Bekerja dengan sistem brankas eksternal

Dokumen ini menjelaskan cara menyimpan secret (seperti sandi, kunci API, atau sertifikat) di vault eksternal—seperti CyberArk—dan menariknya secara aman ke platform Google Security Operations untuk digunakan dalam berbagai konfigurasi.

Anda dapat mereferensikan kredensial vault di lokasi berikut:

• Integrasi
• Konektor
• Pekerjaan

Jenis deployment berikut didukung:

• Instance brankas cloud

• Instance vault lokal (menggunakan remote agent)

Kasus penggunaan

• Organisasi perusahaan dapat menarik kredensial dari vault pusat mereka untuk mengurangi risiko penggunaan sandi yang tidak sah.

• Penyedia Layanan Keamanan Terkelola (MSSP) dapat menarik kredensial klien langsung dari brankas klien, tanpa mengekspos sandi kepada staf mereka.

Mendownload dan mengonfigurasi integrasi vault

Untuk menginstal dan mengonfigurasi integrasi vault, ikuti langkah-langkah berikut:

1. Buka Marketplace (atau Content Hub untuk pelanggan Google SecOps) dan instal integrasi CyberArk PAM.
2. Konfigurasi integrasi menggunakan salah satu metode berikut:
• Selama penginstalan (untuk lingkungan default).
• Buka Response > Integrations Setup, lalu pilih lingkungan yang sesuai.

3. Jika Anda menggunakan brankas lokal dengan agen jarak jauh, semua integrasi pihak ketiga (baik berbasis cloud maupun lokal) harus dikonfigurasi di agen jarak jauh yang sama agar dapat mengakses brankas.

4. Setelah disimpan, kredensial brankas akan tersedia untuk integrasi lain.

Menggunakan secret vault dalam konfigurasi

Gunakan sintaksis berikut untuk mereferensikan secret yang disimpan di vault eksternal secara aman:

• Sintaksis: [EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
• EnvironmentName: Nama lingkungan tempat integrasi dikonfigurasi (lihat Setelan > Integrasi).
• VaultIntegrationName: Nama integrasi Vault yang didownload dari Marketplace.
• VaultIntegrationInstanceName: Nama instance integrasi (vault yang dikonfigurasi dalam lingkungan).
• PasswordID: ID sandi dari direktori brankas Anda.
  
  Contoh:

  [Default
    Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

Mengonfigurasi integrasi dengan sandi brankas

Contoh berikut menunjukkan cara mengonfigurasi integrasi email dengan sandi CyberArk:

1. Buka Respons > Penyiapan Integrasi; layar Integrasi akan muncul.
2. Pilih lingkungan target tempat Anda ingin mengonfigurasi integrasi.
3. Klik addTambahkan, lalu pilih integrasi Email.
4. Isi parameter integrasi. Untuk Password, gunakan sintaksis vault:
   

   [DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .
   
5. Centang kotak Remote Agent Run Remotely, karena CyberArk PAM adalah vault lokal.
6. Klik Simpan. Saat runtime, platform mengambil sandi dari vault eksternal.

Pertimbangan

• Untuk brankas lokal: Pastikan brankas dan integrasi berjalan dari jarak jauh di bawah agen yang sama.
• Untuk brankas cloud dengan integrasi lokal: Pastikan agen jarak jauh memiliki akses ke brankas cloud.

Mengonfigurasi konektor dengan sandi vault

Untuk mengonfigurasi konektor dengan sandi vault, ikuti langkah-langkah berikut:

1. Buka Setelan > Penyerapan > Konektor.
2. Klik add Tambahkan untuk membuat konektor baru. Untuk contoh ini, pilih konektor Email IMAP Generik.
3. Masukkan parameter yang sesuai.
4. Di kolom Password, tambahkan berikut ini:

   [Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .

Mengonfigurasi tugas dengan sandi vault

Untuk mengonfigurasi tugas dengan sandi brankas, ikuti langkah-langkah berikut:

1. Buka Respons > Penjadwal Tugas.
2. Klik Tambahkan Tambahkan, lalu pilih integrasi (misalnya, Google SecOps Sync Job).
3. Di kolom API Root, masukkan sintaksis vault.

Membuat integrasi kustom untuk menggunakan kredensial vault

Gunakan Tindakan, Konektor, atau Pekerjaan untuk menarik kredensial brankas dari brankas eksternal dengan mengonfigurasi parameter integrasi yang relevan dengan sintaksis brankas eksternal.

Gunakan cuplikan berikut pada kode Anda (Param A, yang harus berisi pola vault):

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

Konektor dapat menarik kredensial dari vault eksternal dengan mengonfigurasi  parameter konektor yang relevan dengan sintaksis vault eksternal.

Gunakan cuplikan berikut pada kode Anda (Param B, yang harus berisi pola vault):

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

Tugas dapat menarik kredensial dari vault eksternal dengan mengonfigurasi parameter tugas yang relevan dengan sintaksis vault eksternal.

Gunakan cuplikan berikut pada kode Anda (Param C harus berisi pola vault):

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

Jika telah mengonfigurasi konfigurasi vault sebagai integrasi di instance bersama, Anda dapat menarik kredensial dari konfigurasi integrasi, bukan konfigurasi tugas. Gunakan cuplikan berikut (Param A harus berisi pola brankas):

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

Informasi tambahan

• Hanya integrasi vault komersial dari Google SecOps Marketplace yang didukung.
• Memperbarui konfigurasi vault akan otomatis menerapkan kredensial baru di seluruh tindakan, tugas, dan konektor.
• Ada validasi server untuk placeholder brankas. Anda hanya dapat menyimpan placeholder vault jika vault yang dirujuk ada dan Anda diberi otorisasi untuk mengaksesnya.
• Akses Vault menggunakan agen hanya didukung di versi 1.4.1.52 atau yang lebih baru.

Batasan umum

Saat membuat integrasi vault kustom dengan fitur kredensial vault, Anda harus mencocokkan versi dependensi persis dengan tabel berikut: