リモートメンテナンスなどの作業では、SSHプロトコルを使用して、対象のサーバーやネットワーク機器にアクセスします。特権を付与されたIDでリモートアクセスする場合も多く、特権IDユーザーは、あらゆる権限で設定変更などの重要な操作が可能です。
本ブログでは、SSHのリモートアクセスにおけるファイルコピーをコントロールする方法について、特権IDアクセスのセッションを制御・監視・記録する”Safeguard for Privileged Sessions”で説明します。
SSHでサーバーやネットワーク機器のターミナル操作を行う場合、SSHクライアントやLinux端末から”Session Shell”というプロトコルチャネルを利用してアクセスします。
SSHのリモートアクセスでファイルコピーを行う場合、SCPやSFTPなどのプロトコルを利用するケースがあります。
SPSは、SCPやSFTPを実行するSSHチャネルタイプ(”Session exec SCP”や“Session SFTP")ごとに制御することが可能です。
ご参考までに、SPSがサポートしているSSHチャネルタイプは次の通りです。
- Agent:SSH認証エージェントをクライアントからサーバーにフォワードします。
- X11 forward:グラフィカルX-サーバーセッションからクライアントにフォワードします。
- Local forward:クライアントのローカルポートに着信したトラフィックをリモートホストにフォワードします。
- Remote forward:サーバーのリモートポートに着信したトラフィックをクライアントにフォワードします。
- Session Exec:セッションシェルを開かないでリモートコマンド(例、rsync)を実行します。
- Session exec SCP:Secure Copy (SCP)プロトコルを使用してファイルを転送します。
- Session subsystem:サブシステムを使用します。
- Session SFTP:Secure File Transferプロトコル(SFTP)を使用してファイルを転送します。
- Session Shell:従来のリモートターミナルセッションです。
例えば、SPSのポリシーで、リモートターミナルセッションは許可するが、SCPやSFTPは拒否に設定します。
通常のターミナル操作は可能だが、SCPやSFTPを利用したコピー操作はできなくなります。
また、SCPやSFTPは許可するが、ファイルコピー操作を閲覧できるようなポリシーを設定することも可能です。
ドラッグ&ドロップなどでコピー操作を行った場合、ターミナル画面では表示されず、画面やコマンド出力では何を行ったか分かり難いです。しかし、このファイル閲覧機能を有効にすれば、”いつ””どのファイルに””何を行ったか(ファイルのアップロード/ダウロード)”を確認できます。
SPSのローカルディスク容量を圧迫するため使用環境にもよりますが、コピーしたファイルを保存して確認することもできます。
今回は、SSHでのファイルコピーの制御について紹介しましたが、SPSはきめ細やかなアクセス制御できる点が特長のひとつであり、他にもいろいろな機能を有しています。
SPSの概要および詳細については、以下をご参考にしてください。
Interop展示会場内セミナー!
Interop Tokyoにて、特権IDアクセス管理”Safeguard”のセミナーが開催されます。
<タイムテーブル>
・6月12日(水)15:00-15:40 Room D【D1-05】
・6月14日(金)15:00-15:40 Room D【D3-05】
<講演タイトル>
「サイバー攻撃から特権IDを守れ!世界が注目するセキュリティ対策、特権IDアクセス管理(PAM)の最適ソリューションとは?」
是非とも、この機会にご参加ください。
Interop展示会場内セミナー!
Interop Tokyoにて、特権IDアクセス管理”Safeguard”のセミナーが開催されます。
<タイムテーブル>
・6月12日(水)15:00-15:40 Room D【D1-05】
・6月14日(金)15:00-15:40 Room D【D3-05】
<講演タイトル>
「サイバー攻撃から特権IDを守れ!世界が注目するセキュリティ対策、特権IDアクセス管理(PAM)の最適ソリューションとは?」
是非とも、この機会にご参加ください。
※こちらは終了いたしました。