Management von AWS EC2 Instanzen mit Centrify Infrastructure Services

Nicht nur „on premise“ Ressourcen wie Windows, Linux- oder Unix Server, Mac Workstations und Netzwerkgeräte lassen sich in bezug auf einen gesicherten privilegierten Benutzerzugang mit Centrify Infrastructure Services administrieren.

Auch wenn Ihr Unternehmen in der Cloud aktiv ist, Sie beispielsweise Teile Ihres IT Environments in AWS hosten, kann Centrify Infrastructure Services Sie bei der Gewährleistung eines sicheren Zugriffs auf die AWS EC2 Instancen unterstützen. Einrichtung und Handling sind centrifytypisch einfach und intuitiv.

Am Beispiel einer RedHat Linux Instanz soll in folgendem Beispiel gezeigt werden, wie das Starten der Instanz, verbunden mit Ablaufen eines Skripts, zum „Koppeln“ der Instanz an den Centrify Infrastructure Services Cloud Mandanten des Kunden und damit zur Administrierbarkeit aus der Cloud Instanz heraus führt.

Desweiteren wird gezeigt, daß über das Skript auch noch folgendes automatisiert wird: der Download von Centrify Komponenten (wie beispielsweise DirectControl und DirectAudit) in die AWS Instanz und das Vaulting eines administrativen Accounts der Instanz als „Managed Account“, also mit automatischer Passwortgenerierung und -rotation. Damit ist gewährleistet, daß der Zugriff auf diesen Account nur noch über das Infrastructure Services Portal erfolgen kann, also nach entsprechender Authentifizierung und Authorisierung. Die aufgespielten DirectControl und DirectAudit Agenten sorgen dafür, daß das System auf Wunsch auch „gebridged“ werden kann, also zum Computerobject in der Windows Domäne wird und somit sich Benutzer bei entsprechender Berechtigung als sie selbst mit ihren Domain Credentials einloggen können.

Zunächst konfigurieren und starten Sie eine AWS Instanz, in unserem Fall soll es eine Red Hat Linux Instanz sein.

In Schritt 3 des Launch Prozesses tragen Sie in den Advanced Details ein Skript mittels Copy und Paste ein, welches Sie als Template im Centrify GitHub bekommen und modifizieren können (https://github.com/centrify – AWS Automation).

In diesem Skript werden folgende Parameter gesetzt (und sorgen für die spätere Automatisierung): Die ID Ihres Centrify Cloud Mandanten, ein Enrollment Code, der Sie dazu berechtigt, die Instanz mit Ihrem Cloud Mandanten zu verbinden (siehe Infrastructure Services Admin GUI – Settings – Infrastructure – Enrolment Codes) und ein Centrify Repo Credential, um von der EC2 Instanz aus auf das Centrify Software Repository für das gewählte Zielsystem zuzugreifen (https://www.centrify.com/support/customer-support-portal/repos/). Desweiteren können Sie entscheiden, welche Softwarekomponenten in der Instanz installiert werden und ob ein lokaler Benutzeraccount erstellt werden soll, der danach in den Vault des Cloudmandanten eingespeichert wird und als „managed account“ geführt wird.

Vervollständigen Sie die Konfiguration der EC2 Instanz und starten Sie sie. Wenn die Instanz läuft, sollten Sie in Ihrem Centrify Infrastructure Services Admin GUI ein neues System finden – Ihre eben erstellte AWS EC2 Instanz.

Klicken Sie auf das System und Sie finden den im Script angegebenen Account, über den Sie nun bei passender Berechtigung Zugriff auf das System haben.

Dafür melden Sie sich am Portal als Benutzer an, klicken auf das entsprechende Icon und sie werden automatisch als der hinterlegte Benutzer eingeloggt, ohne die Credentials des privilegierten Accounts zu kennen. Bei entsprechender Konfiguration (im Skript) ist nun auch eine Privilege Elevation auf der Instanz für authorisierte Domänenbenutzer und Session Recording möglich.

 

Das Beispiel zeigt sehr eindrücklich, daß mit Centrify eine Orchestrierung bzw. Automatisierung von gesicherten Zugriffen auch in Cloudumgebungen möglich ist.