みなさんこんにちは!
CyberArkチームのIkemoです!
今回もCyberArk PAMについて紹介します!
前回はサーバーへのアクセスの際に設定できる制限を見てきました。
特権IDの運用に沿ってどのような制限を追加することができるのか、理解していただけたかと思います。
第3・4回は「特権IDの利用」にターゲットをおいて紹介していましたが、第5・6回は「特権ID管理」をターゲットにシミュレーションしていきます。
「CyberArk PAM」を導入すると特権ID管理がどのように変わるのかを紹介します。
(「特権IDの利用」についての記事はコチラ:第3回,第4回)
(「特権ID管理の構成要素」についての記事はこちら:第5回)
今回は、特権ID管理の第一歩として「CyberArk PAM」への特権IDの登録を取り上げます。
※オンプレ(PAM Self-Hosted)版とクラウド(Privilege Cloud)版で機能や画面に差がありますが、今回はオンプレ版をベースにご紹介します。
新たな特権IDを追加するときはどのようにすればいいのか一緒に見ていきましょう。
CyberArkチームのIkemoです!
今回もCyberArk PAMについて紹介します!
前回はサーバーへのアクセスの際に設定できる制限を見てきました。
特権IDの運用に沿ってどのような制限を追加することができるのか、理解していただけたかと思います。
第3・4回は「特権IDの利用」にターゲットをおいて紹介していましたが、第5・6回は「特権ID管理」をターゲットにシミュレーションしていきます。
「CyberArk PAM」を導入すると特権ID管理がどのように変わるのかを紹介します。
(「特権IDの利用」についての記事はコチラ:第3回,第4回)
(「特権ID管理の構成要素」についての記事はこちら:第5回)
今回は、特権ID管理の第一歩として「CyberArk PAM」への特権IDの登録を取り上げます。
※オンプレ(PAM Self-Hosted)版とクラウド(Privilege Cloud)版で機能や画面に差がありますが、今回はオンプレ版をベースにご紹介します。
新たな特権IDを追加するときはどのようにすればいいのか一緒に見ていきましょう。
特権IDを新しく登録する
Ikemoそれでは特権IDの登録方法を紹介していただきます!
まずは手動登録の方法を教えてください!
まずは手動登録の方法を教えてください!
原田「CyberArk PAM」から特権IDを利用したサーバーへのアクセスをするためには、
PAM上に特権IDを登録する必要があります。
登録するまでの流れをイラストを用いて説明します!
PAM上に特権IDを登録する必要があります。
登録するまでの流れをイラストを用いて説明します!
特権IDの登録作業は特権IDを追加する権限を持つ管理者ユーザーで操作します。
特権IDの登録はPVWAからできます。
PVWA上で特権IDの情報を入力後、Vaultに情報が保管されることで登録されます。
Vaultは金庫のような役割を持つコンポーネントで、特権IDの情報を一括で保管します。
原田ここから実際の画面を一部お見せします!
こちらから特権IDの追加作業を行います。
次のような画面で、順に
①システムタイプ(Windows、Linuxなど)
②プラットフォーム
③Safe
④プロパティ(アドレスや特権ID名)
を選択していきます。
これらすべてを入力して、IDとパスワードを設定。
最後に追加を押すとIDが追加されます。
これで特権IDの追加は完了です。
Ikemoシンプルな作業で分かりやすいですね!
ただ、多数の特権IDを登録する際はかなり負担になりそうですね。
ただ、多数の特権IDを登録する際はかなり負担になりそうですね。
原田CyberArk PAMでは複数サーバーの特権IDを自動で検出することができます!
次で紹介しますね!
次で紹介しますね!
特権IDを自動検出して登録する
原田以下の画像を参照しながら自動検出の仕組みを説明します!
管理者はまず、PVWAでスキャンしたいサーバー群の情報を入力します。
そしてPVWAからCPMへ特権IDの検出依頼をし、CPMがPVWAで管理者が入力したスキャン用IDの認証情報を取得し、サーバーから特権IDを探します。
検出された特権IDは一時的にVaultに保管されます。
※CPMについては次回お話します。
自動検出のために管理者が行う作業は以下の通りです。
・検出したいサーバーのIPアドレスのリスト(ファイル)
※Windowsの場合はドメインを指定
・特権IDを検出するためのID
・この検出を行う頻度(定期的に実施するか一度のみ実施するか)
これらの情報を入力することで自動検出されます。
検出だけではまだ特権IDは登録されていないので、
以下の画像のようにSafeやプラットフォームの選択等を行い、手動で登録します。
Ikemo特権IDが多数でもこの方法なら漏れなく登録できますね!
原田その通りです!
また、検出の頻度も設定可能ですので、業務に合わせて変更できます。
今回で特権IDの検出、登録方法をご理解いただけたかと思います。
また、検出の頻度も設定可能ですので、業務に合わせて変更できます。
今回で特権IDの検出、登録方法をご理解いただけたかと思います。
原田次回は特権IDのパスワード管理についてご紹介します。
ぜひご覧ください。
ぜひご覧ください。
最後に
システムサポートでは特権ID管理対策として、CyberArk製品の導入検討・導入支援・運用支援を
サポートしています。
CyberArk製品の導入を検討しており、気になることや提案・見積もり依頼などありましたら
是非こちらからお問い合わせください。
サポートしています。
CyberArk製品の導入を検討しており、気になることや提案・見積もり依頼などありましたら
是非こちらからお問い合わせください。