トンネル
ボルトからターゲットエンドポイントへのセキュアで暗号化されたTCP/IP接続を作成
概要
KeeperPAMトンネルは、対象システムへの直接的なネットワーク経路を必要とせずにインフラへアクセスするための、安全で一時的な接続を実現します。RDP、SSH、LDAPS、データベースなどのプロトコル向けに暗号化されたトンネルを確立することで、ジャストインタイムアクセスが可能になります。ユーザーはKeeperPAMプラットフォームで認証し、そこから接続が仲介され、厳格なポリシーが適用されます。トンネルが有効化されると、任意のネイティブアプリを使って対象インフラと通信できます。
Keeperトンネルを使用するには、ネイティブのKeeperデスクトップ アプリまたはKeeperコマンダーCLIが必要です。
Keeperトンネルはどのように機能しますか?
トンネルを開始すると、Keeperデスクトップクライアントが動作しているローカルデバイスでローカルポートが開きます。ネイティブアプリは、このローカルポート経由でターゲットと通信します。セキュリティモデルの詳細は、接続とトンネルのセキュリティのページをご参照ください。
Keeperトンネルを使用する理由
IT管理者、DevOps、開発チームにとって、リモートの社員や契約社員に社内リソースへのアクセスを許可しつつ、それらのリソースを外部ネットワークに晒さないことは、よくある課題です。さらに、リモートの社員は、自分が選んだネイティブアプリでこれらのリソースにアクセスしたい場合があります。
Keeperトンネルは、以下の点でこの課題に対応します。
クライアントからターゲットリソースへの安全で暗号化された接続
ユーザーが選んだネイティブアプリケーションによる、ターゲットリソースへの安全な接続
構成の簡素化 — PAMレコードタイプからのセキュア接続のセットアップと管理の効率化
アクセス制御とコンプライアンス — アクセス制御の集中管理により、すべての接続が組織のセキュリティポリシーおよびコンプライアンス要件を満たすことの担保
トンネル強制ポリシー
Keeper管理コンソールでは、以下の強制ポリシーがユーザーによるKeeperトンネルの利用権限に影響するため、有効にする必要があります。
KeeperPAMの強制ポリシーは、Keeper管理コンソールで、[管理者] > [ロール] > [強制ポリシー] > [特権アクセス管理] の順に開いて管理します。
トンネル構成を設定
ユーザーがPAMマシン、PAMディレクトリ、PAMデータベース、PAM構成レコードタイプにおけるトンネル設定を構成できるようにします。
トンネルを開始
ユーザーがPAMマシン、PAMディレクトリ、PAMデータベースレコードタイプでトンネルを開始できるようにします。
KeeperコマンダーCLI上でも enterprise-role コマンドを使用してトンネルを有効化できます。
強制ポリシーの活用事例
あるユーザーに対しトンネルの開始のみを許可して、トンネル設定の変更はできないようにする場合は、「トンネルを開始」のポリシーのみを有効にします。
トンネルの開始に加えて、トンネル設定の変更も行えるようにする場合は、「トンネル構成を設定」と「トンネルを開始」の2つのポリシーをいずれも有効にします。
Keeperゲートウェイのインストール
Keeperゲートウェイは、インフラへのゼロトラストアクセスを実現するためのホスト型エージェントレスサービスです。通常、アクセスが必要な各ネットワーク内のLinuxまたはDocker環境にインストールしておきます。
PAM構成
PAM構成には、対象インフラの重要な情報、設定、Keeperゲートウェイに関する情報が含まれます。インフラ向けのPAM構成の作成は必須です。
PAMマシン、PAMデータベース、PAMディレクトリ
Keeperトンネルは、ボルトクライアントとターゲットエンドポイント間で確立される、安全で暗号化されたTCP/IP接続です。ターゲットエンドポイントは、以下のいずれかのPAMレコードタイプで定義する必要があります。
対象のエンドポイントに該当するPAMレコードタイプのページをご参照の上、セットアップ手順をご確認ください。
PAM設定 - トンネル設定
PAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成してターゲットエンドポイントを設定した後、以下の手順でPAM設定画面のトンネルセクションに移動します。
PAMレコードを編集します。
PAM設定セクションで [編集] をクリックします。
モーダルの [トンネル] タブに移動します。
上記の画像はPAMデータベースレコードの例で、以下の設定となっています。
トンネルが有効
トンネルは
localhost上でリモートサーバーのポート 1433 に接続以降のトンネルでも同じローカルポートを使用
PAM設定画面のトンネルセクションに移動した後、トンネルで構成可能なフィールドは以下の表のとおりです。
PAM構成
必須
対象インフラの詳細を含むPAM構成。PAMレコードで設定したターゲットへの接続に使用します。
トンネルを有効化
必須 チェックすると、このレコードでトンネルを有効にします。
ローカルポートを生成
チェックすると、利用可能な空きポートに基づきKeeperが使用するローカルポートを決定します。
最後のポートを再利用
チェックすると、最後に使用したトンネルポートが再利用されます。これにより、接続のたびにポート番号が変わることを防げます。
リモートトンネルポート
必須
Keeperゲートウェイから対象インフラへ接続する際に使用するポートです。指定がない場合、ゲートウェイはKeeperレコードビューで指定された「ローテーションポート」を使用します。 指定したポートが使用中の場合、トンネルは開始できません。
PAMレコードでトンネルを構成すると、PAMレコードに [トンネルを開始] ボタンが表示されます。
トンネルの開始
PAMレコードでトンネルを構成したら、[トンネルを開始] ボタンをクリックしてトンネルを開始します。この例ではローカルポート番号として 51255 が選択されています。このリソースへの以降のトンネルでも、同じローカルポートとトンネルが使用されます。
トンネルの利用
上記のスクリーンショットでは、クラウドデータベースというターゲットエンドポイントがPAMデータベースレコードで定義・構成されています。トンネル設定を構成した後、ローカルホスト名 127.0.0.1 およびローカルポート 51255 でトンネルが開始されています。
データベースには、任意のネイティブアプリケーションでアクセスできます。たとえば、DBeaver、MySQL Workbench、Microsoft SQL Server Management Studio、KeeperDBなどのマルチプロトコル対応ネイティブデータベースアプリが利用できます。
同様に、ローカルデバイス上のCLIから、以下のコマンドでデータベースへの接続を開始できます。
コマンダーCLI
Keeperコマンダーでは、KeeperデスクトップのUIに加えてトンネル機能を利用できます。
関連コマンド
例
KeeperDBプロキシによるパスワードレスのデータベース管理
データベーストンネル (MySQL、PostgreSQL、SQL Server、Oracleなど) では、KeeperDBプロキシを有効化することで、パスワードレスのアクセスを実現できます。ユーザーは、パスワードを表示したり入力したりすることなく、使い慣れたネイティブツールを使用してデータベースに接続できます。
認証情報はKeeperゲートウェイが注入し、ユーザーには一切公開されません。
データベースクライアントへのパスワードのコピーや貼り付けが不要です。
アイドルタイムアウトおよびセッション継続時間の制限によるセッション管理
固定の認証情報、または短時間のみ有効な認証情報を選択できます。
設定の詳細は KeeperDBプロキシ をご参照ください。
トンネルと接続の違い
トンネルは、エンドツーエンドの暗号化により、ユーザーのローカルデバイスから対象インフラへの経路を確保します。データベース接続では、KeeperDBプロキシ を有効化し、ゲートウェイから認証情報を透過的に注入することで、完全なパスワードレスのデータベースセッションを実現することを推奨します。
ユーザーにトンネルと必要な認証情報の両方を渡す場合は、認証情報が一時的となり、スケジュールに基づいて無効化されるよう、自動ローテーションの設定を推奨します。ローテーションの詳細は パスワードローテーション をご参照ください。
KeeperPAMでは、認証情報を共有せずに、セッション録画と監視を伴ってリモートインフラにアクセスする方法が複数あります。
Keeper コネクション — 多くのプロトコルにわたる対話型の録画付きセッション
コマンダーCLIの pam launch — ターミナルベースのSSHおよびデータベースセッション
リモートブラウザ分離 と自動入力 — ウェブベースのアプリケーションへのアクセス制御
KeeperDB — 機能豊富なUIによる完全な対話型データベースセッション
KeeperDBプロキシ — クエリログ付きのネイティブデータベースセッション
最終更新