Okta Privileged Accessゲートウェイ
Okta Privileged Accessゲートウェイは、SSH Bastion(踏み台)サーバーのスタンドアロンの代替として利用することも、標準のSSH Bastion(踏み台)と組み合わせて利用することもできます。Okta Privileged Accessゲートウェイは、SSHセッションキャプチャにも使用されます。SSHセッションキャプチャの詳細については、「セッションの記録」を参照してください。
Okta Privileged Accessゲートウェイは、可用性とセキュリティを向上させます。
高可用性
ゲートウェイは、高可用性を保証するメカニズムを複数備えており、単一障害点のリスクのないBastion(踏み台)ホストの機能性として機能できます。ゲートウェイは、標準の負荷分散に加え、サーバーへの常時アクセスを確保するためのさまざまなメカニズムを備えています。これらのメカニズムには、組み込みのステータスチェックと、複数のゲートウェイが同じラベルで登録されている場合の自動負荷分散が含まれます。「Okta Privileged Accessゲートウェイの高可用性」を参照してください。
セキュリティ
Okta Privileged Accessゲートウェイは、以下の設計により、SSH Bastion(踏み台)よりも安全です。
ゼロトラスト
標準のSSH接続では、なんらかの秘密の資格情報(パスワード、キー、証明書など)を使ってサーバーに接続します。これらの資格情報は短時間のみ有効である可能性はあるものの、クライアントまたはエッジデバイスが侵害された場合、攻撃者がターゲットサーバーに直接アクセスできるようになることがあります。
SSH接続にOkta Privileged Accessゲートウェイを使用する場合、クライアントは、サーバーとの直接SSH接続に利用できる資格情報を受け取りません。クライアントが代わりに受け取るのは、ゲートウェイに転送され、ゲートウェイのみが復号できる暗号化されたペイロードです。このアプローチには次のような利点があります。
- 侵害されたクライアントデバイスが、ターゲットサーバーに直接SSH接続するための資格情報を攻撃者に与えてしまうことがありません。
- アクセスはゲートウェイを通過しなければならないため、侵入検知システム(IDS)やその他のモニタリングツールを使ってアクセス試行を監視する方が簡単です。
論理的アクセス管理
適切なアクセス制御を維持することは、SSH Bastion(踏み台)を使用している場合でも、困難な可能性があります。ユーザーのアクセス許可を記録しておき、どのBastion(踏み台)がどのサーバーにアクセス可能であるかの記録を保持しておくことが重要です。各Bastion(踏み台)のセキュリティ要件がアクセス可能なサーバーに応じて異なる場合は、さらに複雑になります。
Okta Privileged Accessゲートウェイは、この複雑さをラベルによって軽減します。ラベルによって、あるプロジェクトでどのゲートウェイを使ってサーバーへの接続をルーティングするかが決まります。ラベルを使用することで、クラウドリージョン、コンプライアンス認定、オペレーティングシステム、ユーザーが選択するキーと値のペアなどに基づいてゲートウェイをスライスできます。プロジェクトで使用するラベルとラベルセレクターが正確であれば、ターゲットサーバーへのアクセスに使用されるゲートウェイが要件を満たすことに確信を持てます。
たとえば、データが特定の国の国境を越えてはならないと規定するデータの局所要件について考えてみましょう。従来のBastion(踏み台)環境では、すべてのターゲットサーバーとBastion(踏み台)サーバーを監査し、国内のBastion(踏み台)サーバーを経由しないとサーバーにアクセスできないことを確認する必要がありました。ゲートウェイを使用する場合、ゲートウェイの動作リージョン(例:AWSリージョン)に基づいてゲートウェイにラベルを付けることができます。個々のサーバーを監査する必要はなくなり、このようなアクセス制限を必要とするサーバーのプロジェクトにゲートウェイセレクターとしてリージョンを追加します。
ゲートウェイは、特にOkta Privileged Accessグループと組み合わせてユーザーの管理に使用する場合、コンプライアンス要件を満たすための強力なツールとなります。
ネイティブIDプロバイダー(IdP)の統合
SSHはサーバーへのアクセスを保護するための素晴らしいプロトコルですが、フェデレーションIDプロバイダーが登場する以前に設計されたものです。そのため、承認スキームは人間のIDではなく、マシンのIDを中心としています。SSHは、組織や会社の部署、職務ではなく、サーバーやキー、証明書に応じてユーザーに対処します。
このため、SSH Bastion(踏み台)は各種形式のサイドチャネル攻撃に対して無防備です。十分なアクセス権を持つユーザーがBastion(踏み台)またはターゲットサーバーの構成を変更できるとしましょう。その場合、そのようなユーザーはターゲットサーバーにアクセスしてIDプロバイダーをバイパスできます。たとえば、サーバーに管理者としてアクセスできるユーザーがsshd構成を変更し、アクセスがログに記録されないように公開鍵をインストールしたなら、どうなるでしょうか。
ゲートウェイは、SSHなどの汎用プロトコルになるのではなく、Okta Privileged Accessと深く結びつくことでこの問題に対応します。ゲートウェイを通過するには、ユーザーはOkta Privileged Accessクライアントを実行し、Oktaによって認証される必要があります。これにより、ゲートウェイの背後にあるサーバーへのすべてのアクセスがOktaによって保護されることが保証されます。
トピック
| タスク | 説明 |
|---|---|
| Okta Privileged Accessゲートウェイをインストールする | Okta Privileged Accessゲートウェイをインストールする |
| トークンとラベルを作成する |
ゲートウェイをチームに接続する |
| Okta Privileged Accessゲートウェイを構成する | ゲートウェイの動作を制御する |
| 任意。セッションの記録 | ゲートウェイでセッションの記録を構成する |