Tags: RDP, SSH, Remote Access
Keeper Connection Manager ist eine Lösung für das Privileged Access Management (PAM). Sie verbindet Admins und DevOps von einem Web-Browser aus über ein Gateway sicher und einfach zu RDP-, SSH-, MySQL- und Kubernetes-Endpunkten. Das Produkt erlaubt auch die gemeinsame Nutzung von Verbindungen und führt ein Audit-Protokoll aller Zugriffe.
IT-Administratoren, DevOps-Ingenieure und Entwickler müssen laufend (remote) auf sensible Systeme wie Windows- und Linux-Server, Kubernetes-Cluster und Datenbankdienste zugreifen. Viele Unternehmen haben mit dem Management dieser privilegierten Zugriffe zu kämpfen.
Traditionell wurden privilegierte Passwörter, SSH-Schlüssel, Cloud Access Keys, API-Schlüssel und andere Anmeldeinformationen in Code oder Connection Tools von Drittanbietern abgelegt.
Leider sind diese Lösungen schwer zu konfigurieren und zu verwalten. So machen sie beispielsweise das Rotieren von Anmeldedaten zu einer zeitraubenden Angelegenheit. Außerdem können Benutzer damit versehentlich Credentials preisgeben.
Was ist Keeper Connection Manager?
Keeper Connection Manager (KCM) basiert auf dem quelloffenen Apache Guacamole-Gateway und erweitert dieses um zusätzliche Funktionen. Unternehmen können damit ein Zero-Trust-Zugriffsmodell für IT-Ressourcen umsetzen. Außerdem bietet es IT-Administratoren die erforderlichen Tools für die Implementierung des Least-Privilege-Prinzips, rollenbasierter Zugriffskontrolle (RBAC) und einer Multi-Faktor-Authentifizierung (MFA).
KCM bietet DevOps- und IT-Teams sicheren Zugriff auf Kubernetes, MySQL, RDP, SSH, Telnet und VNC-Endpunkte über jeden modernen Web-Browser.
Features von Keeper Connection Manager
Die wichtigsten Eigenschaften von KCM sind:
Kein Agent oder Client erforderlich
Viele PAM-Lösungen erfordern die Installation von Agenten, die gewartet und verwaltet werden müssen. KCM benötigt keine Clients, der Web-Browser der Benutzer reicht aus, und der Einsatz von KCM hat keine Auswirkungen auf Domänen-Controller oder andere Dienste.
Zero-Trust-Zugriff
KCM ist auf die heute üblichen, verteilten Arbeitsumgebungen abgestimmt, in denen sich IT- und DevOps-Teams von verschiedenen Standorten und Geräten aus mit internen Ressourcen verbinden. Es unterstützt das Zero-Trust-Zugriffsmodell, d. h., alle Benutzer und Geräte müssen sich über starke Verfahren authentifizieren, bevor sie Zugriff erhalten.
Sobald ein Benutzer authentifiziert und für seinen Zugriff autorisiert ist, finden alle weiteren Aktivitäten hinter der Firewall statt. Seine Verbindung ist dann genauso sicher, als würde er vor Ort arbeiten.
Auf Cloud-nativen Technologien basierend
KCM bietet mehrere Installationsoptionen mit Docker oder RPM sowie Authentifizierungsmodule für gängige Datenbanken und Active Directory/LDAP. Updates für Desktops und Anwendungen lassen sich automatisieren.
Absicherung moderner Anwendungen
KCM umfasst aus der Box Authentifizierungsmodule für AD/LDAP, SSH, VNC, MySQL und Kubernetes. Es verbindet Guacamole über die REST-APIs von Kubernetes mit den Konsolen von Kubernetes-Containern. Die Kubernetes-Unterstützung von Guacamole emuliert ein Terminal auf der Server-Seite und bereitet die Anzeige des Clients auf.
Installation
Die Installation von Keeper Connection Manager verläuft ziemlich einfach. In meinem Lab habe ich die neueste Version von Docker in einer frischen Ubuntu-Server-VM installiert. Danach folgte ich der einfachen Docker-basierten Installation aus der offiziellen KCM-Dokumentation.
Dabei lädt man einfach ein Script herunter, legt die Ausführungsberechtigungen fest und führt das Script aus.
Nach dem Abschluss der Installation zeigt KCM das automatisch generierte Admin-Passwort, mit dem man sich an der Konsole anmeldet.
Verbindungen anlegen
Unter Settings => Connections finden sich die Einstellungen zum Anlegen einer Verbindung mit verschiedenen Optionen. Der Konfigurationsdialog ist intuitiv und leicht verständlich. In diesem Beispiel erstelle ich eine einfache Testverbindung für einen Linux-Server mit SSH und Authentifizierung mittels Kennwort.
Nach dem Speichern der Konfiguration wird die Verbindung aufgelistet und ist bereit für die Verwendung.
Ein einziger Klick verbindet Sie direkt über den Web-Browser mit dem Linux-SSH-Prompt.
Der Keeper Connection Manager zeichnet dann ein detailliertes Audit-Protokoll der Verbindungen zu jeder Ressource auf.
Die gemeinsame Nutzung einer Verbindung ist ebenfalls einfach. Wenn Sie den Pfeil neben der zuvor konfigurierten Verbindung aufklappen, erscheint eine Option zum Erstellen eines Freigabeprofils.
Anschließend kann man dieses bestimmten Benutzern über die Einstellungen ihres Profils zuweisen.
Zusammenfassung
Die einfache und intuitive Natur von KCM hilft Unternehmen dabei, ein Privileged Access Management zu implementieren und schnell einen Nutzen aus dem Tool zu ziehen. Aktuell kann KCM jedoch nur Verbindungen über VNC, Telnet, SSH, RDP, MySQL und Kubernetes schützen.
Ein Vorteil der Software besteht in der Verwendung von Cloud-nativen Technologien, was sich beispielsweise bei der Ausführung in einem Docker-Container oder der Verwaltung von privilegierten Zugängen zu Kubernetes-Clustern zeigt.
Die Software bietet noch weitere Funktionen, auf die wir in diesem Überblick nicht eingegangen sind. Sie erfahren dazu mehr auf der Website von Keeper, von der Sie auch eine kostenlose Testversion der Lösung herunterladen können.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
Weitere Links
- SNMP, WMI, SSH: Warum eine effiziente Netzwerküberwachung nicht ohne Zugangsdaten auskommt
- Umfrage unter 700 CIOs: Was sind aktuell die größten Herausforderungen und Hindernisse für die IT?
- Technisches Webinar: Privilegierte Konten durch sichere Passwörter schützen, Kennwörter automatisch zurücksetzen, SSH-Keys regelmäßig erneuern