Mergeți la conținutul principal

Ce este un Safe?

Un Safe este obiectul din VaultPAM care acordă acces. Conectează patru elemente:

  • Cine — o listă de utilizatori și grupuri membre.
  • Care Resource — ținta către care sesiunea este intermediată (un server RDP, gazdă SSH, bază de date, consolă web).
  • Care Account Binding — credențiala care se injectează la lansarea sesiunii.
  • Sub ce politică — este necesară aprobarea? este activată înregistrarea? este permisă clipboard? pas MFA suplimentar?

De ce există abstractizarea Safe

Abordările moștenite leagă credențialele direct de utilizatori ("Alice are parola root"). Acest lucru face retragerea, rotația și auditul dureroase și vagi. Cu un Safe:

  • Alice niciodată nu vede credențiala — aceasta este injectată la proxy.
  • Eliminarea lui Alice din Safe revocă imediat accesul ei.
  • Rotația credențialei afectează uniform fiecare sesiune.
  • Fiecare acces este auditat la nivelul Safe, nu dispersat în jurnalele de evenimente ale SO.

Model mental

┌──────────┐ ┌──────────┐ ┌──────────────┐
│ Members │ ──► │ Safe │ ──► │ Resource │
└──────────┘ │ policy │ │ (RDP / SSH │
│ approval │ │ / HTTP) │
│ recording│ └──────────────┘
└────┬─────┘ ▲
│ │ credential
▼ │ injected by
┌──────────┐ │ the proxy
│ Account │──────────────┘
│ binding │
└──────────┘

Dimensiuni ale politicii

Fiecare Safe poate configura:

  • Aprobarea — niciuna / un aprobator / doi aprobatori ("patru ochi").
  • Înregistrarea — activată / dezactivată (activată implicit; puternic recomandată pentru ținte privilegiate).
  • Clipboard și transfer de fișiere — permis / blocat / doar auditat.
  • Pas MFA suplimentar — necesită pas MFA la lansarea sesiunii chiar dacă utilizatorul este deja autentificat.
  • TTL sesiune — durată maximă.
  • Ore valide — ferestre de timp când Safe-ul este utilizabil.

Articole conexe