接続とトンネルのセキュリティ

接続およびトンネルのセキュリティと暗号化モデル

概要

KeeperPAMは、クラウドおよびオンプレミス環境における特権セッションの確立、セキュアなトンネルの作成、インフラへの直接アクセスの提供、リモートデータベースアクセスのセキュリティ確保を実現します。

接続とは?

接続とはウェブブラウザを使用して対象のデバイスに視覚的なリモートセッションを指します。ユーザーはウェブブラウザまたはKeeperデスクトップアプリを使用して対象のデバイスを操作します。

トンネルとは?

トンネルは、ローカルボルトクライアントと対象のエンドポイント間で、Keeperゲートウェイを通じて確立されるTCP/IP接続です。ユーザーは、コマンドラインターミナル、GUIアプリケーション、データベース管理ツールなど、任意のネイティブアプリケーションを使用して対象のエンドポイントと通信できます。

接続およびトンネルのセキュリティ

接続またはトンネルが確立される際には、以下が行われます。

  1. ボルトクライアントアプリケーションは、Keeperルーターインフラストラクチャと通信し、WebRTC接続を開始します。この接続は、対応するKeeperレコード内に格納されたECDH対称鍵によって保護されています。

  2. Keeperゲートウェイは、出力専用WebSocketを使用してKeeperルーターと通信します。詳細については、ゲートウェイセキュリティのページをご参照ください。

  3. Keeperゲートウェイは、KeeperシークレットマネージャーAPIを利用して、ボルトから必要なシークレット (ECDH対称鍵を含む) を取得します。

  4. 接続の場合、ボルトクライアント (Apache Guacamoleプロトコルを使用) は、WebRTC接続を介してデータをKeeperゲートウェイに送信し、KeeperゲートウェイはGuacdを利用してKeeperレコードに指定された宛先に接続します。

  5. トンネリング機能 (ポート転送など) の場合、Keeperデスクトップアプリがインストールされたローカルデバイスでローカルポートが開かれます。このローカルポートに送信されたデータはWebRTC接続を介してKeeperゲートウェイに転送され、その後Keeperレコードに指定されたターゲットエンドポイントに転送されます。

  6. 接続のセッション録画は、AES-256暗号化キー (「録画キー」) で保護されており、このキーは各セッションごとにKeeperゲートウェイで生成されます。さらに、録画キーはHKDFに基づいて導出されたAES-256リソースキーで保護されます。

最終更新