SSH ist das Protokoll für eine sichere Remote-Shell und Dateiübertragung. Es läuft auf einer breiten Palette von Geräten, von Servern und Netzwerktechnik bis zu den Gateways und eingebetteten Controllern, die in OT-Umgebungen üblich sind (in diesem Beispiel ein MOXA-Gateway), und wird oft mit einer einzigen geteilten Anmeldeinformation gesichert, die sich schwer rotieren lässt. Mit Remote Access vermittelt Access Gate jede SSH-Session über einen browserbasierten Proxy: Die Anmeldedaten des Geräts liegen auf dem Access Gate und werden beim Login injiziert, sodass der Operator nie den Schlüssel oder das Passwort besitzt.
Was Sie erhalten
- Eine Proxy-Session, kein Netzwerkpfad. Der Endpunkt erhält nie eine direkte Route zum Ziel. Die Maschine des Operators spricht nur mit dem Proxy; der Proxy spricht mit dem Gerät.
- Serverseitige Anmeldedaten. Der SSH-Schlüssel oder das Passwort wird auf dem Access Gate gespeichert und beim Login injiziert, nie dem Endbenutzer offengelegt.
- Widerruf per Berechtigung. Den Zugriff zu widerrufen bedeutet, eine Berechtigung zu widerrufen, nicht eine Geräte-Anmeldeinformation zu rotieren.
Einrichtung
1. Das Asset und seinen SSH-Dienst erstellen
Fügen Sie das Gerät als Asset hinzu. Öffnen Sie dann das Asset und klicken Sie auf Edit Network. Stellen Sie in der Asset-Liste sicher, dass der Dienst SSH:22 deklariert ist, und geben Sie die Informationen zum Remote-Access-Dienst ein.
2. Eine Enklave erstellen
Erstellen Sie eine Enklave, die das Asset und den Benutzer oder die Gruppe enthält, der Sie Zugriff gewähren möchten.
3. Remote Access auf der Berechtigung aktivieren
Um Remote Access zu gewähren, eine Proxy-Session, die Access Gate aufrechterhält, wählen Sie die Option Remote Access. Mit dieser Option werden die auf dem Access Gate gespeicherten Anmeldedaten beim Login verwendet, ohne dem Endbenutzer offengelegt zu werden. Gewähren Sie dann den Zugriff.
Auf der Benutzerseite
Der Benutzer authentifiziert sich über einen Access Screen und sieht die Remote-Access-Sessions, die er aktivieren kann.
Ein Klick auf den Link öffnet eine Browser-Session mit Remote Access zur Zielmaschine.
Die Anmeldedaten liegen nicht auf der Maschine des Operators. Die Berechtigung (creds=...) wird serverseitig injiziert, sodass die Person an der Tastatur nie den SSH-Schlüssel oder das Passwort für die MOXA-Box besitzt. Den Zugriff zu widerrufen bedeutet, eine Berechtigung zu widerrufen, nicht eine Geräte-Anmeldeinformation zu rotieren.
Zusammenfassung
Sie haben die Anmeldedaten des Geräts in Access Gate geladen und Remote Access gewährt, sodass ein Benutzer sich einmal authentifiziert und das Ziel über eine Remote-Session in einem Browser-Tab erreicht.
Was Sie ausführen, ist SSH, bereits Ende zu Ende verschlüsselt, eingebettet in eine browserbasierte Konsole, die das Ziel über den Access-Gate-Proxy via TLS erreicht. Für das umfassendere Admin-Session-Modell (RDP, VNC, Session-Aufzeichnung) siehe Privileged Access Management.