アーキテクチャ図

アーキテクチャ図

KeeperPAMのインフラとセキュリティモデルでは、エンドユーザーのデバイスとターゲットインフラ間でゼロ知識暗号化を活用します。Keeperのサーバーでは、セッションを復号化したり、インターセプトしたりすることができません。

KeeperPAMのコンポーネント

Keeperゲートウェイ

Keeperゲートウェイは、お客様の環境にインストールされ、Keeperサービスとアウトバウンドで通信します。ゲートウェイは、認証情報のローテーション、検出、ネットワーク上のアセットへの接続を処理します。ゲートウェイはKeeperルータからコマンドを受け取り、KeeperシークレットマネージャーAPIを利用してデータの認証、通信、復号化を行います。

Keeperルータ

Keeperルータは、Keeperのクラウド内に存在するインフラストラクチャサービスで、Keeperサービスとローテーションゲートウェイとの接続を管理します。クラウドルータは、Keeperボルト、お客様のゲートウェイ、Keeperのバックエンドサービス間でリアルタイムのメッセージングと通信を行います。

Keeperリレー

Keeperリレーは、Keeperのクラウド内にあるインフラストラクチャで、エンドユーザーのボルトインターフェースとお客様がホストするKeeperゲートウェイサービスとの間で暗号化されたWebRTC接続を確立する役割を担っています。

KeeperバックエンドAPI

KeeperバックエンドAPIは、すべてのKeeperクライアントアプリケーションが通信するエンドポイントです。クライアントアプリケーションは、ローカルでデータを暗号化し、暗号化された暗号文をProtocol BufferフォーマットでAPIに送信します。

スケジューラ

Keeperがホストするインフラストラクチャで、ターゲットインフラ内での認証情報のローテーションスケジュールのタイミングとロジスティクスを管理します。

管理コンソールとコントロールプレーン

管理コンソールでは、すべてのKeeperコンポーネントにわたるポリシーの設定と適用を行います。

クライアントアプリケーション

ボルトの管理、パスワードのローテーション、検出ジョブの実行、接続の作成、トンネルの管理を行うためのエンドユーザーインターフェースです。

データフロー

1. Keeperユーザーがボルトインターフェース、管理コンソール、コマンダーCLI、他のエンドポイントアプリケーションを通じて、ローテーション、接続、トンネリング、検出アクションを実行します。

2. KeeperゲートウェイがKeeperルータへのアウトバウンドWebSocket接続を確立し、アクションの実行要求を受け取ります。

3. ボルトクライアントアプリケーションが、顧客がホストするKeeperゲートウェイとのWebRTC接続を確立します。

4. KeeperゲートウェイがKeeperシークレットマネージャーAPIを使用してボルトから必要なシークレットを取得します。

5. Keeperゲートウェイがターゲットインフラでのアクション (認証情報のローテーションなど) を実行し、関連するKeeperボルトレコードを更新します。

6. KeeperゲートウェイがネイティブプロトコルとAPIを使用して、ゲートウェイまたはターゲットマシン上で必要な権限自動化スクリプトを実行します。

7. クライアントデバイスでは、KeeperシークレットマネージャーAPIを使用して更新されたレコードを安全に取得します。

8. ボルトのエンドユーザーは、同期できる新しいデータがあることを示すプッシュ通知を受け取ります。

9. ボルトでは、Keeperクラウドへの暗号化同期を実行し、最新のレコードコンテンツを取得します。

10. Keeperの高度なレポートとアラートモジュールでは、すべてのイベントがログに記録され、アラートを発動します。