senhasegura GO Endpoint Manager 3
VIP auf Zeit
Veröffentlicht in Ausgabe 02/2023 - TESTS
Der Hersteller bietet die Plattform als Software-as-a-Service auf Basis der Google Cloud an. Alternativ können IT-Verantwortliche die Software auch selbst installieren und betreiben. Sie unterstützt hierbei die gängigen Hypervisoren für eine Installation im eigenen Rechenzentrum sowie die Clouds der großen Hyperscaler Amazon, Google und Microsoft.
Umfassende Plattform für PAM
Die Basis der Plattform bildet das grundlegende Modul "PAM Core", das generische und privilegierte Zugangsdaten, wie etwa Passwörter, SSH-Schlüssel und Zertifikate, in einem sicheren digitalen Tresor speichert, verwaltet und den Zugriff darauf steuert sowie überwacht. Es handelt sich dabei um eine Appliance auf Basis von Debian Linux, die der Hersteller in den Formaten OVA, VMDK, VHD, RAW und QCOW2 bereitstellt. Alternativ ist ein Installationsmedium in Form eines ISO-Images verfügbar, der Regelfall ist laut Hersteller jedoch der Import eines der vorgefertigten Abbilder.
Die Appliance bietet eine webbasierte Managementoberfläche für die Kernfunktionen und alle übrigen Module. Je nach installierter Lizenz schaltet die GUI die passenden Funktionen frei. Die Software unterstützt den Betrieb als Active-Passive- oder Active-Active-Cluster und bietet optional einen Loadbalancer sowie physische Crypto-Appliances auf Basis von Dell-Hardware zur zusätzlichen Absicherung der Plattform an.
Der Hersteller bietet die Plattform als Software-as-a-Service auf Basis der Google Cloud an. Alternativ können IT-Verantwortliche die Software auch selbst installieren und betreiben. Sie unterstützt hierbei die gängigen Hypervisoren für eine Installation im eigenen Rechenzentrum sowie die Clouds der großen Hyperscaler Amazon, Google und Microsoft.
Umfassende Plattform für PAM
Die Basis der Plattform bildet das grundlegende Modul "PAM Core", das generische und privilegierte Zugangsdaten, wie etwa Passwörter, SSH-Schlüssel und Zertifikate, in einem sicheren digitalen Tresor speichert, verwaltet und den Zugriff darauf steuert sowie überwacht. Es handelt sich dabei um eine Appliance auf Basis von Debian Linux, die der Hersteller in den Formaten OVA, VMDK, VHD, RAW und QCOW2 bereitstellt. Alternativ ist ein Installationsmedium in Form eines ISO-Images verfügbar, der Regelfall ist laut Hersteller jedoch der Import eines der vorgefertigten Abbilder.
Die Appliance bietet eine webbasierte Managementoberfläche für die Kernfunktionen und alle übrigen Module. Je nach installierter Lizenz schaltet die GUI die passenden Funktionen frei. Die Software unterstützt den Betrieb als Active-Passive- oder Active-Active-Cluster und bietet optional einen Loadbalancer sowie physische Crypto-Appliances auf Basis von Dell-Hardware zur zusätzlichen Absicherung der Plattform an.
Das ebenso optionale Modul "Domum Remote Access" kümmert sich dabei um den sicheren Fernzugriff und dies nicht nur für Mitarbeiter des eigenen Unternehmens, sondern insbesondere auch für externe Kräfte wie Lieferanten, Dienstleister und Berater. Der "DevOps Secret Manager" (DSM) sichert Zugangsdaten über die komplette Entwicklungs-Pipeline im Rahmen agiler Prozesse von Continuous Integration und Continuos Development (CI/CD). Der Baustein "Cloud IAM" vereinfacht das Verwalten von Identitäten bei der Nutzung von einem oder mehreren Cloudanbietern und der "Certificate Manager" kümmert sich um die zentrale Verwaltung des Lebenszyklus von digitalen Zertifikaten.
Berechtigungen nur noch on demand
Im Fokus unseres Interesses stand das Modul "senhasegura GO Endpoint Manager" (SGEM) für das Privilege Elevation and Delegation Management (PEDM). PEDM als Spezialisierung von PAM zielt darauf ab, Anwendern den Zugang zu privilegierten Konten und Berechtigungen auf granularer Basis zu gewähren. Derartige Werkzeuge sollen in der Regel hochprivilegierte Admin-Konten gänzlich erübrigen und stattdessen Endanwender sowie auch die IT-Administratoren mit normalen Benutzerkonten arbeiten lassen.
Ein PEDM-System erteilt Anwendern befristet und nur für die einzelnen Anwendungen, Skripte oder Aufgaben, die sie ausführen müssen, genau passende Berechtigungen. Dies erleichtert es Unternehmen, die Anzahl der Konten und deren Berechtigungen in ihrer Infrastruktur zu reduzieren, was die Angriffsfläche für externe Bedrohungen verringert.
Der Anbieter lizenziert den GO Endpoint Manager pro Gerät und dies wahlweise auf Basis einer dauerhaften Kauflizenz zuzüglich einer jährlichen Wartungsverlängerung für Updates und Support oder in Form einer Mietlizenz, die die Updates miteinschließt. Das grundlegende Modul "PAM Core" ist in diesen Lizenzen enthalten.
Mittels SGEM realisiert senhasegura PEDM für Endpunkte unter Windows sowie künftig auch Linux. Bis zum Redaktionsschluss war der Linux-Agent noch nicht verfügbar, ist aber für Anfang 2023 angekündigt. Allerdings beschränken sich die Optionen für Linux zunächst auf die Pflege von Positiv- und Negativlisten von Befehlen, Skripten und Anwendungen, die Anwender ausführen dürfen oder nicht, sowie auf die zentrale Verwaltung der sudo-Regeln für Workstations und Benutzer.
Als deutlich weitreichender erwiesen sich die Möglichkeiten unter Windows. SGEM adressiert hier die Benutzerkontensteuerung (User Account Control, UAC) sowie die "Ausführen als…"-Aktion im Kontextmenü von Applikationen oder Skripten, die erhöhte Berechtigungen benötigen. Mithilfe eines lokalen Agenten startet SGEM Anwendungen und Skripte durch die automatische Eingabe von Anmeldedaten, die die Endanwender dazu nicht kennen müssen.
Zulässige Anwendungen und Skripte pflegt der Admin in einer Positivliste. Alternativ dazu sperrt eine Negativliste ausdrücklich nicht erwünschte Applikationen aus. Darüber hinaus kümmert sich SGEM auch um die Zugriffe auf Dateien und Ordner, lokal sowie auch auf Netzwerkfreigaben. Unter Windows steuert das Modul zudem den Zugriff auf Applets der Systemsteuerung und kann die initiale Anmeldung von Anwendern am System neben Benutzernamen und Passwort zusätzlich per Multifaktor-Authentifizierung (MFA) absichern. Weiterhin verlangt die Plattform auf Wunsch sogar eine zusätzliche MFA-Abfrage beim Zugriff auf einzelne Zugangsdaten. Dabei kommt das etablierte Verfahren mittels Time-based One-Time-Password (TOTP) zum Einsatz, das mit beliebigen TOTP-Apps wie etwa dem Microsoft Authenticator oder dem Google Authenticator funktioniert.
Zackige Inbetriebnahme
Im SaaS-Modell benötigt die Plattform in der Google-Cloud eine VPN-Verbindung zum Unternehmensnetz. Wir wollten die Infrastruktur dagegen im lokalen Netz virtualisiert auf Basis von VMware betreiben und nutzten die passende VMVorlage für die virtuelle Appliance. Nach dem Import meldeten wir uns zunächst mit dem integrierten Benutzer "mt4adm" per lokaler Shell an und konfigurierten entsprechend der ausführlichen Onlinedokumentation den Hostnamen sowie die grundlegenden Einstellungen der Netzwerkschnittstelle, gefolgt von DNS und NTP. Daraufhin konnten wir uns auch schon mit dem integrierten Benutzer "admin" am Webinterface anmelden, das ab Werk mit einem selbstsignierten Zertifikat gesichert ist.
Die ersten Schritte bestanden darin, die Instanz zu aktivieren und eine temporäre Lizenz einzuspielen. Das Webinterface schaltete anschließend die lizenzierten Module der Plattform frei. Ankerpunkt der Navigation ist ein Dropdown-Menü links oben auf der Seite, das die verfügbaren Module anzeigt, in unserem Fall also "PAM Core" und den "GO Endpoint Manager" sowie die grundlegenden Systemeinstellungen, die für alle Module gelten. Je nach gewähltem Modul fanden wir darunter in der vertikalen Navigationsleiste die zu diesem Modul passenden Punkte.
Zahlreiche Identity-Provider nutzbar
Erste Anlaufstelle waren die Einstellungen im Bereich "Settings", hinter denen sich das Usermanagement verbirgt. Hier konnten wir weitere lokale Benutzerkonten konfigurieren, die nur innerhalb von senhasegura existieren. Naheliegender ist es jedoch, unter "Settings / Authentication" einen bereits bestehenden Identity- Provider anzubinden.
Die Software versteht sich auf das klassische Lightweight Directory Access Protocol (LDAP) und integriert somit auch mit dem Active Directory (AD). Weiterhin verbindet sich das System mit generischen Quellen nach den Standards OpenID Connect (OIDC), Security Assertion Markup Language (SAML) 2.0, Remote Authentication Dial-In User System (RADIUS), Terminal Access Controller Access Control System (TACACS) sowie System for Cross-domain Identity Management (SCIM). Der Hersteller nutzt SAML insbesondere für den Single Sign-On gegenüber Microsoft Active Directory Federation Services (ADFS) sowie SCIM zur Anbindung an die Plattform Sailpoint IdentityNow.
| Produkt |
Software für das Privilege Elevation und Delegation Management (PEDM) unter Windows (und künftig auch Linux).
|
|---|---|
| Hersteller |
senhasegura
|
| Preis |
Bei Abnahme von 100 Lizenzen entstehen Kosten von für 29,19 Euro pro Gerät zuzüglich Wartungskosten in Höhe von 25 Prozent für ein Jahr oder 65 Prozent für drei Jahre. Als Mietlizenz mit dreijähriger Laufzeit fallen 44,66 Euro pro Gerät an. Staffelpreise für größere Mengen von Clients nennt der Hersteller auf Anfrage.
|
| Systemausstattung |
Server-Appliance: VMware ESXi 6.x/7.0, Citrix XenServer 7.0/7.1 LTSR, Citrix Hypervisor 8.2 LTSR, Xen 4.x, Microsoft Hyper-V auf Basis von Windows Server 2012 bis 2019, Linux KVM, Microsoft Azure, Amazon Web Services, Google Cloud oder Openstack, alternativ ISO-Image zur Installation auf Debian 10.
Windows-Endpunkte: 64-Bit-Varianten von Windows 7 bis 10 und Windows Server 2008 R2 SP1 bis Windows Server 2019; Microsoft .NET 6 Desktop Runtime und MS Visual C++ Redistributable for Visual Studio 2017 oder 2019.
|
| Technische Daten |
Umfassende Abbildung von AD-Benutzern
In unserem Fall wollten wir unser lokales AD integrieren und richteten hierzu unter "Settings / Authentication / Active Directory / Servers" eine LDAP-Verbindung ein. Dies ließ keine Wünsche offen, denn senhasegura verbindet sich authentifiziert und auch SSL-verschlüsselt mit der Domäne und sucht Benutzerkonten nach wählbaren Kriterien unterhalb einer definierten Suchbasis.
Daraufhin definierten wir unter dem Menüpunkt "Group synchronization" die Abbildung von Benutzerkonten im AD auf Benutzer und ihre Berechtigungen innerhalb von senhasegura. Dieser Prozess erwies sich als sehr flexibel, da die Plattform frei definierbare LDAP-Filter nutzt, also wahlweise alle Benutzer aus einer bestimmten Organisationseinheit im AD einliest oder nur solche, die einer bestimmten AD-Gruppe angehören oder deren Attribute beliebigen Filterkriterien entsprechen.
Pro Gruppe konnten wir uns mittels eines Simulationslaufs überzeugen, welche Benutzer der Prozess aus dem AD synchronisieren würde, und somit prüfen, ob unser LDAP-Filter passt. Benutzer, die im AD gesperrt oder gelöscht werden, lehnt senhasegura automatisch ab, ohne die synchronisierten Konten innerhalb der Anwendung komplett zu entfernen. So bleibt die Möglichkeit von Audit und Reporting auch über das Ende des Lebenszyklus von Accounts erhalten.
Die Benutzer verknüpft der Synchronisationsprozess mit Rollen innerhalb der Plattform. Der Hersteller liefert hierzu bereits ab Werk eine Vielzahl an Rollen mit, um die Möglichkeiten der Benutzer innerhalb vom PAM Core und in SGEM detailliert zu steuern. Neben den Rollen nutzt die Plattform die sogenannten "Access Groups", auf die wir gleich zurückkommen, als zusätzliche Ebene zur granularen Vergabe von Berechtigungen.
Optional konnten wir für die Benutzer MFA als obligatorisch festlegen. Neben TOTP nutzt senhasegura alternativ X.509- Zertifikate, RADIUS oder Duo MFA. Das System bot uns darüber hinaus zahlreiche weitere Optionen zur Absicherung, darunter Richtlinien zum automatischen Logout oder die Beschränkung des Zugangs auf bestimmte Kreise von IP-Adressen.
Berechtigungen vollständig im Griff
Im Modul "PAM Core" verwalteten wir Sitzungen zu Zielsystemen sowie die zugehörigen Zugangsdaten. Das System versteht sich hierbei unter anderem auf HTTP(S), RDP, VNC, SSH sowie Telnet. Überzeugt hat uns hierbei vor allem das weitreichende Berechtigungskonzept der "Access Groups". Diese fassen Benutzer zusammen und legen detailliert Regeln dazu fest, auf welche Zugangsdaten und Sitzungen die Benutzer zugreifen dürfen. Hierbei konnten wir die Zugangsdaten und Sitzungen entweder gezielt einzeln auswählen oder auf Basis diverser Kriterien dynamisch zuordnen. So erhält eine Access Group Zugriff auf alle Zielsysteme eines bestimmten Typs, etwa auf alle Datenbankserver, die per SSH zugänglich sind, oder auf alle Elemente, die mit einem bestimmten Tag versehen sind.
Den Zugriff auf die Zugangsdaten konnten wir granular einschränken, sodass Benutzer Datensätze nur zu bestimmten Zeiten verwenden dürfen oder mithilfe von Freigabe-Workflows erst eine Begründung angeben und die Genehmigung anderer Benutzer einholen müssen. Ein solcher Workflow darf auch mehrstufig sein, also die Zustimmung von mehreren Benutzern erfordern. Weiterhin kann PAM Core nach dem Vier-Augen-Prinzip nur einen Teil des Passworts für eine Access Group und den zweiten Teil für eine andere freigeben. Unsere Testbenutzer waren in der Lage, über das Webinterface auf die für sie freigegebenen Zugangsdaten oder über den Desktopclient des GO Endpoint Managers zuzugreifen.
Verwaltung mit drei Tools
Die senhasegura-Software setzt zur Kommunikation mit dem Server auf HTTPS und eine REST-API, abgesichert durch einen dedizierten Zufallsschlüssel für jede einzelne Clientinstallation. Zunächst brachten wir die Agenten auf unsere Endpunkte aus. Die passenden Installationspakete lieferte uns das Webportal des Herstellers. Der Agent unterstützt aktuell nur die Sprachen Englisch sowie Portugiesisch und besteht unter Windows aus mehreren Diensten, die im Kontext des lokalen Systems laufen, sowie den Clientapplikationen, die im Benutzerkontext laufen.
Neben dem grundlegenden Kern bringt der Client zwei optionale grafische Tools mit. Das Werkzeug "Automation" setzt vom Admin definierte Automatisierungen um, etwa das Ausfüllen einer bestimmten Anmeldemaske mit Logindaten. Der "Vault" verschafft den Anwendern manuellen Zugriff auf zentral bereitgestellte Anmeldeinformationen, zeigt diese an oder befördert sie in die Zwischenablage. Wir installierten sämtliche Elemente.
Im Webfrontend der Plattform riefen wir den Lizenzschlüssel ab, den wir bei jeder Clientinstallation eingeben mussten. Die Setuproutine nimmt diese Informationen optional über Kommandozeilenschalter entgegen, sodass auch eine unbeaufsichtigte Installation per zentraler Softwareverteilung möglich ist.
Die Endpunkte und clientseitigen Benutzer fanden wir anschließend im Modul "GO Endpoint Manager" des Webfrontends und dort unter "General / Workstations" sowie "General / Users" wieder. Standardmäßig legt SGEM neue Endpunkte und Benutzer dort inaktiv an und wartet auf eine Bestätigung des Administrators. Auf Wunsch konnten wir in den Systemeinstellungen unter "Settings / Parameters" konfigurieren, dass SGEM neue Clients und Benutzer automatisch freischaltet. Alle Einstellungen in diesem Bereich gelten automatisch für sämtliche Endpunkte. Alternativ dazu konnten wir im Bereich "Settings / Segregated parameters" auch abweichende Einstellungen für verschiedene Clients definieren.
Lokale Admin-Rechte nach Bedarf
Mithilfe dieser Einstellungen konnten wir die Optionen in der vertikalen Menüleiste des Clients ein- oder ausblenden und so regeln, welche globalen Funktionen Endanwendern zur Verfügung stehen. Der Bereich "Execute" listet sämtliche auf dem Client verfügbaren ausführbaren Dateien auf und startet diese auf Wunsch mit lokalen Administratorrechten, ohne dass ein Anwender hierzu das Passwort eines lokalen Admins kennen müsste.
Der Bereich "Control Panel" realisiert ebendiese Funktionalität für die Elemente der Systemsteuerung. Standardmäßig erlaubte SGEM den administrativen Zugriff auf sämtliche Applikationen und Konfigurationsoptionen. Über das Webportal konnten wir die Zugriffe granular einschränken und so nur bestimmte Applikationen zur administrativen Ausführung freigeben.
Analog dazu kümmerten sich die weiteren Bereiche um administrative Zugriffe auf Netzwerkadapter, Netzwerkfreigaben sowie die Deinstallationsroutinen auf dem Client vorhandener Applikationen. Auch hier versetzten wir Endanwender ohne Kenntnis administrativer Zugangsdaten in die Lage, Änderungen auszuführen.
In allen Fällen stattete SGEM das Konto des jeweils angemeldeten Benutzers gezielt mit den für die gewünschte Aktion erforderlichen Admin-Rechten aus, wechselte also nicht den Benutzerkontext. Dies hatte den praktischen Vorteil, dass die Anwender auch mit den erhöhten Rechten etwa auf Netzlaufwerke zugreifen konnten, die sie zuvor im regulären Benutzerkontext verbunden hatten.
Abseits der Ausführung einzelner Anwendungen mit erhöhten Rechten konnten wir in den Systemeinstellungen der Endpunkte auch den Just-In-Time-(JIT)- Zugriff aktivieren. Die GO-Applikation auf den Clients bot uns daraufhin in ihrer Kopfzeile den Button "Just-In-Time Access", der den jeweiligen Benutzer für die laufende Sitzung in die Gruppe der lokalen Administratoren aufnahm und dies, ohne eine Neuanmeldung zu erfordern. Sobald wir den Benutzer anschließend abmeldeten, entfernte SGEM die Admin-Berechtigungen automatisch wieder.
Einfach und sicher "Ausführen als…"
Über das grafische Werkzeug hinaus integrierte sich GO auch in das Kontextmenü des Windows-Explorers und ergänzte hier die Option "Execute with senhasgura.go", sodass wir auf diesem Weg Anwendungen mit erhöhten Rechten starten konnten. Weiterhin arbeitet SGEM mit der Benutzerkontensteuerung (User Access Control, UAC) von Windows zusammen.
Wo Anwender zum Wechseln des Benutzerkontextes normalerweise Benutzernamen und Passwort des gewünschten Zielkontos eingeben müssen, konnten wir stattdessen ohne manuelle Eingabe eines Passworts auf die für den jeweiligen Anwender freigegebenen Zugangsdaten aus dem Vault zugreifen.
Detaillierte Steuerung mithilfe von Richtlinien
Noch mehr Möglichkeiten der granularen Steuerung boten uns die Richtlinien, die wir im Webportal unter "Policies / Windows" definierten. Deren Funktionalität geht über die Windows-eigenen Gruppenrichtlinien hinaus und bietet zudem den Vorteil, dass SGEM, eine passende Netzwerkkonfiguration vorausgesetzt, auch mobile Clients erreicht, falls diese gerade keinen Kontakt zum AD im internen Unternehmensnetz haben sollten.
Der Bereich "Access lists" führt eine Sperrliste von Applikationen, die Anwender außerhalb von SGEM nicht verwenden dürfen. Das funktioniert ähnlich zu Microsofts AppLocker-Richtlinie und wir konnten Anwendungen anhand diverser Kriterien, wie etwa Name, Pfad, Version, Hash-Wert, Herkunft oder Zertifikat, identifizieren.
Als äußerst praktisch erwies sich zudem der Bereich der "Commands". So konnten wir nicht nur steuern, ob Anwender global Zugriff auf Kommandozeile (cmd.exe) und PowerShell haben, sondern innerhalb entsprechender Sitzungen auch regeln, welche Kommandos und Cmdlets sie verwenden dürfen, etwa nur das Kommando "dir" und "Get"-Cmdlets, jedoch keine Befehle, die Einstellungen verändern (Bild 1).
Mit "Directory and file control" steuerten wir die Zugriffsrechte auf lokale Dateien und Ordner der Clients und mit "Directory and file scan" die Prüfung auf Malware. Letzteres setzt allerdings ein kostenpflichtiges Premiumabonnement des Dienstes VirusTotal voraus, da senhasegura diesen Anbieter integriert, um Dateien zur Prüfung hochzuladen.
Umfangreiches Reporting
Als sehr umfassend erwiesen sich auch die Möglichkeiten des Berichtswesens, das sich auf zwei Bereiche verteilte. Zum einen konnten wir im Modul "PAM Core" die generelle Verwendung der hinterlegten Zugangsdaten nachvollziehen. Im Modul des Endpoint Managers fanden wir unter "Reports / Windows / Events" eine detaillierte Aufstellung sämtlicher Ereignisse rund um unsere Windows-Workstations (Bild 2).
Fazit
Der senhasegura GO Endpoint Manager geht bei der bedarfsorientierten Nutzung administrativer Zugangsdaten und Berechtigungen deutlich über die Bordmittel der Betriebssysteme hinaus. So können Anwender nach Bedarf einzelne Aktionen mit erhöhten Berechtigungen ausführen, ohne dass sie dazu bewusst oder versehentlich dauerhaft als Admin arbeiten müssten.
Als besonders praktisch erwies sich, dass SGEM dabei nicht nur Applikationen und Elemente der System einstellungen adressiert, sondern die granulare Steuerung sogar auf einzelne Kommandozeilen-Befehle und PowerShell-Cmdlets herunterbricht. Der Fokus der Software liegt derzeit allerdings klar auf Windows als Zielplattform, während die Funktionalität für Linux sich noch im Aufbau befindet. (jp)
| Bewertung |
|
||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Dieses Produkt eignet sich |
optimal für Unternehmen, die administrative Zugriffe unter Windows absichern möchten.
bedingt für Organisationen, die primär Linux einsetzen.
nicht für Szenarien ohne erhöhte Anforderungen an die Absicherung von Zugangsdaten zu Admin-Konten.
|
(jp)