Was ist ein Safe?
Ein Safe ist das Objekt in VaultPAM, das den Zugriff gewährt. Es verbindet vier Dinge miteinander:
- Wer — eine Liste von Mitgliederbenutzern und -gruppen.
- Welche Ressource — das Ziel, zu dem die Sitzung vermittelt wird (ein RDP-Server, SSH-Host, eine Datenbank, eine Webkonsole).
- Welche Account-Bindung — die Anmeldeinformation, die beim Start der Sitzung eingespeist wird.
- Unter welcher Richtlinie — Genehmigung erforderlich? Aufzeichnung aktiv? Zwischenablage erlaubt? MFA-Step-up?
Warum die Safe-Abstraktion existiert
Herkömmliche Ansätze binden Anmeldeinformationen direkt an Benutzer ("Alice hat das Root-Passwort"). Das macht das Offboarding mühsam, die Rotation mühsam und die Prüfung vage. Mit einem Safe:
- Alice sieht die Anmeldeinformation nie — sie wird am Proxy eingespeist.
- Das Entfernen von Alice aus dem Safe entzieht ihr den Zugriff sofort.
- Das Rotieren der Anmeldeinformation wirkt sich einheitlich auf jede Sitzung aus.
- Jeder Zugriff wird auf Safe-Ebene geprüft, nicht verstreut über die Ereignisprotokolle des Betriebssystems.
Gedankenmodell
┌──────────┐ ┌──────────┐ ┌──────────────┐
│ Members │ ──► │ Safe │ ──► │ Resource │
└──────────┘ │ policy │ │ (RDP / SSH │
│ approval │ │ / HTTP) │
│ recording│ └──────────────┘
└────┬─────┘ ▲
│ │ credential
▼ │ injected by
┌──────────┐ │ the proxy
│ Account │──────────────┘
│ binding │
└──────────┘
Richtliniendimensionen
Jeder Safe kann Folgendes festlegen:
- Genehmigung — keine / einzelner Genehmiger / Zwei-Genehmiger-Prinzip ("Vier-Augen-Prinzip").
- Aufzeichnung — ein / aus (standardmäßig ein; für privilegierte Ziele dringend empfohlen).
- Zwischenablage & Dateiübertragung — erlaubt / blockiert / nur geprüft.
- MFA-Step-up — Step-up beim Start der Sitzung verlangen, auch wenn der Benutzer bereits authentifiziert ist.
- Sitzungs-TTL — maximale Dauer.
- Gültige Zeiten — Zeitfenster, in denen der Safe nutzbar ist.