最終更新
最終更新
Keeperゲートウェイは、Windows、Linux、Mac OSマシンにインストールする軽量のサービスで、ローテーション、検出、接続の各タスクを実行します。1つのゲートウェイを使用して、オンプレミスとクラウドの両方のターゲットインフラストラクチャと通信できます。通常は管理対象の各環境にKeeperゲートウェイを展開します。
Keeperゲートウェイは、オペレーティングシステムおよびハードウェアによって使用できる機能が異なります。完全な機能をお使いいただきながら簡単に管理していただけるよう、LinuxまたはWindowsホストでx86 CPUを使用したDockerの利用を推奨します。
備考: 近日中にEL9 (Rocky Linux 9およびRHEL 9を含む) に対応予定。
最適なパフォーマンスを得るためには、任意のKeeperゲートウェイデバイスに対して、最低でも2つのCPU、2GBのRAM、500MBのディスクスペースを推奨します。しかし、実際のシステム要件は、同時ユーザーセッション数や確立される接続の種類によって異なる場合があります。同時接続数が増加するにつれて、CPUとメモリリソースのスケーリングが重要になります。特に、リモートブラウザ分離 (RBI) は、各セッションに対してヘッドレスChromiumインスタンスを起動します。RBIセッションの数が多いと予想される場合、システムがこれらの需要に対応できるようスケーリングされているようにしてください。
Keeperゲートウェイは、暗号化鍵とKeeperクラウドでの認証に使用されるローカルのシークレットマネージャー構成を生成します。生成される場所は、ゲートウェイが実行されている状況によって異なります。ローカルユーザーにインストールすることも、サービスとしてインストールすることもできます。
KeeperウェブボルトまたはKeeperデスクトップアプリにログインします。
プレビュー版が必要となります。
画面左の[Secrets Manager]をクリックします。
新しいシークレットマネージャーアプリケーションを作成するか、または既存のアプリケーションを選択します。
[ゲートウェイ]タブをクリックし、[ゲートウェイのプロビジョニング]をクリックします。
インストール方法をDocker、Linux、Windowsから選択します。
Keeperゲートウェイをインストールします。
LinuxおよびWindowsのワンタイムトークン方式を使用したKeeperゲートウェイの作成中に、[デバイスの外部 WAN IP アドレス用初期リクエストをロック]を選択すると、サービスに組み込まれた認証と暗号化に加えて、ゲートウェイのIPが固定されます。
お使いのオペレーティングシステムに基づいて、以下のインストール手順をご参照ください。
詳しくはとのページをご参照ください。
AWSのEC2インスタンスにインストールする場合、AWS Secrets Managerから構成を取得するためにKeeperゲートウェイでインスタンスロールを使用するように構成できます。詳細については、をご参照ください。
Docker (x86使用のLinuxまたはWindowsホスト)
全機能に対応
Linux (RHEL 8、Rocky Linux 8)
全機能に対応
Docker (ARM搭載のLinuxホスト)
リモートブラウザ分離なし
Linuxバイナリインストール (Ubuntu, Debian)
リモートブラウザ分離なし
接続プロトコルに制限あり
Windowsバイナリインストール
リモートブラウザ分離なし
データベース接続なし
Keeperゲートウェイのインストールと設定
ゲートウェイは、以下へのアウトバウンド接続のみを確立します。
Keeperクラウド
TLSポート443
対象インフラとの通信には、ネイティブプロトコル (SSH、RDPなど) を使用する必要があります。
Keeper KRelay (coturn) サーバー (krelay.keepersecurity.[com|eu|com.au|jp|ca|us])
ポート3478でTCPおよびUDP
ユーザーのボルトとゲートウェイサービス間で、安全で暗号化された接続を確立するために必要です。
Keeper KRelay (coturn) サーバー (krelay.keepersecurity.[com|eu|com.au|jp|ca|us])
ポート49152から65535までのTCPおよびUDPのアウトバウンドアクセス
指定されたポート範囲でアウトバウンドアクセスを確立するために必要です。
ゲートウェイでは、すべての暗号化および復号化処理をローカルで実行することでゼロ知識を保持します。Keeperクラウドとの通信にはKeeperシークレットマネージャーのAPIを使用します。