2019年5月17日金曜日

Home / Balabit PSM / Safeguard for Privileged Sessions (SPS) / リモートメンテナンス記録 / 証跡管理 / 操作画面記録 / 踏み台サーバー / 特権ID / 特権アクセス管理 / SSHリモートアクセスのファイルコピーを制御する【Safeguard for Privileged Sessions(SPS)】

SSHリモートアクセスのファイルコピーを制御する【Safeguard for Privileged Sessions(SPS)】

by on in , , , , , , ,
リモートメンテナンスなどの作業では、SSHプロトコルを使用して、対象のサーバーやネットワーク機器にアクセスします。特権を付与されたIDでリモートアクセスする場合も多く、特権IDユーザーは、あらゆる権限で設定変更などの重要な操作が可能です。


セキュリティ対策やコンプライアンス・監査対応として、特権IDユーザーの操作を証跡として記録する必要があります。しかし、ユーザーの操作画面を記録するだけでは不十分です。ユーザーは、情報漏洩のリスクになる可能性がある機密ファイルやディレクトリをコピーするかもしれません。しかし、操作方法によっては、コピー操作の内容が画面に表示されず、記録に残らない場合があります。また、ユーザーに応じて、コピー操作を禁止する必要もあります。

本ブログでは、SSHのリモートアクセスにおけるファイルコピーをコントロールする方法について、特権IDアクセスのセッションを制御・監視・記録する”Safeguard for Privileged Sessions”で説明します。

SSHでサーバーやネットワーク機器のターミナル操作を行う場合、SSHクライアントやLinux端末から”Session Shell”というプロトコルチャネルを利用してアクセスします。
SSHのリモートアクセスでファイルコピーを行う場合、SCPやSFTPなどのプロトコルを利用するケースがあります。
SPSは、SCPやSFTPを実行するSSHチャネルタイプ(”Session exec SCP”や“Session SFTP")ごとに制御することが可能です。
ご参考までに、SPSがサポートしているSSHチャネルタイプは次の通りです。

  • Agent:SSH認証エージェントをクライアントからサーバーにフォワードします。
  • X11 forward:グラフィカルX-サーバーセッションからクライアントにフォワードします。
  • Local forward:クライアントのローカルポートに着信したトラフィックをリモートホストにフォワードします。
  • Remote forward:サーバーのリモートポートに着信したトラフィックをクライアントにフォワードします。
  • Session Exec:セッションシェルを開かないでリモートコマンド(例、rsync)を実行します。
  • Session exec SCP:Secure Copy (SCP)プロトコルを使用してファイルを転送します。
  • Session subsystem:サブシステムを使用します。
  • Session SFTP:Secure File Transferプロトコル(SFTP)を使用してファイルを転送します。
  • Session Shell:従来のリモートターミナルセッションです。

    例えば、SPSのポリシーで、リモートターミナルセッションは許可するが、SCPやSFTPは拒否に設定します。
    通常のターミナル操作は可能だが、SCPやSFTPを利用したコピー操作はできなくなります。

    また、SCPやSFTPは許可するが、ファイルコピー操作を閲覧できるようなポリシーを設定することも可能です。
    ドラッグ&ドロップなどでコピー操作を行った場合、ターミナル画面では表示されず、画面やコマンド出力では何を行ったか分かり難いです。しかし、このファイル閲覧機能を有効にすれば、”いつ””どのファイルに””何を行ったか(ファイルのアップロード/ダウロード)”を確認できます。
    SPSのローカルディスク容量を圧迫するため使用環境にもよりますが、コピーしたファイルを保存して確認することもできます。

    今回は、SSHでのファイルコピーの制御について紹介しましたが、SPSはきめ細やかなアクセス制御できる点が特長のひとつであり、他にもいろいろな機能を有しています。
    SPSの概要および詳細については、以下をご参考にしてください。

    Interop展示会場内セミナー!
    Interop Tokyoにて、特権IDアクセス管理”Safeguard”のセミナーが開催されます。
    <タイムテーブル>
     ・6月12日(水)15:00-15:40 Room D【D1-05】
     ・6月14日(金)15:00-15:40 Room D【D3-05】

    <講演タイトル>
    「サイバー攻撃から特権IDを守れ!世界が注目するセキュリティ対策、特権IDアクセス管理(PAM)の最適ソリューションとは?」

    是非とも、この機会にご参加ください。

    ※こちらは終了いたしました。

    詳しくは製品紹介ページ・製品ガイドをご参照ください。




    ダウンロード(評価版)
    Safeguard for Privileged Sessions (SPS) には評価版ソフトウェア(30日間)を用意しています。ぜひお試しください。
    お問合せ
    購入前のSafeguard for Privileged Sessions (SPS)についてのお問合せは以下から承っております。
    ご不明な点やお気づきの点がございましたらお問い合せください。

    By 時刻:
    ラベル: , , , , , , ,