Saltar al contenido principal

¿Qué es un Safe?

Un Safe es el objeto en VaultPAM que otorga acceso. Vincula cuatro elementos:

  • Quién — una lista de usuarios y grupos miembros.
  • Qué Resource — el objetivo al que se gestiona la sesión (un servidor RDP, host SSH, base de datos, consola web).
  • Qué vinculación de cuenta — la credencial que se inyecta al iniciar la sesión.
  • Bajo qué política — ¿se requiere aprobación? ¿está activada la grabación? ¿se permite portapapeles? ¿paso MFA adicional?

Por qué existe la abstracción Safe

Los enfoques heredados vinculan credenciales directamente a usuarios ("Alice tiene la contraseña de root"). Esto hace que la desvinculación sea dolorosa, la rotación sea dolorosa y la auditoría sea vaga. Con un Safe:

  • Alice nunca ve la credencial — se inyecta en el proxy.
  • Eliminar a Alice del Safe revoca su acceso inmediatamente.
  • Rotar la credencial afecta uniformemente a todas las sesiones.
  • Cada acceso se audita a nivel de Safe, no disperso en registros de eventos del SO.

Modelo mental

┌──────────┐ ┌──────────┐ ┌──────────────┐
│ Members │ ──► │ Safe │ ──► │ Resource │
└──────────┘ │ policy │ │ (RDP / SSH │
│ approval │ │ / HTTP) │
│ recording│ └──────────────┘
└────┬─────┘ ▲
│ │ credential
▼ │ injected by
┌──────────┐ │ the proxy
│ Account │──────────────┘
│ binding │
└──────────┘

Dimensiones de política

Cada Safe puede establecer:

  • Aprobación — ninguna / aprobador único / dos aprobadores ("cuatro ojos").
  • Grabación — activada / desactivada (activada de forma predeterminada; recomendado encarecidamente para objetivos privilegiados).
  • Portapapeles y transferencia de archivos — permitido / bloqueado / solo auditoría.
  • Paso MFA adicional — requerir paso adicional al iniciar la sesión incluso si el usuario ya está autenticado.
  • TTL de sesión — duración máxima.
  • Horas válidas — ventanas horarias cuando el Safe es utilizable.

Artículos relacionados