セキュリティポリシー

セキュリティポリシーは、1つ以上のリソースに対する特権アクセス権が付与されるプリンシパルを制御します。セキュリティ管理者は、ポリシーの作成、ポリシーへのプリンシパルの割り当て、1つ以上のルールの追加を行います。

ルールの作成時にセキュリティ管理者は、Okta Privileged Accessによって保護されるリソースへのアクセス時にユーザーが満たす必要がある特定の条件を作成できます。これらのルールは、一連のプリンシパルに必要なすべての特権アクセス権がカバーされるまで積み重ねる(または追加する)ことで各種リソースに合わせてカスタマイズできます。これにより、管理者は各種リソースに合わせて異なる制御を設定し、それらのリソースへのアクセスを、承認されたユーザーのみに許可することができます。

セキュリティ管理者は、代理セキュリティ管理者として割り当てられているグループにセキュリティ管理を割り当てることができます。代理セキュリティ管理者は、自身がセキュリティ所有者であるリソースグループに適用されるポリシーを作成できます。代理セキュリティ管理者が作成したセキュリティポリシーは、ポリシーの作成時に選択されたリソースグループのみに適用されます。「代理セキュリティ管理者を追加する」を参照してください。

セキュリティポリシー構成オプション

セキュリティポリシーの作成では、次のアクセス制御機能を構成できます。

機能 説明
プリンシパル ポリシーに関連付けられるユーザーとグループには、一致するリソースへのアクセス権が付与されます。詳細については、「コンポーネント」を参照してください。
ルール

ルールは、リソースの範囲と、リソースに対する特権アクセス権の付与方法を定義するために使用されます。それぞれのセキュリティポリシーには、各プリンシパルで利用できるリソースと特権を定義するルールが含まれます。

セキュリティ管理者と代理セキュリティ管理者が作成できるルールは次のとおりです。

  • サーバールール
  • シークレットルール。「シークレット」を参照してください。
セッションタイプ これは、リソースに対するユーザーのアクセス方法です。セッションタイプは、SSHまたはRDPです。
リソース

リソースに対する特権アクセス権は、セキュリティ管理者が作成するポリシーに基づきます。セキュリティ管理者は、リソースに対するアクセス権の範囲を次の方法で構成できます。

  • システム生成ラベル別のリソース

    Okta Privileged Accessにサーバーを追加すると、ホスト名、サーバータイプ、オペレーティングシステム、AWS、Azure、またはGoogleクラウドプラットフォームアカウントIDなどの特性に応じてシステムが生成するいくつかのラベルが自動的に作成されます。ルールの作成時にセキュリティ管理者は、使用するラベルを選択し、ラベルに一致するサーバーを含めます。

    セキュリティ管理者は、ラベルを使ってサーバーの範囲を定義すると、リソースに対するプリンシパルのアクセス方法を構成できるようになります。プリンシパルは、オンデマンドの個別アカウント、格納済みのローカルアカウント、またはその両方を使ってサーバーにログインすることでリソースにアクセスできます。

  • 名前別のリソース

    セキュリティ管理者は、特定のリソースにポリシーを割り当てることができます(例:apiserver-prod / pamadmin)。

ほとんどのLinuxインストールでは、ルートSSHログインはデフォルトで無効化されています。

セッションの記録 セッションの記録」を参照してください。
承認リクエスト Okta Privileged Accessとアクセスリクエスト」を参照してください。
多要素認証 「多要素認証」を参照してください。

前提条件

  • Okta Privileged Accessにサインインしていることを確認します。
  • Okta Privileged Accessセキュリティ管理者ロールまたは代理セキュリティ管理者ロールが割り当てられている必要があります。

セキュリティポリシーを作成または更新する

ポリシーを作成するには、ポリシー名の追加、プリンシパルの割り当て、プリンシパルに適用されるルールの作成を行う必要があります。作成したポリシーは、公開する必要があります。ポリシーは、公開されるまで効力を持ちません。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. [Create Policy(ポリシーを作成)]をクリックします。
  3. ポリシー名と説明を入力します。
  4. リソースグループの情報を構成します。

    設定 アクション
    All resource groups(すべてのリソースグループ)

    すべてのリソースグループに次を適用するときは、このオプションを選択します。

    代理セキュリティ管理者は、このオプションを選択できません。

    Specify a resource group(リソースグループを指定)

    特定のリソースグループにポリシーを適用するときは、このオプションを選択します。

  5. [Select Principals(プリンシパルを選択)][Add or modify(追加または変更)]をクリックします。
  6. 追加または変更する1つ以上のグループを選択し、[Save(保存)]をクリックします。
  7. リソースの範囲と、これらのリソースに対する特権アクセス権の付与方法を定義するルールを追加します。構成できるルールは、サーバールールシークレットルールです。
    1. サーバールールを追加するには、[Add Rule(ルールを追加)] [Server Rule(サーバールール)]を選択します。
      設定アクション
      Rule name(ルール名)ルール名を入力します。
      Choose a session type(セッションタイプを選択)ドロップダウンメニューを使ってセッションタイプを選択します。
      Select the resources that you want to protect with this rule(このルールによって保護するリソースを選択)

      システム生成ラベルまたは名前によってリソースを選択できます。選択内容に応じて、その他の構成を行う必要があります。

      リソースをシステム生成ラベルで選択する

      1. ボタンを切り替えます。
      2. [Add resources(リソースを追加)]フィールドで、リソースラベルを検索して選択します。複数のリソースラベルを選択できます。
      3. [How you want principals to access the resources(プリンシパルによるリソースへのアクセス方法)]では、いずれか一方または両方のオプションを選択します。

        • Access resources by individual account(個別アカウントでリソースにアクセス)

        • Access resources by vaulted account(格納済みアカウントでリソースにアクセス)

      4. 任意。[Access resources by vaulted account(格納済みアカウントでリソースにアクセス)]をクリックします。たとえば、#pamadminというローカルアカウントを追加することは、ラベルに基づいて選択されるすべてのサーバーで#pamadminアカウントを利用できることを意味します。

      リソースを名前で選択する

      1. ボタンを切り替えます。
      2. 1つ以上のアカウントを個別に選択します。
      任意。Enable session recording(セッションの記録を有効にする)

      セッションの記録を有効にするには、事前にOktaリソース管理者がゲートウェイを登録し、インストールする必要があります。

      1. [ゲートウェイ経由のトラフィックフォワーディングを有効にする]を選択します。
      2. [ゲートウェイ経由でセッションを記録]を選択します。
      任意。Configure approval requests(承認リクエストを構成)セキュリティポリシーがアクセスリクエストワークフローを認識するには、事前に[アクセスリクエスト]でリクエストタイプを作成しておく必要があります。「Okta Privileged Accessとアクセスリクエスト」を参照してください。
      1. ドロップダウンメニューからワークフローを選択します。
      2. 承認を存続させる期間を選択します。
      3. 任意。承認の存続期間終了後のパスワードローテーション設定を選択します。

      WindowsサーバーでOktaがローカルアカウントのパスワード管理を制御するには、Oktaによるパスワードの変更やローテーションの妨げる可能性があるパスワードの有効期間制限をユーザーが無効にする必要があります。

      任意。Enable MFA(MFAの有効化)

      ポリシー内の認証と制御の詳細レベルを追加するには、MFAを有効にします。

      1. [MFAの有効化]に切り替えます。

      2. [任意の2つの要素タイプ]を選択します。

      3. 次のいずれかの再認証頻度を選択します。

        • Every SSH or RDP connection attempt(SSHまたはRDP接続試行のたび)

          セキュリティ管理者は、リソースに対してアクセスが試行されるたびにMFAを強制することができます。

        • After the specified duration(指定期間後)

          デフォルトでは、指定期間は30分に設定されます。セキュリティ管理者には、5分~12時間の範囲で期間を指定できます。

      ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

    2. シークレットルールを追加するには、[ルールを追加] [シークレットルール]を選択します。

      設定アクション
      Rule name(ルール名)ルール名を入力します。

      Select the secret folder or secret you want to protect with this rule(このルールによって保護するシークレットフォルダーまたはシークレットを選択)

      1. [シークレットフォルダーまたはシークレットを選択]をクリックします。

      2. シークレットフォルダーまたはシークレットを選択します。

      3. [保存]をクリックします。

      Select Permissions(権限を選択)

      権限を選択します。少なくとも1つの権限を選択する必要があります。詳細については、「シークレット権限」を参照してください。

      Approval requests(承認リクエスト)

      セキュリティポリシーがアクセスリクエストワークフローを認識するには、事前に[アクセスリクエスト]でリクエストタイプを作成しておく必要があります。「Okta Privileged Accessとアクセスリクエスト」を参照してください。

      1. 承認リクエストタイプを選択します。

      2. 承認を存続させる期間を選択します。

  8. [ポリシーを保存]をクリックします。このポリシーを公開できるようになります。

ポリシーを公開する

作成したポリシーは、公開する必要があります。

公開したポリシーを変更すると、その変更は直ちに適用されます。ポリシーを公開し直す必要はありません。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. 公開するポリシーの[Actions(アクション)]をクリックします。
  3. [Publish(公開)]をクリックしてポリシーに対するアクセス権を付与します。

ポリシーを複製する

セキュリティ管理者は、新しいポリシーをゼロから作成する代わりに既存のポリシーを複製できます。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. 複製するポリシーの[Actions(アクション)]をクリックします。
  3. [Clone(複製)]を選択します。
  4. [Save Policy(ポリシーを保存)]をクリックします。

関連項目

Okta Privileged Accessとアクセスリクエスト

多要素認証

Okta Privileged Access

シークレット権限