Mit einem externen Tresorsystem arbeiten

In diesem Dokument wird beschrieben, wie Sie Secrets wie Passwörter, API-Schlüssel oder Zertifikate in einem externen Vault wie CyberArk speichern und sicher in die Google Security Operations-Plattform abrufen, um sie in verschiedenen Konfigurationen zu verwenden.

Sie können auf Vault-Anmeldedaten an den folgenden Stellen verweisen:

• Integrationen
• Connector
• Jobs

Die folgenden Bereitstellungstypen werden unterstützt:

• Cloud Vault-Instanz

• Lokale Vault-Instanz (mit Remote-Agent)

Anwendungsfälle

• Unternehmen können Anmeldedaten aus ihrem zentralen Tresor abrufen, um das Risiko einer unbefugten Verwendung von Passwörtern zu verringern.

• MSSPs können Clientanmeldedaten direkt aus dem Tresor des Kunden abrufen, ohne Passwörter für ihre Mitarbeiter preiszugeben.

Vault-Integration herunterladen und konfigurieren

So installieren und konfigurieren Sie die Vault-Integration:

1. Rufen Sie den Marketplace (oder den Content Hub für Google SecOps-Kunden) auf und installieren Sie die CyberArk PAM-Integration.
2. Konfigurieren Sie die Integration mit einer der folgenden Methoden:
• Während der Installation (für die Standardumgebung).
• Gehen Sie zu Antwort > Einrichtung von Integrationen und wählen Sie die entsprechende Umgebung aus.

3. Wenn Sie einen lokalen Tresor mit einem Remote-Agent verwenden, müssen alle Drittanbieterintegrationen (ob cloudbasiert oder lokal) unter demselben Remote-Agent konfiguriert werden, damit dieser auf den Tresor zugreifen kann.

4. Nach dem Speichern sind die Tresor-Anmeldedaten für andere Integrationen verfügbar.

Vault-Secrets in Konfigurationen verwenden

Verwenden Sie die folgende Syntax, um sicher auf Secrets zu verweisen, die im externen Tresor gespeichert sind:

• Syntax: [EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
• EnvironmentName: Name der Umgebung, in der die Integration konfiguriert ist (siehe Einstellungen > Integrationen).
• VaultIntegrationName: Name der Vault-Integration, die aus dem Marketplace heruntergeladen wurde.
• VaultIntegrationInstanceName: Name der Integrationsinstanz (der konfigurierte Tresor in der Umgebung).
• PasswordID: Die Passwort-ID aus Ihrem Tresorverzeichnis.
  
  Beispiel:

  [Default
    Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

Integration mit einem Tresorpasswort konfigurieren

Das folgende Beispiel zeigt, wie Sie die E-Mail-Integration mit einem CyberArk-Passwort konfigurieren:

1. Rufen Sie Antwort > Einrichtung von Integrationen auf. Der Bildschirm Integrationen wird angezeigt.
2. Wählen Sie die Zielumgebung aus, in der Sie die Integration konfigurieren möchten.
3. Klicken Sie auf HinzufügenHinzufügen und wählen Sie dann die E-Mail-Integration aus.
4. Geben Sie die Integrationsparameter ein. Verwenden Sie für Passwort die Vault-Syntax:
   

   [DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .
   
5. Klicken Sie das Kästchen Remote Agent Run Remotely an, da CyberArk PAM ein lokaler Vault ist.
6. Klicken Sie auf Speichern. Zur Laufzeit ruft die Plattform das Passwort aus dem externen Tresor ab.

Hinweise

• Für lokale Tresore: Achten Sie darauf, dass sowohl der Tresor als auch die Integration remote unter demselben Agent ausgeführt werden.
• Cloud-Tresore mit lokalen Integrationen: Prüfen Sie, ob der Remote-Agent Zugriff auf den Cloud-Tresor hat.

Connector mit einem Tresorpasswort konfigurieren

So konfigurieren Sie einen Connector mit einem Tresorkennwort:

1. Rufen Sie die Einstellungen > Ingestion > Connectors auf.
2. Klicken Sie auf add Hinzufügen, um einen neuen Connector zu erstellen. Wählen Sie für dieses Beispiel den Connector Generic IMAP Email aus.
3. Geben Sie die entsprechenden Parameter ein.
4. Fügen Sie im Feld Passwort Folgendes hinzu:

   [Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .

Job mit einem Tresorpasswort konfigurieren

So konfigurieren Sie einen Job mit einem Tresorkennwort:

1. Klicken Sie auf Antwort > Jobs Scheduler.
2. Klicken Sie auf add Hinzufügen und wählen Sie eine Integration aus (z. B. Google SecOps Sync Job).
3. Geben Sie im Feld API-Stamm die Vault-Syntax ein.

Benutzerdefinierte Integration zum Verwenden von Tresor-Anmeldedaten erstellen

Mit Aktionen, Connectors oder Jobs können Sie Tresor-Anmeldedaten aus dem externen Tresor abrufen. Konfigurieren Sie dazu den entsprechenden Integrationsparameter mit der Syntax des externen Tresors.

Verwenden Sie das folgende Snippet in Ihrem Code (Param A, das das Vault-Muster enthalten sollte):

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

Connectors  können Anmeldedaten aus einem externen Tresor abrufen, indem die entsprechenden Connector-Parameter mit der Syntax des externen Tresors konfiguriert werden.

Verwenden Sie das folgende Snippet in Ihrem Code (Param B, das das Vault-Muster enthalten sollte):

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

Jobs können Anmeldedaten aus einem externen Tresor abrufen, indem Sie den entsprechenden Jobparameter mit der Syntax für externe Tresore konfigurieren.

Verwenden Sie das folgende Snippet in Ihrem Code (Param C sollte das Tresormuster enthalten):

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

Wenn Sie die Tresorkonfiguration als Integration in Gemeinsame Instanzen konfiguriert haben, können Sie die Anmeldedaten aus der Integrationskonfiguration anstelle der Jobkonfiguration abrufen. Verwenden Sie das folgende Snippet (Param A sollte das Tresormuster enthalten):

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

Weitere Informationen

• Es werden nur kommerzielle Vault-Integrationen aus dem Google SecOps Marketplace unterstützt.
• Wenn Sie die Tresorkonfiguration aktualisieren, werden automatisch neue Anmeldedaten für Aktionen, Jobs und Connectors angewendet.
• Es gibt eine Servervalidierung für den Tresor-Platzhalter. Sie können einen Vault-Platzhalter nur speichern, wenn der referenzierte Vault vorhanden ist und Sie berechtigt sind, darauf zuzugreifen.
• Der Vault-Zugriff über einen Agent wird nur in Version 1.4.1.52 oder höher unterstützt.

Bekannte Einschränkungen

Wenn Sie benutzerdefinierte Vault-Integrationen mit dem Vault-Anmeldedaten-Feature erstellen, müssen die Abhängigkeitsversionen genau mit der folgenden Tabelle übereinstimmen: