Okta アドバンスサーバーアクセスでダイナミックアクセス制御

安全なクラウドインフラストラクチャでコンテキストに応じた継続的アクセス管理を実現する新製品、Okta アドバンストサーバーアクセスを本日発売いたします。アドバンストサーバーアクセスは、オンプレミス、ハイブリッド、クラウドインフラストラクチャをシームレスな方法で活用する企業に向けてダイナミックアクセス制御を一元化して、資格情報の盗難、再利用、スプロール化、放棄された管理アカウントに起因するリスクを軽減します。Personal Capital 社、Workiva 社、MailChimp 社、VirtualHealth 社などの Okta のお客様が、すでにアドバンストサーバーアクセスをご利用されています。

企業の最も重要なインフラストラクチャ「サーバー」を保護

インフラストラクチャのセキュリティは、急速に進化するセキュリティ環境に追いつけていません。SSH キーや RDP パスワードなど、サーバーへのアクセスに使用されている従来の資格情報は高レベルの権限に直結するだけに、ハッカーに狙われることが多くなります。加えて、サーバーを使用する管理者、つまりシステム管理者、DevOps エンジニア、サイト信頼性エンジニア(SRE)は通常、組織のアイデンティティシステムでアクセス制御されない、自分個人の資格情報を保持しています。従来型のインフラストラクチャ製品は、最善のセキュリティとはほど遠く、運用も難しいため、エンドユーザーエクスペリエンスはかなり低品質です。こうした製品は、企業環境全体のアクセス自動化を推進する際に大きな障害となるおそれがあります。

Okta アドバンストサーバーアクセス + 継続的認証

アドバンストサーバーアクセスでは、静的なキーをまったく使用しないサーバーアクセスの最新アプローチを採用しています。Okta は、革新的な短期証明書メカニズムにより、Linux および Windows サーバーをサポートするあらゆるクラウド環境(パブリック、プライベート、ハイブリッド)ならびに AWS、GCP、Azure を利用するクラウドインスタンスのアクセス制御を一元化しました。

Okta アドバンストサーバーアクセスでは、デバイス、セッションコンテキスト、動的なユーザー情報に基づいて、ログイン要求ごとにきめ細かくアクセス可否を決定できます。このシナリオでは Okta がインフラストラクチャであり、ローカルサーバーアカウントからはユニバーサルディレクトリが唯一の信頼できる情報源となります。Okta ライフサイクル管理で下流のサーバーに対するアカウントのプロビジョニングおよびプロビジョニング解除を自動的に行って、シングルサインオンを SSH/RDP 認証ワークフローに組み込みます。最後に、多要素認証を配備して認証を強化します。

動作のしくみ

Okta アドバンストサーバーアクセスでは、ログインのたびに 1 回限り有効の短期証明書を発行することによって重要なインフラストラクチャを保護します。誰がどのサーバーにどのデバイスからいつアクセスできるかが、アイデンティティに基づくワークフローで決定されます。各クライアント証明書は 1 回使用すると期限切れになるので、資格情報を管理する必要がありません。セキュリティポリシーを簡単に遵守でき、管理者のエクスペリエンスがシームレスになるため、セキュリティと生産性の両方が向上します。

  1. セッションを要求: ユーザーが、クライアントアプリに統合されたローカル SSH または RDP ツールからサーバーディレクトリにログインします。
  2. 認証と認可: Okta がユーザーを認証し、関連するロールベースアクセス制御とアクセスポリシーに照らして要求を承認します。
  3. 証明書を発行: 内蔵されている認証局が、要求の内容に限定された短期のクライアント証明書を作成し、クライアントに配信します。
  4. SSH または RDP で接続: クライアントが、そのクライアント証明書を使用して、目的のサーバーとの間で安全な SSH または RDP セッションを開始します。
  5. 監査イベント: ログインイベントがサーバーエージェントによって検出され、監査ログまたはサードパーティの SIEM サービスに送られます。

アドバンストサーバーアクセスによるソリューション

クラウドベースかつゼロトラストの基本原則で設計された Okta アドバンストサーバーアクセスは、以下の点でインフラストラクチャ環境を進化させます。

  • 資格情報の盗難のリスクを低減: 静的なキーとパスワードの代わりに、1 回限り有効の短期クライアント証明書を使用します。各証明書の権限内容は、ある時点における個々の要求に限定されているため、攻撃の実行対象となる範囲を大幅に縮小できます。
  • サーバーのアクセス制御を一元化: ローカルサーバーのユーザーおよびグループアカウントのエンドツーエンドライフサイクルを、単一のディレクトリ下でアクセスの自動化をします。動的なユーザーおよびデバイス情報に基づくコンテキストに応じたアクセス制御を導入すると同時に、SSH および RDP ワークフローでシームレスなシングルサインオンと多要素認証を実現できます。
  • 自動化の障壁を除去: Chef、Puppet、Ansible、Terraform などの構成管理ツールへのサーバー登録を簡単に自動化できます。マルチクラウド環境に対応しているので、対処可能なイベントをすべて API 化してカスタムワークフローに組み込めます。
  • シームレスなエンドユーザーエクスペリエンスを実現: SSH および RDP プロトコルと連携して動作するので、CLI ツールや GUI ツールとネイティブレベルで統合できます。アドバンストサーバーアクセスは SaaS として提供されるため、複雑な資格情報およびアカウント管理を抽象化して、それらの違いを意識せずに作業できます。自動化によって、セキュリティを低下させることなく、動的な環境の構成を簡素化できるのです。

提供状況について

Okta アドバンストサーバーアクセスは只今販売中です。詳しくは、アドバンストサーバーアクセスのページをご覧ください。