パスワードローテーション

概要

KeeperPAMのパスワードローテーション機能は、クラウドおよびオンプレミス環境における認証情報を安全かつ自動的にローテーションする機能です。対象となる認証情報には、Active Directoryアカウント、WindowsおよびLinuxユーザー、データベースパスワード、Azure IAMアカウント、AWSアカウント、Google Workplaceアカウント、SSHキーなどが含まれます。Keeperのゼロトラスト・ゼロ知識セキュリティモデルに準拠し、脆弱な認証情報の使用、認証情報の使い回し、長期間変更されていない認証情報によってもたらされるリスクを軽減するとともに、情報漏洩、従業員の退職、ダークウェブへの流出などのリスクにも対応します。

機能

• 包括的な認証情報のローテーション インフラやマルチクラウド環境において、マシン、サービスアカウント、ユーザーアカウントの認証情報を自動でローテーション。

• 柔軟なスケジューリング 指定した時間での定期的なローテーションや、オンデマンドでの実行が可能。

• サービス管理 ローテーション後にWindowsサービスやスケジュールタスクのログオン認証情報を自動更新。

• ローテーション後のアクション 認証情報のローテーション後に、カスタムアクションや処理を実行可能。

• アクセスベースのローテーション アクセスの有効期限が切れると自動的に認証情報をローテーション。

• 安全なアクセス管理 認証情報の共有やアクセス管理を制御し、コンプライアンスレポートを生成。

• 詳細な監査ログ Keeperの高度なレポートおよびアラートモジュール (ARAM) を活用し、すべてのローテーションイベントを追跡。

• Keeperコマンダーによる自動化 Keeperコマンダーと統合し、完全自動化された認証情報ローテーションワークフローを実現。

• ローテーションプラグイン オープンソースのプラグインフレームワークにより、あらゆるサードパーティ製SaaSサービスとのローテーション機能の連携が可能になります。

アーキテクチャ

パスワードのローテーションはKeeperゲートウェイで実行され、Keeperウェブボルト、デスクトップアプリ、コマンダーCLIを通じて管理します。

パスワードローテーションの仕組み

• PAMユーザーレコードにはローテーション対象の認証情報が保存されます。

• PAMユーザーレコードのローテーション設定では、ローテーションを実行する対象リソースとして特定のPAMマシン、PAMデータベース、PAMディレクトリリソースが参照されます。

• Keeperゲートウェイは、PAMマシン、PAMデータベース、またはPAMディレクトリの各リソースに関連付けられた管理者認証情報を使用し、ネイティブプロトコルによって認証情報のローテーションを実行します。

• AWS、Azure、GCPの各リソースについては、PAM構成レコードにクラウドネイティブAPIを用いたローテーションに必要な権限およびアクセスキーが保持されます。

• AWS上にデプロイされたゲートウェイでは、APIを使用したローテーションの実行に、ゲートウェイのインスタンスロール権限が使用されます。

• AzureおよびGoogle Cloudで管理されているリソースでは、ゲートウェイのサービスアカウントに付与された権限が使用されます。