Übersicht über die Rotation von Anmeldeinformationen
Die Rotation von Anmeldeinformationen ist die Praxis, ein privilegiertes Passwort, einen SSH-Schlüssel oder ein Token planmäßig oder bei Bedarf zu ersetzen. Dieser Artikel erläutert, wie die Rotation in VaultPAM funktioniert und wie Sie Rotationsrichtlinien konfigurieren.
Eine Schritt-für-Schritt-Anleitung, um eine Anmeldeinformation sofort manuell zu rotieren, finden Sie unter Eine Anmeldeinformation rotieren.
Was Rotation bedeutet
Wenn eine Anmeldeinformation rotiert wird, generiert VaultPAM ein neues Geheimnis und aktualisiert den im Safe gespeicherten Wert. Das alte Geheimnis wird verworfen. Wenn die Anmeldeinformation mit einem verwalteten Konto auf einem Zielsystem verknüpft ist, überträgt VaultPAM den neuen Wert auch an dieses System.
Die Rotation verkleinert das Zeitfenster der Gefährdung: Selbst wenn eine Anmeldeinformation kompromittiert wird, verliert sie nach der nächsten Rotation ihre Gültigkeit.
Manuelle vs. automatische Rotation
| Modus | Wann sie erfolgt | Wer sie auslöst |
|---|---|---|
| Manuell | Bei Bedarf | Operator oder Admin in der Safe-Ansicht |
| Automatisch | Nach einem konfigurierten Zeitplan | VaultPAM-Rotationsmodul |
| Ereignisgesteuert | Nach Beendigung einer Sitzung oder einem bestimmten Ereignis | Pro Safe konfigurierbar |
Festlegen der Rotationshäufigkeit
Die Rotationshäufigkeit wird pro Safe konfiguriert:
- Gehen Sie zu Safes und öffnen Sie den Safe, den Sie konfigurieren möchten.
- Wählen Sie Einstellungen > Rotationsrichtlinie.
- Legen Sie das Rotationsintervall fest (täglich, wöchentlich, monatlich oder benutzerdefiniert in Tagen).
- Aktivieren Sie optional Nach Sitzung rotieren, um die Anmeldeinformation am Ende jeder Sitzung automatisch zu rotieren.
- Speichern Sie die Richtlinie.
Erfolgszustand: Der Safe zeigt Datum und Uhrzeit der nächsten geplanten Rotation an. Rotationsereignisse erscheinen im Prüfprotokoll.
Compliance-Begründung
Eine regelmäßige Rotation von Anmeldeinformationen wird gefordert oder empfohlen durch:
- NIS2 Artikel 21 -- Maßnahmen zur Zugangskontrolle und minimalen Rechtevergabe
- SOC 2 CC6.1 -- logische Zugangskontrollen
- CIS Control 5 -- Kontenverwaltung
Eine maximale Rotationsdauer von 90 Tagen ist eine gängige Basis für privilegierte Konten. Für Dienstkonten mit automatisiertem Checkout werden kürzere Intervalle (7-30 Tage) empfohlen.