EZSSH utiliza certificados SSH para crear certificados a corto plazo. Claves de acceso firmadas por nuestra Autoridad de certificación (CA) respaldada por HSM que otorgarán acceso justo a tiempo a su recurso mientras crean un registro de auditoría que se puede rastrear hasta el usuario y sus acciones.
Cada política dentro de la cuenta de cada cliente obtendrá su propia Autoridad de certificación respaldada por HSM, creando un perímetro de identidad limitado a su propia política de acceso. También ofrecemos la opción de traer su propia CA donde usted puede traer su propia Azure Key Vault, otorgar permisos de creación y firma a EZSSH y usted tiene el control de su clave privada y cómo se usa.
Aunque utilizar un certificado SSH a corto plazo parece mucho trabajo para un usuario cada vez que desea iniciar sesión. El usuario no es consciente de todo lo que sucede en segundo plano. El usuario simplemente escribe el comando y nosotros hacemos toda la magia en el fondo; lo único que el usuario sabe es que tiene una forma segura de conectarse a su infraestructura SSH.
Dado que EZSSH utiliza certificados SSH nativos, la mayoría de las distribuciones de Linux tienen la capacidad de confiar en una autoridad de certificación específica y aceptar certificados de ella sin tener que realizar cambios constantes. Una vez que sea configurado, se otorgará acceso a cualquier certificado que cumpla con los requisitos establecidos por el administrador. Esto evita tener que ejecutar un agente con privilegios elevados o cualquier código de terceros en sus servidores.
El usuario escribe ezssh ssh -e [username@host]
Si el usuario no ha iniciado sesión, EZSSH lo redirige a su proveedor de identidad para autenticarse.
Una vez autenticado el usuario, la solicitud se envía al servicio EZSSH.
El servicio EZSSH verifica el acceso de ese usuario al servidor SSH que el usuario solicitó y aplica el flujo de trabajo de aprobación apropiado (el usuario puede ser aprobado automáticamente, necesitar una aprobación de doble clave de otro usuario o denegarse automáticamente).
Una vez procesada la aprobación, el cliente EZSSH crea una nueva clave SSH para el usuario (la clave privada nunca sale de la computadora del usuario) y envía la clave pública para que EZSSH la firme.
EZSSH crea el certificado con el nivel de acceso adecuado para el usuario y lo envía al HSM para que lo firme.
El certificado SSH es firmado por la CA.
El certificado firmado se devuelve al usuario.
EZSSH llama al cliente SSH nativo de su computadora para iniciar la conexión SSH a su host utilizando el certificado recién creado.
Una vez que el certificado caduca, el certificado se elimina de la computadora del usuario.
El propietario del recurso crea una política EZSSH.
EZSSH crea una clave única protegida por HSM para esta política.
La clave de esta política se agrega como una CA confiable a los servidores. (EZSSH puede hacer esto automáticamente si los recursos están alojados en Azure o ejecutar manualmente los scripts que EZSSH creó para la política)
Los recursos ahora aceptarán certificados SSH firmados por la clave privada de su política y los usuarios experimentarán una experiencia SSH sin contraseña.