安全外壳 (SSH) 密钥是一种常用的身份验证方法,可提供对企业网络内各种关键资产的访问。就像密码一样,这些身份验证身份需要遵循安全最佳实践,以防止任何特权滥用;然而,手动管理 SSH 密钥是一个艰巨的过程。通常,企业 IT 团队会即时为请求访问基于 SSH 的服务器的用户创建和提供 SSH 密钥,而没有中央机制来跟踪他们的使用情况。不受管理的 SSH 密钥的数量很快就会失控,孤立的 SSH 密钥池成为未经授权访问的载体。
为了获得对 SSH 密钥格局的完全可见性和控制,组织应该实施一个全面的 SSH 密钥管理程序,与他们的特权访问管理 (PAM) 解决方案无缝集成,以自动化与网络内特权资产相关联的 SSH 密钥的生命周期管理。
ManageEngine PAM360 有助于从单个统一控制台对 SSH 密钥进行完整的生命周期管理。从发现 SSH 服务器、枚举用户帐户、构建 SSH 密钥的中央清单到按需密钥生成和部署、执行定期密钥轮换以及启动到目标系统的远程 SSH 会话,PAM360 使 IT 管理员能够监控、自动化和管理SSH 密钥的整个生命周期映射到整个 IT 生态系统中的关键任务资产。
PAM360 的内置 SSH 密钥发现工具可帮助 IT 管理员对部署在 IT 基础架构中的各种服务器上的 SSH 密钥执行基于网络的发现。SSH 服务器的发现可以批量执行,可以按需执行,也可以通过创建计划任务以定期间隔自动执行。一旦发现,管理员可以枚举每个资源中的用户帐户,并通过提供相应的用户凭据导入其中存在的 SSH 密钥。除了密码清单之外,PAM360 还有一个集中的密钥清单,其中 SSH 密钥会在发现和导入后自动添加。
PAM360 帮助 IT 管理员集中创建新的 SSH 密钥对并将公钥部署到网络中的 SSH 服务器。这用新的信任关系取代了现有的密钥用户映射,建立了简化的访问控制工作流程,并提高了对 SSH 密钥使用的可见性。SSH 密钥的生成和部署也可以批量完成到多个用户帐户。此外,PAM360 可以在密钥生成过程中生成强大的密码短语,作为额外的安全层。
用户可以与通过 PAM360 建立隧道的远程主机启动即时 SSH 会话,不需要用户设备和目标系统之间的直接连接。这种网关访问消除了与直接连接相关的所有麻烦——这要求用户在每次启动会话时手动提供私钥和密码短语——并加强了严格的安全性。
企业根据需要创建 SSH 密钥对并使用相同的私钥对多个系统进行身份验证是一种常见的做法。这意味着如果单个密钥对被泄露,它可能会暴露特定密钥映射到的所有帐户的敏感信息。
使用 PAM360,管理员可以强制自动定期轮换部署到网络中各种服务器的密钥对。这种最佳实践有助于企业遵守行业标准和法规,并加强数据安全。单个密钥的完整历史的整体视图,包括创建日期、密钥的创建者和所有者、轮换历史等,以审计跟踪、报表和仪表板的形式呈现给管理员。
除了发现和清点 SSH 密钥之外,PAM360 还通过展示整个企业网络中的关键用户关系的全面视图来帮助管理员进行密钥管理。PAM360 中存储的每个密钥都映射到远程服务器中各自的用户帐户,使管理员更容易跟踪信任关系并删除网络中可能成为数据泄露潜在启动点的任何不需要的或孤立的密钥。
PAM360 提供密钥管理策略,使 IT 管理员能够通过从远程主机的 authorized_keys 文件中删除公钥信息来清除网络上所有现有的用户密钥映射。然后可以从 PAM360 创建新的密钥对并将其部署到目标服务器。这些策略有助于快速重新设计整个 SSH 框架,修复所有现有漏洞,并使管理员能够开始一个干净、完全受管理的开始。
