Passerelles Okta Privileged Access
Vous pouvez utiliser les passerelles Okta Privileged Access de manière indépendante, pour remplacer les serveurs bastion SSH, ou bien avec des bastions SSH standard. Les passerelles Okta Privileged Access sont également utilisées pour la capture de session SSH. Consultez la section Enregistrement de session pour obtenir de plus amples informations sur la capture de session SSH.
Les passerelles Okta Privileged Access offrent une plus haute disponibilité ainsi qu'une sécurité améliorée.
Haute disponibilité
Les passerelles proposent plusieurs mécanismes pour garantir une haute disponibilité, ce qui permet à ces passerelles de jouer le rôle d'hôte bastion sans les risques d'un point de défaillance unique. En plus de l'équilibrage de charge standard , les passerelles fournissent divers mécanismes pour garantir un accès continu à vos serveurs. Ces mécanismes comprennent des vérifications de statut intégrées et un équilibrage de charge automatique lorsque plusieurs passerelles sont inscrites avec les mêmes libellés. Consultez la section Haute disponibilité des passerelles Okta Privileged Access.
Sécurité
Les passerelles Okta Privileged Access sont plus sécurisées que les bastions SSH en raison de leur conception, qui comprend :
- Le modèle Zero Trust
- Une gestion des accès logique
- Une intégration native du fournisseur d'identité (IdP)
Modèle Zero Trust
Les connexions SSH standard utilisent un certain type d'identifiants secrets (comme des mots de passe, des clés ou des certificats) pour se connecter aux serveurs. Bien que ces identifiants ne soient valides que pour une courte durée, un client ou un périphérique compromis pourra donner à une personne malveillante un accès direct à un serveur cible.
Lorsque vous utilisez les passerelles Okta Privileged Access pour vos connexions SSH, le client ne reçoit jamais d'identifiants qu'il peut utiliser seul pour se connecter à un serveur via une connexion SSH. En revanche, le client reçoit une charge utile chiffrée qui est transmise à la passerelle, et seule la passerelle peut la déchiffrer. Cette méthode présente les avantages suivants :
- Un périphérique client compromis ne donnera jamais à une personne malveillante l'accès aux identifiants pouvant être utilisés directement au serveur cible via une connexion SSH.
- Puisque l'accès passe par une passerelle, il est plus simple de surveiller les tentatives d'accès en utilisant un système de détection d'intrusion (IDS) ou d'autres outils de surveillance.
Gestion des accès logique
Il est parfois difficile de maintenir un contrôle d'accès approprié, même en utilisant des bastions SSH. Il est important de conserver un enregistrement des autorisations d'accès utilisateur et de la liste des bastions et des serveurs auxquels ils peuvent avoir accès. La tâche se complique lorsque différents bastions comportent des exigences de sécurité différentes en fonction des serveurs auxquels ils ont accès.
Les passerelles Okta Privileged Access permettent de faciliter les choses grâce à l'utilisation des libellés. Les libellés déterminent les passerelles utilisées pour acheminer les connexions vers les serveurs d'un projet. Vous pouvez utiliser les libellés pour segmenter les passerelles par région de cloud, attestation de conformité, système d'exploitation ou toute autre paire clé-valeur que vous aurez choisie. Tant que les libellés et les sélecteurs de libellé que vous utilisez pour un projet sont corrects, la passerelle utilisée pour accéder à un serveur cible répond nécessairement à vos exigences.
Par exemple, prenons une exigence relative à la localisation des données imposant que les données ne soient pas transférées dans un autre pays. Dans un environnement bastion hérité, vous avez besoin d'auditer les serveurs cible et les serveurs bastions pour vous assurer que le seul accès au serveur passe par un serveur bastion situé au sein du pays. Lorsque vous utilisez des passerelles, vous pouvez leur attribuer des libellés qui indiquent leur région de fonctionnement (par exemple, leur région AWS). Ainsi, plutôt que de devoir auditer des serveurs individuels, vous ajoutez la région adéquate en tant que sélecteur de passerelle au projet dont les serveurs requièrent une telle restriction d'accès.
Les passerelles peuvent être des outils puissants que vous pouvez utiliser pour répondre aux exigences de conformité, notamment lorsqu'elles sont utilisées avec des groupes Okta Privileged Access pour gérer les utilisateurs.
Intégration native du fournisseur d'identité (IdP)
Bien que SSH soit un puissant protocole pour sécuriser les accès aux serveurs, sa conception est antérieure à l'avènement des fournisseurs d'identité fédérés. Par conséquent, son modèle d'autorisation est axé sur l'identité de la machine plutôt que sur l'identité humaine. SSH fonctionne avec les utilisateurs de serveurs, les clés et les certificats plutôt qu'avec les organisations, les divisions des sociétés et les rôles humains.
Ainsi, les bastions SSH sont vulnérables aux attaques par canal auxiliaire. Supposons qu'un utilisateur disposant des accès nécessaires puisse modifier la configuration d'un serveur bastion ou cible. Dans ce cas, il peut accéder aux serveurs cibles pour contourner votre fournisseur d'identité. Par exemple, imaginons un scénario dans lequel un utilisateur disposant de l'accès administrateur à un serveur modifie la configuration sshd et installe sa clé publique pour autoriser un accès non authentifié.
Les passerelles remédient à ce problème, car elles sont étroitement liées à Okta Privileged Access et n'utilisent pas un protocole générique comme SSH. Pour passer une passerelle, les utilisateurs doivent exécuter le client Okta Privileged Access et s'identifier avec Okta. Cela garantit la protection par Okta de tous les accès aux serveurs se trouvant derrière les passerelles.
Rubriques
| Tâche | Description |
|---|---|
| Installer la passerelle Okta Privileged Access | Installer la passerelle Okta Privileged Access |
| Créer des jetons et des libellés |
Connecter la passerelle à une équipe |
| Configurer la passerelle Okta Privileged Access | Contrôler le fonctionnement de la passerelle |
| Facultatif. Enregistrement de session | Configurer l'enregistrement de session sur votre passerelle |