PowerProtect Data Managerin integrointi CyberArkiin

1. Tausta

CyberArk on Privileged Access Management (PAM) -ratkaisu, joka tarjoaa keskitetyn ja turvallisen lähestymistavan etuoikeutettujen tilien hallintaan. Se on usein haittaohjelmien kohteena.
CyberArk-ratkaisun avulla yritykset voivat valvoa oikeuksien käyttäjien vahvaa todennusta ja käyttöoikeuksien hallintaa. Tämä vähentää luvattomien käyttöoikeuksien ja mahdollisten tietoturvamurtojen riskiä.
 

2. PowerProtect Data Managerin integrointi CyberArkiin

Vaiheet 

1. SSH-kirjautuminen PowerProtect Data Manager -palvelimeen järjestelmänvalvojan kanssa ja vaihtaminen pääkäyttäjäksi
2. Lisää käyttäjä "arkrecon" ryhmään "tuki" (tämän vaiheen jälkeen käyttäjää "arkrecon" voi käyttää kirjautumiseen):
   1. useradd arkrecon -g -tuki
   2. passwd arkrecon
3. echo "arkrecon ALL=(ALL)NOPASSWD:/usr/bin/passwd,/usr/bin/passwd.unix,/usr/bin/chuser,/usr/bin/pw azurem,/sbin/pam_tally2" > /etc/sudoers.d/cyberark

Näiden toimien jälkeen käyttäjän "arkrecon" voi käyttää SSH-kirjautumiseen PowerProtect Data Manager -palvelimeen. Sitä voidaan käyttää myös salasanojen hallintaan ja tilien lukituksen avaamiseen seuraavasti:

Tiedosto /etc/sudoers.d/cyberark jää näkyviin uudelleenkäynnistyksen tai uuteen versioon päivittämisen jälkeen.
Käyttäjää "arkrecon" voidaan käyttää SSH-kirjautumiseen, salasanojen hallintaan ja tilien lukituksen avaamiseen.

3. Rajoitukset ja muistutukset

1. Ratkaisu koskee itsenäistä PowerProtect Data Manager -versiota. Se ei koske DM5500:n ProtectProtect Data Manager -laitetta;
2. ServerDR -prosessi ei kata CyberArc-asetusten varmuuskopiointia tai palautusta. CyberArc ei voi jatkaa toimintaa palvelimen DR-palvelimesta.
3. Asiakkaiden on säilytettävä pääkäyttäjän salasana. Ainoastaan pääkäyttäjä voi lukea ja muokata /etc/sudoers.d-kohdan tiedostoja.