検出

Keeperディスカバリーとは

Keeperディスカバリーにより、DevOps、ITセキュリティ、ソフトウェア開発チームに対し、組織内のすべての特権アカウントとIT資産に対する完全な可視性を実現します。Keeperゲートウェイを介して、以下の対象環境にわたってインフラ内のアセットを特定できます。

• ローカル環境

• AWS

• Azure

なぜ Keeperディスカバリー を使用するのか？

多くの組織では、オンプレミス環境やマルチクラウド構成など、ますます複雑化するインフラ全体にわたる特権アカウントやIT資産の可視性を維持することに苦慮しています。可視性の欠如は、未管理アカウントや設定ミス、セキュリティ上の脆弱性につながる可能性があります。

Keeperディスカバリーでこれらの課題を解決します。

• 可視性の一元化 ローカル環境、AWS、Azureにわたって特権アカウントやITアセットを自動で検出・カタログ化します。

• セキュリティ体制の強化 未管理アカウント、設定ミス、リスクを特定し、脆弱性への事前対応を可能にします。

• 検出プロセスの効率化 Keeperゲートウェイを活用して、アセットの検出を簡素化し、インフラへのシームレスな統合を実現します。

• チームをサポート DevOpsやITセキュリティ、ソフトウェア開発チームがアカウントやアセットを安全に管理できるよう、役立つ情報を提供します。

• コンプライアンスの強化 監査や報告のために特権アカウントやアセットの正確なインベントリを確保し、規制要件を満たす手助けをします。

暗号化とセキュリティモデル

Keeperディスカバリーはゼロ知識モデルで動作し、Keeperのインフラや従業員が検出されたアセットを閲覧、アクセス、復号化することはできません。すべての検出作業は、Keeperゲートウェイが顧客の環境内で実行します。ゲートウェイで検出内容を暗号化し、Keeperボルトおよび特権ユーザーとKeeperシークレットマネージャーAPIを介して安全にデータを交換します。

• 詳細については、アーキテクチャのページをご参照ください。

Keeperディスカバリーの機能

Keeperディスカバリーは、ゼロトラストKeeperPAMプラットフォームの一部で、以下の機能があります。

• 任意のKeeperゲートウェイを通じてアセットをスキャンするディスカバリージョブを作成

• 実行中のディスカバリージョブのステータスを表示

• ディスカバリージョブを終了

• レコードの保存を「追加」「無視」「確認」のいずれかに自動的に適用するルール

• カスタマイズ可能なルールエンジンを通じてルールを構築

• 検出されたリソースは指定された共有フォルダに追加可能

方法論

Keeperのディスカバリーシステムは、まずKeeperゲートウェイの機能と定義されたPAM設定に基づいてリソースのスキャンを実行します。

リソースを検出した後、ルールエンジンが検出結果をKeeperレコードに変換し、これらのリソースを共有フォルダーに追加します。以下は作成できるKeeperレコードの種類です。

• PAMマシン

• PAM データベース

• PAMディレクトリ

• PAMユーザー

リソースが検出されると、インタラクティブなディスカバリープロセスにより、管理者の認証情報 (ユーザー名/パスワードの組み合わせやSSHキーなど) を識別されたリソースにリンクすることができます。初回のディスカバリーと認証情報の関連付け後、ユーザーは各ターゲットリソース内のローカルユーザーやサービスを特定するためにさらに深いディスカバリーを開始できます。

Keeperの暗号化データストレージモデルは、これらの関連付け (環境、ゲートウェイ、リソース、アカウント、サービス) をグラフ構造に整理します。このPAMグラフは、親子関係として環境を階層的に表現し、KeeperPAMが環境を効果的にマッピングおよび可視化できるようにします。

ディスカバリーの使い方

検出は、KeeperコマンダーCLIとボルトUIを通じて管理します。

• 検出の基本

• コマンダーを使用した検出

• ボルトを使用した検出

次のセクションでは、KeeperPAMを使用した検出の基本について取り扱います。