エアギャップ環境におけるKeeperPAMの導入

概要

Keeperの特権アクセス管理 (KeeperPAM) は、特権に関する認証情報の一元管理と、保護されたシステムへのアクセスを実現します。

本ドキュメントでは、ネットワークが制限された環境（いわゆるエアギャップ環境を含む）におけるKeeperPAMの導入方法を説明し、想定される運用条件で稼働させるうえで必要なインフラ要件も示します。

現時点では、KeeperPAMの稼働にAWSのクラウドインフラが必要です。

エアギャップ環境で考慮する点

エアギャップ環境とは、一般に外部ネットワークへの接続が限定的であるか、厳格に管理された環境を指します。

完全にネットワークから切り離されたオフライン環境では、KeeperPAMをそのまま導入することはできません。通常運用では、お客様環境のPAMコンポーネントから、Keeperが管理するクラウドサービスへのネットワーク接続が必要です。

外部への接続が厳格に制限/管理されていても、必要な通信経路が確保されていれば、導入できる場合があります。

アーキテクチャの概要

KeeperPAMでは、コアサービスをKeeper Securityがクラウド上でホストおよび管理するクラウドベースのアーキテクチャを採用しています。

お客様環境には、保護対象システムと連携し、Keeperのクラウドサービスと通信するPAMコンポーネントが配置されます。

KeeperPAMのバックエンドが稼働するクラウドは、現時点ではAWSに限られます。

インフラ要件

Keeperのクラウドサービス

KeeperPAMは、AWS上にホストされるKeeper Securityのクラウドサービスに依存します。これらのサービスは製品の稼働に必須であり、Keeper Securityが管理します。お客様がこれらのクラウドサービスをデプロイしたり運用したりすることはありません。

お客様環境に導入するPAMコンポーネント

お客様環境では、導入したKeeperPAMコンポーネントが次の処理を行います。

• 環境内の保護対象システムとの連携

• AWS上のKeeperクラウドサービスとの通信

これらのコンポーネントが機能するには、Keeperのクラウドへのネットワーク接続が必要です。

ネットワーク接続の要件

KeeperPAMを想定される運用条件で使うには、次の接続要件を満たす必要があります。

• お客様環境のPAMコンポーネントから、AWS上のKeeperクラウドサービスへのネットワーク接続

• PAMコンポーネントとKeeperのクラウドサービスとの間で、必要な通信が成立するネットワーク条件

完全にオフラインである環境や、ネットワークから切り離された環境は対象外です。

ネットワークが制限された環境への導入

AWS上にホストされるKeeperのサービスへ、必要な通信が届く状態であれば、ネットワークアクセスが制限/管理された環境にもKeeperPAMを導入できます。

現時点では、外部ネットワークへの接続をすべて禁止するデプロイは対象外です。