Azure Active Directory es uno de los proveedores de identidad más utilizados en el mundo, y no sin razón; Es una de las formas más seguras de autenticar usuarios, detectar intrusos y se conecta con su Active Directory existente. AAD le permite proteger su organización con certificación de dispositivo, detección de viajes imposibles, autenticación MFA y muchas más funciones. Sin embargo, cuando se trata de proteger sus máquinas virtuales Linux de Azure, se enfrenta a la autenticación basada en claves SSH heredadas y a las contraseñas SSH.
Si bien las claves SSH son una excelente opción para proteger su servidor doméstico o cualquier punto final en el que algunos ingenieros puedan autenticarse, no escalan. Cuando hablamos de escalar la nube, agregar y ciclo de vida las claves de las partes autorizadas (normalmente ingenieros, desarrolladores, ingenieros de seguridad, etc.) que podrían necesitar acceso a un servidor, a través de los miles o millones de servidores que una empresa podría tener, se vuelve un trabajo de tiempo completo que queda vacante. Por eso se crearon los Certificados SSH: para facilitar la gestión en grandes empresas.
Los certificados SSH son excelentes para crear inicios de sesión criptográficos a corto plazo, sin contraseña y con poca o ninguna administración en el terminal. Sin embargo, la implementación actual del certificado SSH requiere que un administrador de PKI emita manualmente cada certificado y autentique la solicitud a través de un canal alternativo aprenda cómo ejecutar su propia SSHCA. Aquí es donde entra en juego EZSSH, como su nombre lo indica, es una manera fácil de utilizar SSH. EZSSH aprovecha su identidad AAD ya segura para autenticar al usuario, y nuestra política de Azure le permite usar su RBAC de Azure, que ya está altamente gobernado, para otorgar a los usuarios acceso a sus recursos de Azure.
En Keytos creemos que la forma más fácil de proteger la infraestructura es hacer que la forma segura sea más fácil que la insegura. Es por eso que hicimos que la seguridad fuera transparente para el usuario. Todo lo que el usuario tiene que hacer es iniciar sesión con su identidad corporativa y nosotros nos encargaremos de crear todas las credenciales a corto plazo en segundo plano.
Si bien eliminar la necesidad de administrar y rotar claves es una excelente mejora de seguridad y experiencia de usuario, en Keytos no nos conformamos con lo suficientemente bueno, es por eso que mejoramos el flujo de trabajo SSH regular creando diferentes formas de administrar el acceso SSH. Desde un comando SSH normal hasta una aplicación basada en UI que hace que la conexión a todos sus puntos finales esté a un clic de distancia.
Una vez que se haya creado su política de Azure en el portal EZSSH, puede escanear y agregar automáticamente la CA como una CA confiable a sus nuevos puntos finales (lo hacemos a través de VM Extensions, nunca tenemos acceso a su VM ni a sus datos). O puede utilizar una de nuestras guías para agregarla a su elección de tecnología de implementación.
Dado que los usuarios usan su identidad de AAD para iniciar sesión en EZSSH, EZSSH escaneará el RBAC de suscripción y otorgará acceso al punto final solicitado según su RBAC de Azure. Tan simple como eso, ya no es necesario administrar claves SSH; Siempre que tenga acceso al punto final en Azure RBAC, tendrá acceso a la máquina virtual.
Las ventajas de que EZSSH esté integrado con Azure y AAD es que puede utilizar todas las herramientas de seguridad que ya utiliza para proteger el resto de su infraestructura de Azure. Desde acceso condicional hasta acceso basado en PIM a sus recursos de Azure e incluso solicitar automáticamente Azure Networking JIT para acceder a sus puntos finales, EZSSH lo tiene cubierto.
En esta publicación de blog, hablamos sobre los beneficios de usar EZSSH para Azure. Sin embargo, una de las características que más disfrutan nuestros clientes es que EZSSH sea la ventanilla única para toda la autenticación SSH. Con nuestras políticas híbridas, le permitimos utilizar la misma excelente experiencia EZSSH con cualquier punto final SSH, no importa si son locales, en AWS, GCP o en cualquier otro lugar, siempre que utilicen Open-SSH para autenticar a los usuarios. puede utilizar EZSSH para gestionar el acceso a él.
¿Entonces, Qué esperas? Haga que sus ingenieros trabajen menos y su organización sea más segura solicitando una demostración hoy.
