesem Zweck nicht verwendet werden, da traditionelle CAs nicht mit OpenSSH-Zertifikaten arbeiten. Private Schlüssel können auf einem Hardware-Sicherheitsmodul (HSM) gespeichert werden.

Mikroservices-Architektur

PrivX On-Demand Access Manager basiert auf einer modernen Mikroservices-Architektur. Jeder Microservice kommuniziert mit jedem anderen Service über REST APIs. Die Benutzerauthentifizierung erfolgt über das Autorisierungs-Framework OAuth 2.0. Der eingebaute OAuth2-Dienst kann gegen Identity Provider wie Active Directory oder LDAP (Lightweight Directory Access Protocol) integriert werden. PrivX verfügt auch über ein lokales Benutzerverzeichnis, das für die Konfiguration von Benutzern außerhalb von Active Directory verwendet werden kann. Eine Role Store Komponente verwendet benutzerdefinierte Regeln und Informationen aus mehreren Quellen, um PrivX-Rollen für Benutzer festzulegen. Ein Autorisierungsdienst erstellt Zertifikate, die an Rollen angehängt sind, für Benutzer, die sich mit bestimmten Konten auf Zielrechnern verbinden.

Interessiert an mehr Information? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • DEUTSCHE_BANK.png
  • VOESTALPINE.png
  • AIRBUS.png
  • NXP.png
  • CLAAS.png
  • 1_LOGO_SSH.png
  • commerzbank.gif
  • dekabank.gif
  • Postbank.jpg
  • Exponet Infrakon 4c.png
  • dlr.png
  • idRoboTica.png
  • TDT-AG.JPG
  • 1_LOGO_VEEAM.png
  • ASKLEPIOS.png
  • LMK.png
  • deutschepost.gif
  • netcologne.gif
  • 1_LOGO_Avalara.jpg
  • gieseckedevrient.gif