トンネルの設定

デスクトップアプリでトンネルを設定

概要

KeeperPAMのトンネルでは、対象システムへの直接的なネットワーク経路を必要とせずにインフラへアクセスするための安全で一時的な接続を確立します。RDP、SSH、LDAPS、データベースなどのプロトコルに対して暗号化されたトンネルを確立することで、ジャストインタイムアクセスが実現します。ユーザーはKeeperPAMプラットフォームを通じて認証を行い、そこから接続を仲介しポリシーを適用します。

KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。

要件

トンネルはKeeperデスクトップアプリおよびKeeperコマンダーCLIからご利用になれます。

トンネルを設定する前に、以下をご確認ください。

トンネル関連のポリシー

以下のトンネル関連の強制適用ポリシーを有効にしてトンネル使用権限を制御します。

KeeperPAMの強制ポリシーへは、管理コンソールを開いて、[管理者] > [ロール] > [強制適用ポリシー] > [特権アクセス管理] の順に移動します。

トンネルへの強制適用ポリシー
ポリシー
コマンダーでのポリシー
定義

トンネル設定を構成

ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS

PAMマシン、PAMディレクトリ、PAMデータベース、PAM構成の各レコードタイプでトンネル設定を構成できるようにします。

トンネルを開始

ALLOW_LAUNCH_PAM_TUNNELS

PAMマシン、PAMディレクトリ、PAMデータベースの各レコードタイプでトンネルを開始できるようにします。

以下のようにKeeperコマンダーCLIenterprise-roleコマンドを使用することでもトンネルを有効にできます。

enterprise-role "My Role" --enforcement "ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS":true
enterprise-role "My Role" --enforcement "ALLOW_LAUNCH_PAM_TUNNELS":true

ポリシーの活用

トンネルの開始のみの権限のみを付与し、トンネルの設定を構成する権限を付与しない場合は、「トンネルを開始」ポリシーのみを有効にします。

トンネルの開始に加え、トンネルの設定を構成する権限も付与する場合は、「トンネル設定を構成」と「トンネルを開始」の両方のポリシーを有効にします。

Keeperゲートウェイのインストール

Keeperゲートウェイは、顧客のネットワークにインストールし、対象インフラへのゼロトラストアクセスを実現するエージェントレスのホスティングサービスです。通常、このサービスはアクセスが必要な各ネットワークにおいて、LinuxまたはDocker環境にインストールします。

詳しくはこちらのページをご参照ください。

PAM構成

PAM構成には、対象インフラ、設定、Keeperゲートウェイに関する重要な情報が含まれています。インフラストラクチャ用PAM構成の設定は必須となります。詳しくはこちらのページをご参照ください。

PAMマシン、PAMデータベース、PAMディレクトリ

Keeperトンネルは、ボルトクライアントと対象エンドポイントとの間で確立される、安全で暗号化されたTCP/IP接続です。対象のエンドポイントは、以下のいずれかのPAMレコードタイプで定義する必要があります。

PAMレコードのタイプ
対象エンドポイントのタイプ

PAMマシン

Windows/MacOS/Linuxの各マシン、EC2インスタンス、Azure VM

PAMデータベース

MySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle

PAMディレクトリ

Active Directory、OpenLDAP

設定の詳細については対象エンドポイントに該当するPAMレコードタイプのページをご参照ください。

PAM設定 (トンネル設定)

対象エンドポイントでPAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成した後、以下の手順でPAM設定画面の [トンネル] セクションへ移動します。

  1. PAMレコードを編集する

  2. PAM設定セクション内の [セットアップ] をクリックする

  3. 表示されたウィンドウで [トンネル] セクションに移動する

以下の表は、PAM設定画面の [トンネル] セクションで設定可能な項目となります。

フィールド
定義

PAM構成

必須

PAM構成には対象インフラの詳細が含まれており、PAMレコードで設定された対象へのアクセスが可能になります。

トンネルを有効にする

必須

チェックするとそのレコードでトンネルを有効にします。

前回のポートを再利用する

チェックすると、前回使用されたトンネルポートが再利用されます。これにより、ポート番号が毎回変更されなくなります。

トンネルポート

Keeperゲートウェイが対象インフラへ接続する際に使用するポートです。指定がない場合は、Keeperレコードで設定されている「ローテーションポート」が使用されます。 指定したポートがすでに使用中である場合、トンネルは開始できません。

以下の画像のPAMマシンレコードでは以下が設定されています。

  • トンネルが有効

  • トンネルはローカルホストからリモートサーバーのポート3306に接続

  • 以降のトンネルでは同じローカルポートを使用

KeeperPAMリソースでのトンネル設定

PAMレコードにトンネルを設定すると、PAMレコードに [トンネル接続を開始] ボタンが表示されます。

トンネル接続を開始

トンネルの開始

[トンネル接続を開始] ボタンをクリックしてトンネルを開始します。この場合、ローカルポート番号は49644が選択されます。以降、このリソースに対するトンネルは同じローカルポートとトンネルが使用されます。

トンネルの使用

上記のスクリーンショットでは、対象エンドポイントであるAWSクラウド上で実行されているMySQLデータベースがPAMマシンレコードに定義および設定されています。トンネル設定が完了した後、ローカルホスト127.0.0.1およびローカルポート59644でトンネルが開始されました。

このMySQLデータベースには、MySQL Workbenchツールなど任意のネイティブアプリケーションを使用してアクセスできます。

同様に、ローカルデバイスのCLIから以下のコマンドを使用してデータベースへの接続を開始できます。

mysql --host=127.0.0.1 --port=59644 --user=admin --password

コマンダーCLI

Keeperデスクトップのユーザーインターフェースに加え、Keeperコマンダーでもトンネリング機能を利用できます。

関連コマンド

My Vault> pam tunnel start s0W1v6R4SUTJYMlu4jTZw
Establishing tunnel between Commander and Gateway. Please wait...

+------------------------------------------------------------------+
| Endpoint pbxV4snkAP9KGCUhSb6aQ==: Listening on: 127.0.0.1:49152 |
+------------------------------------------------------------------+
View all open tunnels   : pam tunnel list
Tail logs on open tunnel: pam tunnel tail pbxV4snkAP9KGCUhSb6aQ==
Stop a tunnel           : pam tunnel stop pbxV4snkAP9KGCUhSb6aQ==

トンネルと接続の違い

トンネルでは、エンドツーエンドの暗号化を用いてユーザーのローカルデバイスから対象のインフラへの経路を確立します。セキュリティ上の理由から、Keeperが低レベル通信を傍受したり干渉したりすることはありません。そのため、パスワードやSSHキーなど、プロトコルで必要となる認証情報はすべて、ユーザーのローカルデバイス上で利用可能である必要があります。Keeperがプロトコル層を傍受することはありません。

トンネルとともに認証情報をユーザーに提供する場合、認証情報の自動ローテーションを行って認証情報がスケジュールに基づいて無効化されるようにすることを推奨します。詳しくはパスワードローテーションのページをご参照ください。

KeeperPAMでは、認証情報を共有することなくリモートインフラへアクセスするのに2つの方法がご利用になれます。

  • 多様なプロトコルを通じてインタラクティブなセッションを確立するための接続

  • 自動入力機能を備えたリモートブラウザ分離によるウェブベースのインタラクティブセッションの確立

前へトンネル次へリモートブラウザ分離

最終更新