Ctrlk
HomepageSystem Status

リモートブラウザ分離の設定

デスクトップのKeeperボルトにおけるリモートブラウザ分離の設定

概要

本ページでは、Keeperボルトでリモートブラウザ分離 (RBI) の設定方法について取り扱います。リモートブラウザ分離は、ウェブボルトおよびデスクトップアプリの両方で動作します。

KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。

要件

RBIの設定前に以下を確認します。

リモートブラウザ分離関連のポリシー

KeeperPAMの強制適用ポリシーは、Keeperの管理コンソール内から [管理者] > [ロール] をクリックし、[強制適用ポリシー][特権アクセス管理] 画面で管理します。

リモートブラウザ分離の強制適用ポリシー

以下のポリシーは、リモートブラウザ分離を使用する際のユーザー権限に影響するため、有効にする必要があります。

ポリシー
コマンダーのポリシー
定義

リモートブラウジングを構成

ALLOW_CONFIGURE_RBI

PAMリモートブラウジングとPAM構成のレコードタイプで、リモートブラウザやセッション録画の設定を構成できるようにします。

リモートブラウジングを開始

ALLOW_LAUNCH_RBI

PAMリモートブラウジングの起動を許可します。

RBIセッション録画を閲覧

ALLOW_VIEW_RBI_RECORDINGS

RBIセッション録画の閲覧を許可します。

KeeperコマンダーCLI上でも enterprise-role コマンドで上記のポリシーを有効にできます。

強制適用ポリシーの活用事例

RBIセッションの起動のみを許可し、RBI設定の構成は許可しない場合、「リモートブラウジングを開始」ポリシーのみを有効にします。

RBIセッションの開始に加えて、ユーザーにRBI設定の構成も許可する場合、「リモートブラウジングを構成」および「リモートブラウジングを開始」ポリシーを有効にします。

RBIセッション録画の閲覧を許可する場合、「RBIセッション録画を閲覧」ポリシーを有効にします。

セッションレコーディング

RBIセッションは記録することもできます。これらのレコーディングはPAMブラウザのレコードタイプで利用でき、ボルト内で再生できます。詳しくは、セッションの録画と再生のページをご参照ください。

Keeperゲートウェイのインストール

Keeperゲートウェイは、顧客のネットワークにインストールされるエージェントレスのホスト型サービスで、対象インフラへのゼロトラストアクセスを実現します。通常、アクセスが必要な各ネットワークのLinuxまたはDocker環境にインストールします。詳しくは、こちらのページをご参照ください。

PAM構成

PAM構成には、対象のインフラ、設定、および関連するKeeperゲートウェイに関する重要な情報が含まれます。インフラ向けのPAM構成の作成は必須です。詳しくは、PAM構成のページをご参照ください。

PAMブラウザ

RBIセッションを起動すると、ウェブおよびデスクトップのボルトクライアントに、PAMブラウザレコードで指定したURLへの接続が確立されたChromiumのウィンドウが表示されます。詳しくは、PAMブラウザレコードのページをご参照ください。

PAM設定 - リモートブラウザ分離

RBI設定へのアクセス

対象URLでPAMブラウザ設定を作成した後、以下の操作でPAM設定へ移動します。

  1. PAMブラウザレコードを編集します。

  2. PAM設定のセクションで [セットアップ] をクリックします。

RBI設定の構成

PAM設定画面を開くと、以下のフィールドを設定できます。

フィールド
定義

PAM構成

必須

利用する環境とゲートウェイを定義するPAM構成。

リモートブラウザ分離を有効にする

必須

このレコードでRBIを有効にするには、このトグルをオンにします。

グラフィカルセッション録画

有効にすると、このレコードに対してグラフィカルなセッション録画が有効になります。KeeperAIを利用する場合に必要です。

主要イベント

有効にすると、キーボードイベントも監視され、グラフィカルなセッション録画とあわせて再生されます。KeeperAIを利用する場合に必要です。

URLを直接操作することによるナビゲーションを許可

チェックすると、ユーザーにURLナビゲーションバーが表示されます。

ファイルのダウンロードを許可

チェックすると、RBI経由でウェブサイトのファイルをローカルマシンへダウンロードすることを許可します。

ファイルのアップロードを許可

チェックすると、RBI経由でウェブサイトへファイルをアップロードすることを許可します。

サーバー証明書を無視する

設定すると、URLがレコードのURLフィールドに設定されたドメインと正確に一致する限り、Chromiumは無効な証明書を無視します。

セッションの永続性

セッションの永続性は、RBIセッションを一時的にするか、ユーザー固有にするか、ユーザー間で共有するかを制御し、セッションデータの保持と再利用の方法を決めます。 なし — セッションデータは保持されません。保存されたCookie、ローカルストレージ、履歴なしで、各セッションは新規に開始されます。 ユーザー別 — セッションデータは個々のユーザーに保持されます。 リソース別 — リソース (RBIレコード) に対して単一の共有セッションが維持され、ユーザー間で再利用されます。同時にアクティブにできるセッションは1つだけです。 詳細はこちらをご参照ください。

URLパターンを許可する

手動ナビゲーション (URLバー) または現在のページ上での操作を通じて、ユーザーがアクセスしてよいURLのパターンをすべて指定します。複数のパターンは改行で区切ります。

指定した場合、リストのパターンに一致するページのみが許可されます。

既定では、すべてのURLが許可されます。

詳細はこちらをご参照ください。

リソースURLパターンを許可する

ページがリソースとして読み込んでよいURLのパターン (画像、スクリプト、スタイルシート、フォントなど) をすべて指定します。複数のパターンは改行で区切ります。

指定した場合、リストのパターンに一致するリソースのみが読み込まれます。

既定では、ページが読み込むリソースに制限はありません。

詳細はこちらをご参照ください。

ブラウザの自動入力 - 認証情報

Keeperボルトから開始したRBIセッションでは、対象となるウェブサイトのログイン画面にユーザー名とパスワードを自動入力できます。KSMアプリケーションに共有されたボルトレコードをここでリンクできます。このリンクされたレコードの認証情報は、「自動入力の対象」セクションで定義された自動入力ルールに基づいて、対象ウェブサイトのログイン画面に自動的に入力されます。

詳細はこちらをご参照ください。

ブラウザの自動入力 - 自動入力の対象

このセクションには、自動入力ルール (JSONまたはYAMLのオブジェクト配列) が含まれ、各オブジェクトが1件の自動入力ルールを表します。

詳細はこちらをご参照ください。

クリップボードへコピー

有効にすると、RBIセッション内でコピーしたテキストをユーザーが利用できます。

クリップボードから貼り付け

有効にすると、ユーザーは接続中のRBIセッション内でクリップボードからテキストを貼り付けられます。

ファイルのアップロードとダウンロード

Keeperリモートブラウザ分離 (RBI) では、ローカル端末と隔離されたブラウザセッションの間でファイルを安全にやり取りできます。

  • ファイルのアップロードを許可 有効にすると、ユーザーはローカルマシンからリモートのブラウザセッションへファイルをアップロードできます。ブラウザ内の標準的なファイル選択やドラッグアンドドロップに対応します。アップロードされたファイルは、ローカルシステムをウェブ由来の脅威に晒さずに隔離環境へ安全に転送されます。

  • ファイルのダウンロードを許可 有効にすると、ユーザーはリモートのブラウザセッションからローカルマシンへファイルをダウンロードできます。隔離セッションから取得したファイルは、ユーザーの端末へ安全に届けられます。

これらの制御は、組織のセキュリティポリシーに合わせて、ファイルの出入りを制限または許可するよう構成できます。

注: ファイル転送機能はリスク許容度に応じて有効にしてください。アップロードやダウンロードを許可すると、ユースケースによってはデータ持ち出しやマルウェア移動の検討が必要になります。

セッションの永続性

既定では、新しいリモートブラウザ分離セッションはシークレット (プライベート) モードで実行され、セッション終了後にCookie、ローカルストレージ、閲覧履歴などのセッションデータは保持されません。これにより、データの永続化なしに複数ユーザーが同時にセッションを実行できます。

セッションの永続性の設定は、セッションデータの保持方法を制御します。

  • なし (シークレットモード) セッション間でデータは保存されません。各セッションは新規に開始され、完全に隔離されます。最も安全な選択肢であり、一般的な利用や信頼できないサイトの閲覧に推奨されます。

  • ユーザー別 (現在のユーザー向けにセッションを保持) セッションデータはそのユーザーに保持されます。ユーザーが再接続すると、ログイン済みセッションや開いているタブなど、前回のセッション状態を再開できます。他のユーザーはこのセッションにアクセスできません。

  • リソース別 (ユーザー間で共有セッション) すべてのユーザーが同じRBIリソースにアクセスするとき、単一の永続セッションが共有されます。同時にアクティブにできるセッションは1つだけです。共有アカウントやユーザー間での継続性が必要な環境では有用ですが、共有アクセスになるため慎重に利用してください。

セッションレコーディング - RBI

このプロトコルでは、タイミング情報を含むグラフィックデータが記録されます。詳しくは、セッションの録画と再生のページをご参照ください。

ワークフローとRBI

PAMブラウザレコードでは、ワークフロー (チェックイン/チェックアウト) を有効にして、ウェブベースのアクセスに承認とガバナンスを追加できます。

RBIセッションにワークフローを適用すると、以下のとおりになります。

  • セッションを開始する前にユーザーがアクセスを申請する必要がある

  • 指定した承認者による承認が必要になる場合がある

  • セッションに期限を設け、一定期間後にアクセスが自動的に失効する

  • 説明責任と監査のためにすべてのアクセスが記録される

これにより、RBI経由の機密性の高いウェブアプリケーションへのアクセスが制御され、監視され、組織のセキュリティポリシーに沿った運用がしやすくなります。

詳細は以下のページをご参照ください。

ワークフロー

KeeperAIとRBI

リモートブラウザ分離 (RBI) およびPAMブラウザレコードではKeeperAIを有効にでき、AIによる脅威検出とセッション分析が利用できます。

有効にすると、KeeperAIはブラウザセッションをリアルタイムで監視し、ユーザー操作を分析して潜在的なセキュリティリスクを特定します。異常な挙動、不審な操作、侵害の兆候など、ウェブセッション上のさまざまな兆候も検出します。

詳細は以下のページをご参照ください。

KeeperAI
前へリモートブラウザ分離次へURLパターンとリソースURLパターン

最終更新