Téléchargez un exemplaire gratuit du rapport ici.
Les clés SSH (Secure Shell) sont des clés de chiffrement qui facilitent les connexions sécurisées à des appareils SSH. Tout comme les mots de passe, ces moyens d’authentification doivent faire l’objet de bonnes pratiques de sécurité pour éviter un abus de privilèges, mais la gestion manuelle des clés SSH est un processus lourd. En général, une DSI d’entreprise crée et attribue des clés SSH à la volée aux utilisateurs demandant un accès à des serveurs SSH, sans mécanisme central de suivi de leur utilisation. Le nombre de clés SSH non gérées peut vite devenir incontrôlable et la série des clés orphelines engendrer un risque d’accès non autorisé.
Pour assurer un suivi et un contrôle global des clés SSH, l’organisation doit établir un programme complet de gestion qui intègre parfaitement sa solution de gestion de l'accès privilégié (PAM) pour automatiser la gestion du cycle de vie des clés SSH aux actifs privilégiés du réseau.
ManageEngine PAM360 facilite la gestion de tout le cycle de vie des clés SSH avec une seule console unifiée. De la recherche des serveurs SSH, le recensement des comptes d’utilisateur et la création d’un registre central des clés SSH à la génération et le déploiement de clés à la demande, la rotation régulière des clés et le lancement de sessions SSH à distance sur des systèmes cibles, PAM360 permet aux administrateurs d’analyser, d’automatiser et de gérer tout le cycle de vie des clés SSH associées à des actifs stratégiques de l’écosystème informatique.
PAM360 intègre un outil de détection qui aide les administrateurs à rechercher dans le réseau les clés SSH déployées via divers serveurs de l’infrastructure informatique. On peut exécuter la recherche de serveurs SSH en masse, à la demande ou automatiquement à des intervalles réguliers en créant des tâches planifiées. Ensuite, les administrateurs peuvent répertorier les comptes d’utilisateur de chaque ressource et importez leurs clés SSH en indiquant les identifiants d’utilisateur correspondants. Outre le registre des mots de passe, PAM360 offre un magasin centralisé auquel les clés SSH sont automatiquement ajoutées après la recherche et l’importation.
PAM360 permet, de façon centralisée, de créer des paires de clés SSH et de déployer des clés publiques sur les serveurs SSH du réseau. Cela remplace les associations clé-utilisateur existantes par de nouvelles relations de confiance, établissant un workflow de contrôle d’accès simplifié et améliorant le suivi de l’utilisation des clés. La génération et le déploiement de clés peut aussi s’effectuer en masse pour plusieurs comptes d’utilisateur. Enfin, PAM360 peut générer des phrases secrètes fortes à la génération de clés pour obtenir un niveau de sécurité supplémentaire.
Les utilisateurs peuvent lancer des sessions SSH instantanées sur des hôtes distants en tunnel via PAM360, sans connexion directe entre leur appareil et le système cible. La passerelle d’accès élimine tous les problèmes liés à la connexion directe, qui oblige les utilisateurs à fournir manuellement la clé privée et la phrase secrète à chaque lancement de session, et renforce la sécurité.
Les entreprises ont pour pratique générale de créer des paires de clés SSH au besoin et d’utiliser la même clé privée pour authentifier plusieurs systèmes. De ce fait, si une seule paire de clés est compromise, on risque d’exposer les données sensibles de tous les comptes auxquels cette clé est associée.
PAM360 permet à l’administrateur d’appliquer une rotation régulière automatisée des paires de clés déployées sur divers serveurs du réseau. Cette bonne pratique aide l’entreprise à respecter les normes sectorielles et les réglementations et à renforcer la sécurité des données. L’administrateur dispose, sous forme de pistes d’audit, de rapports et de tableaux de bord, d’un aperçu global de tout l’historique des différentes clés, avec la date de création, le créateur et le propriétaire de la clé, l’historique de rotation, etc.
Outre la recherche et le recensement des clés SSH, PAM360 facilite les tâches de gestion en présentant à l’administrateur un aperçu complet des relations clé-utilisateur dans tout le réseau d’entreprise. Chaque clé stockée dans PAM360 est associée aux comptes d’utilisateur concernés du serveur distant. L’administrateur peut donc suivre facilement les relations et supprimer toute clé indésirable ou orpheline du réseau qui risquerait d’engendrer un vecteur de violation de données.
PAM360 offre des stratégies de gestion des clés permettant aux administrateurs d’effacer toutes les associations clé-utilisateur existantes du réseau en supprimant les détails de clé publique du fichier des clés autorisées des hôtes distants. Il peut ensuite créer d’autres paires de clés et les déployer sur des serveurs cibles. Ces stratégies facilitent une refonte rapide de tout le cadre SSH pour corriger toutes les vulnérabilités existantes et permettre à l’administrateur d’établir une gestion saine complète.