Si es un experto en Microsoft Active Directory, su primer instinto para administrar el acceso a sus terminales Linux probablemente sea unir por dominio sus máquinas virtuales Linux a Active Directory. El TL;DR aquí es que esta es una idea terrible. Tendrá problemas con DNS, agentes privilegiados, sin MFA y, en general, no será la mejor ni la más segura experiencia de usuario.
La lógica no está del todo equivocada, la idea es que, en teoría, podrá administrar de forma centralizada sus puntos finales de Linux desde una ubicación familiar y no tener que lidiar con problemas específicos de Linux. Sin embargo, el sistema operativo Linux no fue diseñado para ser administrado por un Active Directory central. Esto le obliga a ejecutar varios agentes y servicios con privilegios elevados en su máquina Linux para emular el comportamiento de Windows en un entorno de Active Directory. La complejidad agrega los mismos posibles problemas que con una máquina unida a un dominio de Windows, excepto que la depuración ahora debe realizarse desde una máquina Linux que podría no tener las mismas herramientas que su contraparte de Windows. Lea más sobre cómo SSH es el punto más débil de su infraestructura.
Los pares de llave SSH permiten a los usuarios conectarse a cuentas remotas sin tener que usar la contraseña de la cuenta remota. Esto es útil si no desea tener que ingresar la contraseña de una cuenta de su propiedad y a la que accede con frecuencia, e incluso podría pasar la prueba de detección de confianza cero. Escuchamos a todos los líderes de ciberseguridad decir que se eliminen las contraseñas, entonces, ¿por qué SSH? ¿Las llaves no son lo suficientemente buenas para la confianza cero? En primer lugar, no cumple con el requisito multifactor (seamos honestos, nadie pone una contraseña en sus llaves SSH) y no caducan, lo que significa que debe eliminarlas manualmente del servidor los estudios muestran que un servidor promedio tiene más de 200 llaves y el 90% de esas llaves no se utilizan. ¿La solución? Certificados SSH de corta duración, todos los beneficios criptográficos de las llaves SSH pero con acceso justo a tiempo.
Anteriormente hemos escrito sobre cómo funcionan los certificados SSH, pero aquí hay un resumen rápido… Los certificados SSH son la respuesta de la industria a llaves SSH que no caducan. El certificado SSH es una llave SSH firmada por una autoridad certificadora SSH confiable, esto le permite agregar solo las llaves de la CA al servidor y luego todas las llaves firmadas por esa llave reciben acceso. Los líderes de la industria han estado utilizando herramientas como EZSSH para crear certificados a corto plazo y otorgar acceso justo a tiempo a sus servidores. Esto elimina la necesidad de realizar un ciclo de vida de las llaves y le ayuda a cumplir los requisitos de cumplimiento más estrictos.
Aquí es donde entra EZSSH. EZSSH es la única herramienta de gestión de acceso a Linux sin agentes del mundo. Aproveche sus grupos y usuarios de AAD existentes para administrar el acceso y crear certificados SSH a corto plazo. Obtenga su control basado en Active Directory mientras utiliza la autenticación basada en Linux. EZSSH elimina la necesidad de administrar, rotar y eliminar claves SSH para todos sus usuarios de todos sus hosts. Eliminamos la complejidad mediante el uso de certificados SSH detrás de escena, mientras lo único que el usuario ve es la experiencia familiar de SSO usando su identidad AAD. No más claves en los escritorios de los ingenieros esperando a ser robadas por malos actores.
Como se ve en el vídeo anterior, el flujo de usuario para acceder al sistema es claramente mucho más rápido y sencillo que crear una llave SSH y luego agregarla al punto final. Siempre que el usuario sea miembro de la política asignada al punto final, todo lo que tiene que hacer es ejecutar “ezssh ssh nombre de username@endpoint” o utilizar nuestra herramienta de interfaz de usuario.
Eliminamos el trabajo pesado asociado con la ejecución de una autoridad de certificación SSH segura y compatible y creamos un sistema basado en políticas fácil de usar. Esto le permite administrar el acceso de los usuarios agregando grupos y usuarios de AD. Para configurar el acceso en la máquina Linux, es tan simple como ejecutar el script creado por su política que agrega la CA como entidad confiable para la autenticación de usuarios. Sin agentes, módulos PAM adicionales ni configuraciones complejas, solo autenticación nativa de Linux.
Al mismo tiempo, en segundo plano, EZSSH utilizará la cuenta AAD del usuario, autenticará nuestro servicio, verificará que el usuario tenga acceso al punto final y creará un certificado SSH a corto plazo que caducará una vez que expire el período definido. Básicamente, esto elimina por completo la necesidad de realizar ciclos de cuentas. Dado que cada vez se crea una nueva credencial basada en criptografía, cumple y supera los requisitos de seguridad y cumplimiento para la rotación de credenciales. Si se parece en algo a nuestro equipo de desarrollo, sabemos que probablemente prefiera leer nuestra documentación EZSSH que Habla con un miembro de nuestro equipo, así que siéntete libre de hacerlo. Dicho esto, ¡siempre estaremos felices de charlar! Utilice el botón a continuación para programar un tiempo para charlar con un miembro del equipo y comenzar su viaje hacia la confianza cero para Linux.