Las claves de Secure Shell (SSH) son un método de autenticación comúnmente usado y dan acceso a un amplio abanico de activos críticos dentro de las redes corporativas. Justo como las contraseñas, estas identidades de autenticación se deben someter a mejores prácticas de seguridad para evitar el abuso de privilegios; no obstante, gestionar claves de SSH manualmente es un proceso tedioso. Usualmente, los equipos de TI empresariales crean y dan claves de SSH al instante a los usuarios que solicitan acceso a servidores de SSH, sin un mecanismo central para controlar su uso. El número de claves de SSH no gestionadas puede salirse rápidamente de las manos y el pool de claves de SSH huérfanas se vuelve un vector para el acceso no autorizado.
Para obtener una visibilidad y control completos sobre el panorama de las claves de SSH, las organizaciones deben implementar un programa integral para la gestión de estas, que se vincule de manera eficiente con la solución para la gestión de accesos privilegiados (PAM). Lo anterior, con el fin de automatizar la gestión del ciclo de vida de las claves de SSH asociadas con activos privilegiados dentro de la red.
ManageEngine PAM360 facilita la gestión de todo el ciclo de vida de las claves de SSH desde una sola consola unificada. Esto, desde descubrir servidores SSH, enumerar cuentas de usuarios y generar un inventario central de claves de SSH hasta el generar e implementar claves por demanda, realizar una rotación periódica de claves y establecer sesiones remotas de SSH a sistemas objetivos. PAM360 permite a los administradores de TI monitorear, automatizar y gestionar todo el ciclo de vida de las claves SSH asignadas a activos de misión crítica en el entorno de TI.
La herramienta integrada para el descubrimiento de claves de SSH en PAM360, ayuda a los administradores de TI a realizar descubrimientos basados en la red de claves de SSH, que se han utilizado en varios servidores en la infraestructura de TI. El descubrimiento de servidores SSH se puede realizar de forma masiva, bien sea por demanda o automáticamente, en intervalos periódicos mediante la creación de tareas programadas. Una vez descubiertos, los administradores pueden enumerar las cuentas de usuarios en cada recurso e importar las claves de SSH en ellas, al dar las correspondientes credenciales de usuarios. Además del inventario de contraseñas, PAM360 tiene un inventario centralizado de claves en el que las contraseñas de SSH se añaden automáticamente después de su descubrimiento e importación.
PAM360 ayuda a los administradores de TI a crear centralizadamente pares de claves de SSH recientes y a implementar las claves públicas en servidores SSH en la red. Esto reemplaza las asignaciones de clave-usuario existentes con nuevas relaciones de confianza, estableciendo un flujo de trabajo optimizado para el control del acceso y una mayor visibilidad sobre el uso de las claves de SSH. La generación e implementación de las claves de SSH también se puede hacer de forma masiva en varias cuentas de usuarios. Adicionalmente, PAM360 puede generar frases de contraseña seguras, durante el proceso de generación de claves que sirven como una capa adicional de seguridad.
Los usuarios pueden iniciar sesiones de SSH instantáneas con hosts remotos que están enlazados mediante PAM360, sin requerir una conectividad directa entre el dispositivo del usuario y el sistema objetivo. Este acceso de gateway elimina todos los problemas asociados con la conexión directa —que demanda que los usuarios suministren manualmente la clave privada y la frase de contraseña cada vez que se inicia una sesión— y refuerza la seguridad.
Es una práctica común en las empresas crear pares de claves de SSH según se necesiten y usar la misma clave privada para autenticar varios sistemas. Esto significa que si un solo par de claves está comprometido, podría exponer información sensible de todas las cuentas a las que se asignó esa clave particular.
Con PAM360, los administradores pueden rotar automáticamente y de forma periódica los pares de claves implementados en varios servidores a lo largo de la red. Esta mejor práctica ayuda a las empresas a cumplir con los estándares y regulaciones de la industria, así como a reforzar la seguridad de los datos. El administrador tiene acceso a una vista holística de todo el historial de claves individuales, incluyendo la fecha de creación, el creador y propietario de la clave, el historial de rotación y demás en la forma de pistas de auditoría, informes y dashboards.
Aparte de descubrir e inventariar claves de SSH, PAM360 también ayuda a los administradores en su travesía de gestión de claves al mostrar una vista integral de las relaciones clave-usuario en la red corporativa. Cada clave almacenada en PAM360 se asigna a sus respectivas cuentas de usuario en el servidor remoto, facilitando a los administradores controlar las relaciones de confianza y eliminar cualquier clave no deseada o huérfana en la red que podría ser un posible punto de inicio para una violación de la seguridad de los datos.
PAM360 proporciona políticas de gestión de claves que permiten, a los administradores de TI, borrar todas las asignaciones de claves de usuarios existentes en la red. Esto sucede al eliminar la información de las claves públicas del archivo authorized_keys de los hosts remotos. Así, se pueden crear nuevos pares de claves a partir de PAM360 e implementarlos en servidores objetivos. Estas políticas permiten rediseñar rápida y fácilmente todo el marco SSH, corrigiendo todas las vulnerabilidades existentes y empoderando a los administradores para que emprendan un inicio limpio y completamente gestionado.