ボルトの構造

KeeperPAMで使用するKeeperボルトの構造

概要

お客様の環境では、Keeperボルトは組織内のすべてのユーザーとデバイスに展開されています。ウェブブラウザーを通じてアクセスでき、Windows、macOS、Linux用のネイティブデスクトップアプリも提供されています。KeeperボルトはKeeperPAMプラットフォームの基盤であり、全ユーザーに展開され、MFA、SSOが強制され、ゼロ知識暗号化モデルを実装しています。

Keeper管理コンソールからロール別強制適用ポリシーを有効にすると、指定されたユーザーはボルトを介して直接KeeperPAMの機能を操作できるようになります。

レコード、レコードタイプ、リソース

Keeperのレコードには、パスワード、ファイル、パスキーなど、用途に応じてさまざまなタイプがあります。各レコードは、ユーザーのデバイスでレコードレベルの暗号化キーを用いてローカルで暗号化されます。ボルト内ではレコードに含まれるすべての情報が暗号化されます。

シークレット管理および特権アクセス管理 (PAM) の機能を使用する際、レコードはアプリケーション、マシン、ディレクトリ、データベース、ドメインコントローラー、ユーザーなど、管理しているインフラを表すこともできます。

これらのレコードタイプは、パスワードレコードと同様に、プライベートまたは共有フォルダに配置され、ボルト内で直接管理され、ポリシーによって制御されます。

フォルダと共有フォルダ

 ボルト内では、レコードはフォルダや共有フォルダに格納します。推奨されるフォルダ構成は以下のようになります。

  • フォルダ

    • リソースを格納した共有フォルダ

    • ユーザーアカウントを格納した共有フォルダ

KeeperPAMでの通常のフォルダセットアップ

最小権限の原則に基づき、リソースとユーザーアカウントを分けることを推奨します。この構成では、認証情報へのアクセス権を共有することなくユーザーにリソースを提供できます。ユーザーアカウントは別のフォルダに配置され、ボルト内で保つか、必要に応じて他の特権ユーザーと共有することができます。

例えば、以下ではLinuxマシンのようなリソースはリソースフォルダ内にあります。そのリソースに接続するために使用される管理者認証情報はリンクされていますが、リソース内に直接埋め込まれているわけではありません。この方法により、認証情報を共有せずにリソースへのアクセスを付与できるわけです。

この例では、リンクされている管理者認証情報は、個別のアクセス権限とフォルダ権限が付与されたユーザーフォルダに存在します。

ユーザーフォルダ内のリンクされた認証情報

共有フォルダレベルでは、ユーザーとアプリケーションの両方にアクセス権を付与することができます。これにより、従業員とマシンに対して最小権限の原則を適用することができます。

共有フォルダへのアクセスが付与された人間のユーザー
共有フォルダへのアクセスが付与されたアプリとマシン

レコード、フォルダ、アプリケーション、設定の関係を理解するには、クイックスタートウィザードをご使用ください。このウィザードでは、さまざまなリソースやボルトレコードを操作できるサンドボックス環境を簡単に作成できます。

アプリケーション

シークレットマネージャーアプリケーションは、特定の共有フォルダに割り当てられます。これらのアプリケーションは、デバイスやゲートウェイと関連付けられ、割り当てられたレコードにアクセスします。

アプリケーションと関連するデバイスおよびゲートウェイは、そのフォルダに割り当てられたレコードしか復号化できません。Keeperでは最小権限の原則を実践することを推奨しており、アプリケーションがボルト内のレコードにアクセスする範囲を制限しています。

アプリケーションの管理は、ボルト内のKeeperシークレットマネージャーの画面で行います。下の画像の「Azure DevOps Pipeline」や「Azure AD Rotations」はアプリケーションの例となります。

シークレットマネージャーアプリケーション

アプリケーションについて詳しくはこちらのページをご参照ください。

デバイス

デバイスは、アプリケーションに関連するシークレットにアクセスするためのエンドポイントです。物理デバイス、仮想デバイス、クラウドベースのデバイスが含まれ、各クライアントデバイスには関連シークレットを読み取り、アクセスするための固有のキーが割り当てられます。

デバイスは、ボルトのユーザーインターフェース内の「アプリケーション」画面から初期化できます。

デバイスについて詳しくはこちらのページをご参照ください。

ゲートウェイ

Keeperゲートウェイは、Docker、Linux、Windowsマシンにインストールして、パスワードのローテーション、検出、接続、トンネリングなどの特権自動化タスクを実行するためのサービスです。このゲートウェイサービスは、リモートまたはオンプレミス環境に展開され、ゼロトラスト接続を実現します。

通常、Keeperゲートウェイは管理している各環境に展開します。たとえば、500件のクライアント環境を管理するMSPの場合は500件のKeeperゲートウェイを展開します。

Keeperゲートウェイ展開のアーキテクチャは用途によって異なります。弊社の担当チームまでお問い合わせください。

構成

PAM構成では、Keeperゲートウェイがインストールされているターゲット環境を定義します。この構成で、AzureクライアントシークレットやテナントIDなど、対象のインフラの管理に必要な重要なシークレットをゲートウェイに提供します。

PAM構成データは、指定された「アプリケーションフォルダ」内のレコードとして保存され、これによりゲートウェイが必要な情報を取得するための権限が付与されるようになります。

各ゲートウェイに対して1つの設定を定義することをお勧めします。

PAM構成

PAM設定レコードについて詳しくはこちらのページをご参照ください。

PAMリソース

ボルトでは、レコードで管理するリソースのタイプが定義されます。これらはPAMリソースと呼ばれており、いくつかの新しいレコードタイプがリソースに関連付けられています。

リソースを作成する際には、マシン、データベース、ディレクトリなど様々な対象から選択できます。

PAMリソースの作成

各PAMリソースについては以下のリンクをご参照ください。

PAMレコードタイプ
対応アセット

PAMマシン

Windows、Linux、macOSの各デバイス、VM、EC2インスタンス、Azure VM、Networkデバイス、その他OS。

PAMデータベース

MySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle

PAMディレクトリ

Active Directory、Azure AD、OpenLDAP

PAMリモートブラウザ

ウェブベースのアプリケーション、セルフホスト型アプリケーション、クラウドアプリケーション、httpまたはhttpsのターゲット。

PAMユーザー

「PAMユーザー」と呼ばれる特別なレコードタイプは任意のPAMリソースに直接関連付けることができます。PAMユーザーはKeeperゲートウェイによって使用され、接続の確立、パスワードのローテーション、アカウントの検出、対象のリソースでその他の特権自動化を実行します。

PAMユーザーは、レコード内の「認証情報」画面でPAMリソースと関連付けられます。この関連付けにより、リソースへのアクセスで直接認証情報へアクセスを許可されないようになります。

PAMリソースにリンクされたPAMユーザー

PAMユーザーレコードはオンデマンドおよび自動ローテーション用に設定できます。

PAMユーザーの設定

PAMユーザーについて詳しくはこちらのページをご参照ください。

PAM機能を有効にする

PAM機能の有効化と利用方法については以下のリンクをご参照ください。

前へ強制適用ポリシー次へレコードリンク

最終更新