セキュリティポリシー

セキュリティポリシーは、1つ以上のリソースに対する特権アクセス権が付与されるプリンシパルを制御します。セキュリティ管理者は、ポリシーの作成、ポリシーへのプリンシパルの割り当て、1つ以上のルールの追加を行います。

ルールの作成時に、Okta Privileged Accessによって保護されるリソースへのアクセス時にユーザーが満たす必要がある特定の条件を作成できます。これらのルールは、一連のプリンシパルに必要なすべての特権アクセス権がカバーされるまで積み重ねる(または追加する)ことで各種リソースに合わせてカスタマイズできます。これにより、各種リソースに合わせて異なる制御を設定し、それらのリソースへのアクセスを、承認されたユーザーのみに許可することができます。

代理セキュリティ管理者として割り当てられているグループにセキュリティ管理を割り当てることができます。代理セキュリティ管理者は、自身がセキュリティ所有者であるリソースグループに適用されるポリシーを作成できます。代理セキュリティ管理者が作成したセキュリティポリシーは、ポリシーの作成時に選択されたリソースグループのみに適用されます。「代理セキュリティ管理者を追加する」を参照してください。

セキュリティポリシー構成オプション

セキュリティポリシーの作成では、次のアクセス制御機能を構成できます。

機能 説明
プリンシパル ポリシーに関連付けられるユーザーとグループには、一致するリソースへのアクセス権が付与されます。詳細については、「コンポーネント」を参照してください。
ルール

ルールは、リソースの範囲と、リソースに対する特権アクセス権の付与方法を定義するために使用されます。それぞれのセキュリティポリシーには、各プリンシパルで利用できるリソースと特権を定義するルールが含まれます。

セキュリティ管理者と代理セキュリティ管理者が作成できるルールは次のとおりです。

  • サーバールール
  • シークレットルール。「シークレット」を参照してください。
セッションタイプ これは、リソースに対するユーザーのアクセス方法です。セッションタイプは、SSHまたはRDPです。
リソース

リソースに対する特権アクセス権は、セキュリティ管理者または代理セキュリティ管理者が作成するポリシーに基づきます。リソースに対するアクセス権の範囲は次の方法で構成できます。

  • ラベルを使用するリソース

    ルールの作成時に使用するラベルを選択し、ラベルに一致するサーバーを含めます。ラベルを使ってサーバーの範囲を定義すると、リソースに対するプリンシパルのアクセス方法を構成できるようになります。プリンシパルは、オンデマンドの個別アカウント、格納済みのローカルアカウント、またはその両方を使ってサーバーにサインインすることでリソースにアクセスできます。

  • 名前別のリソース

    特定のリソースにポリシーを割り当てます(例:apiserver-prod / pamadmin)。

ほとんどのLinuxインストールでは、ルートSSHログインはデフォルトで無効化されています。

ラベル

個々のサーバーにラベルを適用できます。Okta Privileged Accessチームは、これらのラベルを使用してサーバーアクセスを分類したり、並べ替えたりできます。ラベルには次の2つのタイプがあります。

  • System-generated labels(システム生成ラベル)Okta Privileged Accessにサーバーを追加すると、ホスト名、サーバータイプ、オペレーティングシステム、AWS、Azure、またはGoogleクラウドプラットフォームアカウントIDなどの特性に応じてシステムが生成するいくつかのラベルが自動的に作成されます。

  • Custom labels(カスタムラベル): サーバーエージェント構成ファイル(sftd.yaml)にラベルを直接構成できます。構成が済むと、このファイルがOkta Privileged Accessコンソールに表示され、ラベルを選択できます。サーバーエージェント構成ファイルにカスタムラベルを追加するには、「カスタムラベル」を参照してください。

    カスタムラベルはサーバーのアクセシビリティに影響を与える可能性があります。カスタムラベルは慎重に使用することをお勧めします。

チームの柔軟性を高めるために、ラベルは、「キー:値」のペアの書式で並べ替えられます。たとえば、サーバーにはenv:prodenv:testという2つのラベルが存在する場合があります。ラベルは、システム内から、またはsftd構成ファイルを通じて生成されます。Okta Privileged Accessは、ラベルのソースを識別するプレフィックスを自動的に追加します。env:prodラベルがOkta Privileged Accessから生成された場合,、システムプレフィックスはsystem.env:prodのようになります。同様に、env:testラベルがsftd構成ファイルから生成された場合、sftdプレフィックスはsftd.env:testのようになります。これにより、同じラベルが複数のソースから追加された場合(これはシステムとサーバーエージェント構成ファイルの両方でラベルが指定されている場合に起こる可能性があります)の競合を回避できます。

セッションの記録 セッションの記録」を参照してください。
承認リクエスト Okta Privileged Accessとアクセスリクエスト」を参照してください。
多要素認証 「多要素認証」を参照してください。

前提条件

  • Okta Privileged Accessにサインインしていることを確認します。
  • Okta Privileged Accessセキュリティ管理者ロールまたは代理セキュリティ管理者ロールが割り当てられている必要があります。

セキュリティポリシーを作成または更新する

ポリシーを作成するには、ポリシー名の追加、プリンシパルの割り当て、プリンシパルに適用されるルールの作成を行う必要があります。作成したポリシーは、公開する必要があります。ポリシーは、公開されるまで効力を持ちません。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. [Create Policy(ポリシーを作成)]をクリックします。
  3. ポリシー名と説明を入力します。
  4. リソースグループの情報を構成します。

    設定 アクション
    All resource groups(すべてのリソースグループ)

    すべてのリソースグループに次を適用するときは、このオプションを選択します。

    代理セキュリティ管理者は、このオプションを選択できません。

    Specify a resource group(リソースグループを指定)

    特定のリソースグループにポリシーを適用するときは、このオプションを選択します。

  5. [Select Principals(プリンシパルを選択)][Add or modify(追加または変更)]をクリックします。
  6. 追加または変更する1つ以上のグループを選択し、[Save(保存)]をクリックします。
  7. リソースの範囲と、これらのリソースに対する特権アクセス権の付与方法を定義するルールを追加します。構成できるルールは、Server rule(サーバールール)Secret rule(シークレットルール)です。
    1. サーバールールを追加するには、[Add Rule(ルールを追加)] [Server Rule(サーバールール)]を選択します。
      設定アクション
      Rule name(ルール名)ルール名を入力します。
      Choose a session type(セッションタイプを選択)ドロップダウンメニューを使ってセッションタイプを選択します。
      このルールによって保護するリソースを選択

      ラベルまたは名前によってリソースを選択できます。選択内容に応じて、その他の構成を行う必要があります。

      [Select resources by label(リソースをラベルで選択する)]

      1. ボタンを切り替えます。
      2. [Add resources(リソースを追加)]フィールドで、リソースラベルを検索して選択します。複数のリソースラベルを選択できます。ラベルの詳細については、「セキュリティポリシー構成オプション」を参照してください。
      3. [プリンシパルによるリソースへのアクセス方法]では、いずれか一方または両方のオプションを選択します。

        • Access resources by individual account(個別アカウントでリソースにアクセス)

        • Access resources by vaulted account(格納済みアカウントでリソースにアクセス)

          たとえば、#pamadminというローカルアカウントを追加することは、ラベルに基づいて選択されるすべてのサーバーで#pamadminアカウントを利用できることを意味します。

      [Select resources by name(リソースを名前で選択する)]

      1. ボタンを切り替えて有効にします。
      2. 1つ以上のアカウントを個別に選択します。
      任意。Enable session recording(セッションの記録を有効にする)

      セッションの記録を有効にするには、事前にOktaリソース管理者がゲートウェイを登録し、インストールする必要があります。

      1. [Enable traffic forwarding through gateways(ゲートウェイ経由のトラフィックフォワーディングを有効にする)]を選択します。
      2. [Record session through gateways(ゲートウェイ経由でセッションを記録)]を選択します。
      任意。Configure approval requests(承認リクエストを構成)セキュリティポリシーがアクセスリクエストワークフローを認識するには、事前に[Access Requests(アクセスリクエスト)]でリクエストタイプを作成しておく必要があります。「Okta Privileged Accessとアクセスリクエスト」を参照してください。
      1. ドロップダウンメニューからワークフローを選択します。
      2. 承認を存続させる期間を選択します。
      3. 任意。承認の存続期間終了後のパスワードローテーション設定を選択します。

      WindowsサーバーでOktaがローカルアカウントのパスワード管理を制御するには、Oktaによるパスワードの変更やローテーションを妨げる可能性があるパスワードの有効期間制限をユーザーが無効にする必要があります。

      任意。Enable MFA(MFAの有効化)

      ポリシー内の認証と制御の詳細レベルを追加するには、MFAを有効にします。

      1. [Enable MFA(MFAの有効化)]に切り替えます。

      2. 次のいずれかのオプションを選択します。

        • Any two-factor types(任意の2要素タイプ)

        • Phishing resistant(フィッシング耐性)

      3. 次のいずれかの再認証頻度を選択します。

        • Every SSH or RDP connection attempt(SSHまたはRDP接続試行のたび)

          リソースに対してアクセスが試行されるたびにMFAを強制することができます。

        • After the specified duration(指定期間後)

          デフォルトでは、指定期間は30分に設定されます。5分~12時間の範囲で期間を指定できます。

      ポリシーの実装後は、リソースへの接続を試みるユーザーは必要なMFAステップを完了する必要があります。

    2. シークレットルールを追加するには、[Add rule(ルールを追加)] [Secret Rule(シークレットルール)]を選択します。

      設定アクション
      Rule name(ルール名)ルール名を入力します。

      Select the secret folder or secret you want to protect with this rule(このルールによって保護するシークレットフォルダーまたはシークレットを選択)

      1. [Select secret folder or secret(シークレットフォルダーまたはシークレットを選択)]をクリックします。

      2. シークレットフォルダーまたはシークレットを選択します。

      3. [Save(保存)]をクリックします。

      Select Permissions(権限を選択)

      権限を選択します。少なくとも1つの権限を選択する必要があります。詳細については、「シークレット権限」を参照してください。

      Approval requests(承認リクエスト)

      セキュリティポリシーがアクセスリクエストワークフローを認識するには、事前に[Access Requests(アクセスリクエスト)]でリクエストタイプを作成しておく必要があります。「Okta Privileged Accessとアクセスリクエスト」を参照してください。

      1. 承認リクエストタイプを選択します。

      2. 承認を存続させる期間を選択します。

  8. [Save policy(ポリシーを保存)]をクリックします。このポリシーを公開できるようになります。

ポリシーを公開する

作成したポリシーは、公開する必要があります。

公開したポリシーを変更すると、その変更は直ちに適用されます。ポリシーを公開し直す必要はありません。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. 公開するポリシーの[Actions(アクション)]をクリックします。
  3. [Publish(公開)]をクリックしてポリシーに対するアクセス権を付与します。

ポリシーを複製する

セキュリティ管理者は、新しいポリシーをゼロから作成する代わりに既存のポリシーを複製できます。

  1. [Security Administration(セキュリティ管理)] [Policies(ポリシー)]に移動します。
  2. 複製するポリシーの[Actions(アクション)]をクリックします。
  3. [Clone(複製)]を選択します。
  4. [Save Policy(ポリシーを保存)]をクリックします。

関連項目

Okta Privileged Accessとアクセスリクエスト

多要素認証

Okta Privileged Access

シークレット権限