シングルサインオンの特徴の一つとして、利用者にパスワードを見せないことがあります。
Administratorやrootなどの特権アカウントは複数の人が使うので、管理者が利用するときには十分に管理することが必要になります。
特権アカウントの場合、ある規模以上の組織だと複数の人がログイン情報の共有することで対応します。
マイクロソフトのエクセルでパスワード管理ということもさほど珍しくはないと思います。
エクセルを使ったパスワード管理
しかしこの方法だと、管理者がパスワードを他の人に渡す可能性や、のぞき見される可能性がります。
BeyondTrust Password Safeはパスワードをワークフローを通してパスワードを開示することもできますし、シングルサインオンもできるようになっています。またBeyondTrust Privileged Remote Access と連携することでVPNを利用することなくインターネット経由で利用できるようになります。
USOに代表されるエンタープライズシングルサインオンではクライアントがユーザーの代わりにログイン情報を入力しますが、BeyondTrust Privileged Remote Access はWindows Remote Desktop サービスなどを経由して、特権アカウントのログイン情報を代理入力することでシングルサインオンを実現してます。
シングルサインオンだけでなくPassword Safe/ PRAはともに利用申請と承認フローをサポートしています。
シングルサインオンにすることの利点
1. パスワードの表示がない
パスワードを入力する必要がないので、パスワードが悪用されることはなくなります。
RED IMでのパスワード表示の例
2.履歴が取れる
リモートデスクトップでの動きを動画として保存ができるので後で問題があった時に確認が簡単にできます。
3.アクセス元の限定
ターゲットサーバーへのアクセスはリモートデスクトップに限定することで侵入される確率が低くなります。具体的にいうとRDPで利用しているポートをファイアーウォールで限定することでBeyondTrust Privileged Remote Access以外からのアクセスを遮断することで不正アクセスを減らすことが可能になります。
4.SIEMなどログ監視ツールと連携で早い対応を実現
リモートデスクトップ経由以外のアクセスの場合、問題があると判断させることで問題があるアクセスを早く検出することが可能になります。
結論
特権管理アカウント製品導入の目的は、特権アカウントのパスワード管理ですが、シングルサインオン機能を利用することで、パスワードを隠蔽できるだけでなく、管理者はログイン作業の手間なども減るため大幅に作業効率が高まります。
またあわせてログイン作業はすべて動画として保存されるので、万が一何か問題があってもすぐに確認できるようになります。
関連ページ
製品
BeyondTrust Privileged Remote Access
コメント
[…] 危険なパスワードを見せない ~ 特権アカウントシングルサインオン […]
[…] 「危険なパスワードを見せない ~ 特権アカウントシングルサインオン」 […]
[…] 危険なパスワードを見せない ~ 特権アカウントシングルサインオン […]
[…] 危険なパスワードを見せない ~ 特権アカウントシングルサインオン […]