検出の基本

検出のためのKeeperPAMセットアップ手順

概要

このガイドでは、検出機能を使用して対象のインフラ内のリソースを検出する方法について説明します。

要件

検出機能を使用する前に、以下の準備が必要です。

  • KeeperPAMの有効なライセンス

  • 管理コンソールでポリシーを有効化し、検出機能を使用可能にする

  • 最新バージョンのKeeperゲートウェイをデプロイ済みであること

検出のポリシー

管理コンソールで、以下のポリシーを有効にすることで、ユーザーが検出ジョブを実行できるようになります。

検出ポリシーを有効にする
ポリシー名
ポリシー名
説明

検出を実行

ALLOW_PAM_DISCOVERY

ユーザーによる検出ジョブの実行を許可します

このポリシーをコマンダーCLIで有効にする場合、以下のようにenterprise-roleコマンドを使用します。

enterprise-role "My Role" --enforcement "ALLOW_PAM_DISCOVERY":true

Keeperゲートウェイのインストール

Keeperゲートウェイは、対象のインフラに対してゼロトラストアクセスを可能にするサービスです。このサービスは、管理対象ネットワークごとにDocker、Linux、Windows環境にインストールします。

PAMユーザーレコードの作成

検出ジョブを実行する前に、使用予定の管理用認証情報についてPAMユーザーレコードを作成することを推奨します。これらの認証情報は、アプリケーションおよびKeeperゲートウェイと関連付けられた共有フォルダ内にPAMユーザーレコードタイプとして保存します。

PAM構成の準備

検出を開始するには、対象インフラに対するPAM構成を作成する必要があります。PAM構成は、どの場所でリソースを検出するかを指定する役割を持ちます。

ネットワーク検出

ローカルネットワークの検出は、CIDRを使用してスキャンを行います。リソースを検出するには、対象のポートでサービスがリッスンしている必要があります。以下は、検出が正常に動作するために必要なPAM構成データの例です。

フィールド名
説明
備考

ネットワークID

ネットワークの識別名

ユーザー参照用。例: My Network

ネットワークCIDR

IPアドレスのサブネット

例: 192.168.0.15/24 (CIDR形式の指定)

ポートマッピング

非標準ポートを使用している場合のポート指定

検出で正しくリソースを見つけるために使用。例:ssh=2222rdp=3390

AWSディスカバリ

AWSディスカバリでは、Keeperゲートウェイに付与されているAWSロールポリシーを利用して、AWSリソースを自動的に検出します。PAM構成では、指定されたリージョン名に基づいて検索対象をフィルタリングします。

KeeperゲートウェイがAWSリソースを検出するには、標準ポート (SSHは22番、RDPは3389番など) で対象に通信できる必要があります。非標準ポートを使用している場合は、PAM構成でそのポート番号を指定する必要があります。検出では、ポート通信が正常に行えるリソースのみをKeeperボルトに登録します。そのため、必要に応じてセキュリティグループの設定を調整し、通信を許可してください。

以下は、AWSディスカバリが正常に動作するために必要なPAM構成フィールドの例です。

フィールド名
説明
備考

AWS ID

ユーザーが指定する識別名

管理画面上での参照用。自由に設定可能

アクセスキーID

アクセスキー (必要な場合のみ)

Gatewayにインスタンスロールが割り当てられている場合は不要

シークレットアクセスキー

シークレットキー (必要な場合のみ)

上記と同様、インスタンスロールがある場合は不要

リージョン名

AWSリージョン名のリスト (改行区切り)

指定したリージョン内のみがDiscovery対象となる 例: us-west-1us-east-2

ポートマッピング

非標準ポートを使用する場合のマッピング指定

例: ssh=2222rdp=3390

Azureディスカバリ

Azureディスカバリでは、Keeperゲートウェイに割り当てられたロールに付与されているアクセス権限を利用してAzureリソースを検出します。PAM構成では、指定されたリージョン名に基づいて検出対象をフィルタリングします。

KeeperゲートウェイがAzureリソースを検出するためには、対象となるリソースへ標準ポート (例: SSHは22番、RDPは3389番など) を使って通信できる必要があります。非標準ポートを使用している場合は、PAM構成でそのポート番号を明記する必要があります。ポート通信が成功したリソースのみがKeeperボルトに追加されるため、必要に応じてNetwork Security Group (NSG) の設定を調整して、対象ポートへの通信が許可されていることを確認してください。

以下は、Azureディスカバリを正しく動作させるために必要なPAM構成のフィールドです。

フィールド名
説明
備考

Azure ID

Azureインスタンスの固有のID

必須。ユーザーが識別しやすい名前を設定可能 例: Azure-1

クライアントID

AzureアプリケーションのクライアントID (UUID)

必須

クライアントシークレット

Azureアプリケーションのクライアントシークレット

必須

サブスクリプションID

AzureサブスクリプションのUUID (例: Pay-As-You-Goなど)

必須

テナントID

Azure Active DirectoryのテナントUUID

必須

リソースグループ

チェック対象のリソースグループのリスト

空欄の場合はすべてのリソースグループが対象 各グループは改行で区切ります

検出のワークフロー

検出ジョブを実行する際の基本的な手順は以下のとおりです。

  1. 関連付けられた共有フォルダにKeeperゲートウェイをセットアップします。

  2. 管理者用認証情報をPAMユーザーレコードタイプとして追加します。

  3. 共有フォルダの認証情報を使用して、対象のネットワークやクラウド環境で検出ジョブを実行します。

  4. 検出によって見つかったPAMマシン、PAMデータベース、PAMディレクトリなどのリソースを特定します。

  5. 各リソース内のユーザーアカウントの検出を行うために、認証情報を利用してさらなるジョブを実行します。

検出タイプ

Keeperは以下のリソースに対して、リソースと関連するユーザーアカウントを自動的に検出します。

データベース

  • PostgreSQL

  • MySQL

  • MariaDB

  • Microsoft SQL Server

  • Oracle

  • MongoDB

マシン

  • Linux

  • Windows

ディレクトリ

  • Active Directory

  • LDAP

  • ローカルユーザー

  • ドメインユーザー

AWSクラウド

  • 仮想マシン (EC2など)

  • ディレクトリおよびディレクトリユーザー

  • IAMユーザー

  • データベース

  • データベースユーザー

Azureクラウド

  • 仮想マシン

  • ディレクトリおよびディレクトリユーザー

  • IAMユーザー

  • データベース

  • データベースユーザー

サービスおよびスケジュールタスクの検出

Windowsマシン上で検出を実行すると、Keeperは実行中のサービスやスケジュールされたタスクにPAMユーザーを直接関連付ける必要があるかどうかを自動的に判断します。

アカウントのローテーションが行われると、Keeperは以下の操作を実施します。

  • 該当ユーザーで実行されているWindowsサービスアカウントの「log on as」の認証情報を自動更新

  • サービスを再起動

  • 対象マシン上で、そのユーザーで実行されているスケジュールタスクの認証情報も更新

この機能の詳細とセットアップ手順については、「サービス管理」ページをご参照ください。

PAM機能の有効化

検出完了後、ボルトのレコードを編集することで、ローテーション接続トンネルなどの高度な機能を有効にできます。

次の手順

前へ検出 (ディスカバリー)次へコマンダーを使用した検出

最終更新