リモートアクセス環境では、 ヒューマンエラーや不正操作を回避するために、承認や認証を複数人でチェック(4つの目、すなわち2人以上による承認)することは有用です。また、承認者と監査担当者の権限を分掌することは、リスクマネジメントにおいて重要なポイントになります。
特権アクセス管理「Safeguard for Privileged Sessions(SPS)」は、 4-eyes認証をサポートしています。承認者はユーザーのサーバーへのアクセスリクエストを承認/否認できるとともに、ユーザーの操作をリアルタイムに監視できます。そして、監査担当者にも適用できます。
本ブログでは、SPSでの4-eyes認証のプロセスと設定方法について、ご紹介します。
【4-eyes認証のプロセス】
① ユーザーがクライアントからの接続を開始します。
② 4-eyes認証が設定されている場合、SPSは接続処理を一時停止します。
③ 承認者(Authorizer)はSPSのWebインターフェースにログインし、一次停止された接続を確認して承認(Accept)または否認(Reject)します。
④ 承認されたユーザーは、サーバーに接続されます。
⑤ 監査担当者(Auditor:承認者にもなれますが、役割を分けることも可能です。)は、承認された接続をフォロー(Follow)できます。
⑥ フォローすると、SPSの専用再生プレーヤー(Desktop Player)が起動します。
⑦ 監査担当者は、ユーザーの行動をリアルタイムで監視します。
【4-eyes認証の設定方法】
《事前設定》
SPSで4-eyes認証を設定する前に、次の設定を事前に定義している必要があります。
1. 接続ポリシーのセッションを承認するユーザーグループ
AAA > Local Users 設定例(承認者:”Authorizer”)
AAA > Group management 設定例(グループ名:”ssh-traffic”)
2. 特定ユーザーのセッションのみ承認する場合はユーザーリスト
Policies > User Lists 設定例(ユーザーリスト名:”4_eyes”)
《アクセスコントロールの設定》
SSH Control > Connections > Access Contorol: 設定例
- ”Authorizer Group”に、設定したユーザーグループ”ssh-traffic”を入力します。
- 特定ユーザーのセッションのみ承認する場合は、”Client user is”の”Member of:”をチェックし、設定したユーザーリスト”4_eyes”を入力します。
- ”Permission”(権限)で、”Authorise”を選択します。
《チャネルポリシーの設定》
SSH Control > Channel Policies 設定例
- 指定するチャネルポリシーで、”Action”の”Four-eyes”をチェックします。
※設定したチャネルポリシーを、接続ポリシーに反映させてください。
以上で、SPSの4-eyes認証は設定完了です。上記のプロセスをお試しください。
なお、4-eyes認証は、ゲートウェイ認証などの他の認証や承認技術を併用して利用できます。
現在”Safeguard for Privileged Sessions(SPS)が、6ヶ月間の評価ライセンス無料キャンペーンを実施中です。
期間中はライセンスを無制限で開放しています。是非この機会に試し下さい。
お申込みは、こちら からご連絡下さい。
詳しくは製品紹介ページ・製品ガイドをご参照ください。
お問合わせ
