Im Test: RDP-, SSH- oder VNC-Verbindungen über Keeper Connection Manager herstellen


    Tags: , ,

    Logo von Keeper Connection ManagerKeeper Connection Manager ist eine Lösung für das Privi­leged Access Manage­ment (PAM). Sie verbindet Admins und DevOps von einem Web-Browser aus über ein Gate­way sicher und ein­fach zu RDP-, SSH-, MySQL- und Kuber­netes-End­punkten. Das Pro­dukt erlaubt auch die gemein­same Nutzung von Ver­bin­dungen und führt ein Audit-Protokoll aller Zugriffe.

    IT-Administratoren, DevOps-Ingenieure und Entwickler müssen laufend (remote) auf sensible Systeme wie Windows- und Linux-Server, Kubernetes-Cluster und Datenbank­dienste zugreifen. Viele Unternehmen haben mit dem Management dieser privilegierten Zugriffe zu kämpfen.

    Traditionell wurden privilegierte Passwörter, SSH-Schlüssel, Cloud Access Keys, API-Schlüssel und andere Anmelde­informationen in Code oder Connection Tools von Drittanbietern abgelegt.

    Leider sind diese Lösungen schwer zu konfigurieren und zu verwalten. So machen sie beispielsweise das Rotieren von Anmelde­daten zu einer zeit­raubenden Angelegenheit. Außerdem können Benutzer damit versehentlich Credentials preisgeben.

    Was ist Keeper Connection Manager?

    Keeper Connection Manager (KCM) basiert auf dem quelloffenen Apache Guacamole-Gateway und erweitert dieses um zusätzliche Funktionen. Unternehmen können damit ein Zero-Trust-Zugriffsmodell für IT-Ressourcen umsetzen. Außerdem bietet es IT-Administratoren die erforderlichen Tools für die Implementierung des Least-Privilege-Prinzips, rollenbasierter Zugriffs­kontrolle (RBAC) und einer Multi-Faktor-Authentifizierung (MFA).

    Aufbau von Keeper Connection Manager

    KCM bietet DevOps- und IT-Teams sicheren Zugriff auf Kubernetes, MySQL, RDP, SSH, Telnet und VNC-Endpunkte über jeden modernen Web-Browser.

    Features von Keeper Connection Manager

    Die wichtigsten Eigenschaften von KCM sind:

    Kein Agent oder Client erforderlich

    Viele PAM-Lösungen erfordern die Installation von Agenten, die gewartet und verwaltet werden müssen. KCM benötigt keine Clients, der Web-Browser der Benutzer reicht aus, und der Einsatz von KCM hat keine Auswirkungen auf Domänen-Controller oder andere Dienste.

    Zero-Trust-Zugriff

    KCM ist auf die heute üblichen, verteilten Arbeits­umgebungen abgestimmt, in denen sich IT- und DevOps-Teams von verschiedenen Standorten und Geräten aus mit internen Ressourcen verbinden. Es unterstützt das Zero-Trust-Zugriffsmodell, d. h., alle Benutzer und Geräte müssen sich über starke Verfahren authen­tifizieren, bevor sie Zugriff erhalten.

    Sobald ein Benutzer authentifiziert und für seinen Zugriff autorisiert ist, finden alle weiteren Aktivitäten hinter der Firewall statt. Seine Verbindung ist dann genauso sicher, als würde er vor Ort arbeiten.

    Auf Cloud-nativen Technologien basierend

    KCM bietet mehrere Installations­optionen mit Docker oder RPM sowie Authen­tifizierungs­module für gängige Datenbanken und Active Directory/LDAP. Updates für Desktops und Anwendungen lassen sich automatisieren.

    Absicherung moderner Anwendungen

    KCM umfasst aus der Box Authenti­fizierungs­module für AD/LDAP, SSH, VNC, MySQL und Kubernetes. Es verbindet Guacamole über die REST-APIs von Kubernetes mit den Konsolen von Kubernetes-Containern. Die Kubernetes-Unterstützung von Guacamole emuliert ein Terminal auf der Server-Seite und bereitet die Anzeige des Clients auf.

    Installation

    Die Installation von Keeper Connection Manager verläuft ziemlich einfach. In meinem Lab habe ich die neueste Version von Docker in einer frischen Ubuntu-Server-VM installiert. Danach folgte ich der einfachen Docker-basierten Installation aus der offiziellen KCM-Dokumentation.

    Dabei lädt man einfach ein Script herunter, legt die Ausführungs­berech­tigungen fest und führt das Script aus.

    Ausführung der simplen Docker-basierten Installation von Keeper Connection Manager

    Nach dem Abschluss der Installation zeigt KCM das automatisch generierte Admin-Passwort, mit dem man sich an der Konsole anmeldet.

    Erfolgreicher Abschluss der KCM-Installation

    Verbindungen anlegen

    Unter Settings => Connections finden sich die Einstellungen zum Anlegen einer Verbindung mit verschiedenen Optionen. Der Konfigurations­dialog ist intuitiv und leicht verständlich. In diesem Beispiel erstelle ich eine einfache Test­verbindung für einen Linux-Server mit SSH und Authentifizierung mittels Kennwort.

    Erstellen einer SSH-Verbindung zu einem Linux-Server

    Nach dem Speichern der Konfiguration wird die Verbindung aufgelistet und ist bereit für die Verwendung.

    Die neue SSH-Verbindung zu einem Linux-Server wurde erfolgreich erstellt

    Ein einziger Klick verbindet Sie direkt über den Web-Browser mit dem Linux-SSH-Prompt.

    Verbindung zu einem Linux-Server über SSH mittels KCM

    Der Keeper Connection Manager zeichnet dann ein detailliertes Audit-Protokoll der Verbindungen zu jeder Ressource auf.

    Verbindungen zu einer Ressource im Keeper Connection Manager nachvollziehen

    Die gemeinsame Nutzung einer Verbindung ist ebenfalls einfach. Wenn Sie den Pfeil neben der zuvor konfigurierten Verbindung aufklappen, erscheint eine Option zum Erstellen eines Freigabe­profils.

    Sharing-Profil für eine Verbindung erstellen

    Anschließend kann man dieses bestimmten Benutzern über die Einstellungen ihres Profils zuweisen.

    Zulässige Freigabeprofile in den Benutzereigenschaften festlegen

    Zusammenfassung

    Die einfache und intuitive Natur von KCM hilft Unternehmen dabei, ein Privileged Access Management zu implementieren und schnell einen Nutzen aus dem Tool zu ziehen. Aktuell kann KCM jedoch nur Verbindungen über VNC, Telnet, SSH, RDP, MySQL und Kubernetes schützen.

    Ein Vorteil der Software besteht in der Verwendung von Cloud-nativen Technologien, was sich beispielsweise bei der Ausführung in einem Docker-Container oder der Verwaltung von privilegierten Zugängen zu Kubernetes-Clustern zeigt.

    Die Software bietet noch weitere Funktionen, auf die wir in diesem Überblick nicht eingegangen sind. Sie erfahren dazu mehr auf der Website von Keeper, von der Sie auch eine kostenlose Testversion der Lösung herunterladen können.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Ähnliche Beiträge

    Weitere Links