Téléchargez un exemplaire gratuit du rapport ici.
Les clés SSH (Secure Shell) sont une méthode d’authentification répandue et donnent accès à une large gamme d’actifs vitaux dans des réseaux d’entreprise. Tout comme les mots de passe, ces moyens d’authentification doivent faire l’objet de bonnes pratiques de sécurité pour éviter un abus de privilèges, mais la gestion manuelle des clés SSH est un processus lourd. En général, une DSI d’entreprise crée et attribue des clés SSH à la volée aux utilisateurs demandant un accès à des serveurs SSH, sans mécanisme central de suivi de leur utilisation. Le nombre de clés SSH non gérées peut vite devenir incontrôlable et la série des clés orphelines engendrer un risque d’accès non autorisé.
Pour assurer un suivi et un contrôle global des clés SSH, l’organisation doit établir un programme complet de gestion qui intègre parfaitement sa solution de gestion de l’accès privilégié (PAM) pour automatiser la gestion du cycle de vie des clés SSH aux actifs privilégiés du réseau.
ManageEngine PAM360 facilite la gestion de tout le cycle de vie des clés SSH avec une seule console unifiée. De la recherche des serveurs SSH, du recensement des comptes d’utilisateur et de la création d’un registre central des clés SSH à la génération et au déploiement de clés à la demande, l’exécution d’une rotation régulière et le lancement de sessions SSH distantes à des systèmes cibles, PAM360 permet à un administrateur d’analyser, d’automatiser et de gérer tout le cycle de vie des clés SSH associées à des actifs stratégiques de l’écosystème informatique.
PAM360 intègre un outil qui aide l’administrateur à effectuer une recherche dans le réseau des clés SSH déployées entre divers serveurs de l’infrastructure. On peut aussi exécuter la recherche de serveurs SSH en masse à la demande ou automatiquement à des intervalles réguliers via la création de tâches planifiées. Une fois les serveurs trouvés, l’administrateur recense les comptes d’utilisateur de chaque ressource et importe les clés SSH qu’ils possèdent en indiquant les identifiants d'utilisateur concernés. Outre le registre des mots de passe, PAM360 offre un magasin centralisé auquel les clés SSH sont automatiquement ajoutées après la recherche et l’importation.
PAM360 permet à l’administrateur de créer de façon centralisée d’autres paires et de déployer les clés publiques sur des serveurs SSH du réseau. Cela remplace les associations clé-utilisateur existantes par de nouvelles relations de confiance, établissant un workflow de contrôle d’accès simplifié et améliorant le suivi de l’utilisation des clés. On peut aussi effectuer la génération et le déploiement de clés SSH en masse pour plusieurs comptes d’utilisateur. Enfin, PAM360 peut générer des phrases secrètes fortes à la génération de clés pour obtenir un niveau de sécurité supplémentaire.
Un utilisateur peut lancer des sessions SSH instantanées à des hôtes distants qui sont tunnelisées via PAM360, n’exigeant aucun connexion directe entre son appareil et le système cible. La passerelle d’accès élimine tous les tracas liés à la connexion directe, qui oblige l’utilisateur à fournir la clé privée et la phrase secrète chaque fois qu’il lance une session. Cela renforce une sécurité stricte.
Il est courant que l’entreprise crée des paires de clés SSH au besoin et utilise la même clé privée pour authentifier plusieurs systèmes. De ce fait, si une seule paire de clés est compromise, on risque d’exposer les données sensibles de tous les comptes auxquels cette clé est associée.
PAM360 permet à l’administrateur d’appliquer une rotation régulière automatisée des paires de clés déployées sur divers serveurs du réseau. Cette bonne pratique aide l’entreprise à respecter les normes sectorielles et les réglementations et à renforcer la sécurité des données. L’administrateur dispose, sous forme de pistes d’audit, de rapports et de tableaux de bord, d’un aperçu global de tout l’historique des différentes clés, avec la date de création, le créateur et le propriétaire de la clé, l’historique de rotation, etc.
Outre la recherche et le recensement des clés SSH, PAM360 facilite les tâches de gestion en présentant à l’administrateur un aperçu complet des relations clé-utilisateur dans tout le réseau d’entreprise. Chaque clé stockée dans PAM360 est associée aux comptes d’utilisateur concernés du serveur distant. L’administrateur peut donc suivre facilement les relations et supprimer toute clé indésirable ou orpheline du réseau qui risquerait d’engendrer un vecteur de violation de données.
PAM360 offre des stratégies de gestion des clés permettant à l’administrateur d’effacer toutes les relations clé-utilisateur actuelles du réseau en supprimant les détails de clé publique du fichier authorized_keys des hôtes distants. Il peut ensuite créer d’autres paires de clés et les déployer sur des serveurs cibles. Ces stratégies facilitent une refonte rapide de tout le cadre SSH pour corriger toutes les vulnérabilités existantes et permettre à l’administrateur d’établir une gestion saine complète.