Centrify Identity Services für den HashiCorp Vault

Centrify ermöglicht Unternehmen die Einführung eines Zero Trust Security-Modells durch die Einführung von Next-Gen-Access-Kontrollen für Anwendungen und Infrastruktur. Centrify vereint Identity-as-a-Service (IDaaS), Enterprise Mobility Management (EMM) und Privileged Access Management (PAM), um Zero Trust Security durchzusetzen, jeden Benutzer zu verifizieren, sein Gerät zu validieren und den Zugriff und die Privilegien zum proaktiven Schutz Ihres Unternehmens zu beschränken.

Heute ist Centrify stolz darauf, die Integration des Centrify Identity Service mit HashiCorp Vault für die rollenbasierte Benutzerauthentifizierung und den Zugriff auf den Vault bekannt zu geben.

Die Centrify Next-Gen Access Management Plattform bietet nun eine zusätzliche Auth-Methode namens “centrify” für HashiCorp Vault. Mit dieser Auth-Methode können Sie Benutzer bei HashiCorp Vault authentifizieren, alle angeschlossenen Verzeichnisquellen für die Authentifizierung nutzen und rollenbasierte Berechtigungen für Vault-Ressourcen mithilfe von Centrify Roles aktivieren.

Abb. 1: HashiCorp Vault Integration mit Centrify Identity Services

 

Die Verwendung von Centrify für die Benutzerauthentifizierung bei HashiCorp Vault bietet mehrere Vorteile:

  • Zentrieren Sie die Broker-Authentifizierung für alle angeschlossenen Verzeichnisquellen, einschließlich Active Directory, LDAP, Google Directory oder das Centrify Cloud Directory für Benutzer- oder Servicekonten.
  • Der Benutzerzugriff auf den Vault ist zeitgebunden und basiert auf der Authentifizierung beim Centrify Identity Service. Auf diese Weise können Sie langlebige Anmeldeinformationen auf den Rechnern der Benutzer vermeiden und sich vor potenziellen Malware-Angriffen schützen.
  • Die Integration von Centrify ermöglicht eine workflowbasierte Zugriffskontrolle, so dass Benutzer nur bei Bedarf Zugriff auf den Vault erhalten können. Auf diese Weise können Sie Zugriff auf den Vault gewähren, ohne permanente Zugriffsrechte innerhalb des Centrify Identity Service zu vergeben.
  • Centrify Integration zentralisiert die Zugriffsverwaltung für neue Benutzer und temporäte Mitarbeiter. Sie können die Account-Erstellung während des On-Boarding-Prozesses vereinfachen und den Benutzerzugriff bei Beendigung automatisch deaktivieren.
  • Centrify erfasst ein Audit-Protokoll aller Benutzer-Login-Ereignisse im HashiCorp Vault und sendet diese Protokolle zur Analyse an Ihre Security Information and Event Management (SIEM) Lösung.
  • Mit Centrify können Sie Ihre lokalen Benutzer bei dem Vault authentifizieren, der on premise, in einer DMZ, innerhalb eines oder mehrerer VPCs auf Amazon AWS oder in anderen IaaS-Hosting-Diensten bereitgestellt wird.

Centrify kann auch die Integration mit Active Directory vereinfachen, wenn der Vault unter Linux läuft und direkten Zugriff auf Active Directory hat. In diesem Modell erweitert Centrify die aktuelle LDAP-Auth-Methode des Vault, um über den Centrify LDAP-Proxy den ordnungsgemäßen Betrieb in komplexen Multi-Domain- oder One-Way Trust Active Directory (AD)-Umgebungen zu unterstützen. Darüber hinaus bietet der Centrify Agent für Linux eine zentralisierte PKI-Zertifikatsverwaltung für Linux in Umgebungen, die Microsoft Certificate Authority für die automatische Ausstellung und Erneuerung von Zertifikaten verwenden.

Abb. 2: HashiCorp Vault Integration mit Centrify Agent für Active Directory

 

Unabhängig davon, wie Sie die Benutzerauthentifizierung in Vault zentralisieren möchten, bietet Centrify eine Lösung zur Integration des Vault in Active Directory, LDAP, Google Directory oder Centrify Cloud Directory sowie zur rollenbasierten Autorisierung von Vault Ressourcen.

(Dieser Text ist eine Übersetzung des Centrify Blogs “Introducing Centrify Identity Services for HashiCorp Vault” von David McNeely. https://blog.centrify.com/centrify-identity-hashicorp-vault/)