Utilizzare un sistema di vault esterno

Questo documento spiega come archiviare i secret (come password, chiavi API o certificati) in un vault esterno, ad esempio CyberArk, ed estrarli in modo sicuro nella piattaforma Google Security Operations per utilizzarli in varie configurazioni.

Puoi fare riferimento alle credenziali del vault nelle seguenti posizioni:

• Integrazioni
• Connettori
• Job

Sono supportati i seguenti tipi di deployment:

• Istanza Cloud Vault

• Istanza di vault on-premise (utilizzando l'agente remoto)

Casi d'uso

• Le organizzazioni aziendali possono estrarre le credenziali dal proprio vault centrale per ridurre il rischio di utilizzo non autorizzato delle password.

• I Managed Security Service Provider (MSSP) possono estrarre le credenziali dei clienti direttamente dal vault del cliente, senza esporre le password al proprio personale.

Scaricare e configurare l'integrazione di Vault

Per installare e configurare l'integrazione di Vault:

1. Vai al Marketplace (o all'hub dei contenuti per i clienti di Google SecOps) e installa l'integrazione di CyberArk PAM.
2. Configura l'integrazione utilizzando uno di questi metodi:
• Durante l'installazione (per l'ambiente predefinito).
• Vai a Risposta > Configurazione integrazioni e seleziona l'ambiente appropriato.

3. Se utilizzi un vault on-premise con un agente remoto, tutte le integrazioni di terze parti (basate sul cloud o on-premise) devono essere configurate nello stesso agente remoto in modo che possa accedere al vault.

4. Una volta salvate, le credenziali del vault diventano disponibili per altre integrazioni.

Utilizzare i secret di Vault nelle configurazioni

Utilizza la seguente sintassi per fare riferimento in modo sicuro ai secret archiviati nel vault esterno:

• Sintassi: [EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
• EnvironmentName: nome dell'ambiente in cui è configurata l'integrazione (vedi Impostazioni > Integrazioni).
• VaultIntegrationName: nome dell'integrazione di Vault scaricata da Marketplace.
• VaultIntegrationInstanceName: nome dell'istanza di integrazione (il vault configurato nell'ambiente).
• PasswordID: l'identificatore della password dalla directory del vault.
  
  Esempio:

  [Default
    Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

Configura un'integrazione con una password del vault

L'esempio seguente mostra come configurare l'integrazione email con una password CyberArk:

1. Vai a Risposta > Configurazione integrazioni; viene visualizzata la schermata Integrazioni.
2. Seleziona l'ambiente di destinazione in cui vuoi configurare l'integrazione.
3. Fai clic su AggiungiAggiungi, poi scegli l'integrazione Email.
4. Compila i parametri di integrazione. Per Password, utilizza la sintassi del vault:
   

   [DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .
   
5. Seleziona la casella di controllo Esegui agente remoto da remoto, poiché CyberArk PAM è un vault on-premise.
6. Fai clic su Salva. In fase di runtime, la piattaforma recupera la password dal vault esterno.

Considerazioni

• Per i vault on-premise: assicurati che sia il vault che l'integrazione vengano eseguiti in remoto con lo stesso agente.
• Per i vault cloud con integrazioni on-premise: assicurati che l'agente remoto abbia accesso al vault cloud.

Configura un connettore con una password del vault

Per configurare un connettore con una password del vault:

1. Vai a Impostazioni > Inserimento > Connettori.
2. Fai clic su Aggiungi Aggiungi per creare un nuovo connettore. Per questo esempio, scegli il connettore Generic IMAP Email (Email IMAP generica).
3. Inserisci i parametri appropriati.
4. Nel campo Password, aggiungi quanto segue:

   [Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .

Configurare un job con una password del vault

Per configurare un job con una password del vault:

1. Vai a Risposta > Pianificatore lavori.
2. Fai clic su aggiungi Aggiungi e scegli un'integrazione (ad esempio, Google SecOps Sync Job).
3. Nel campo API Root (Radice API), inserisci la sintassi del vault.

Crea un'integrazione personalizzata per utilizzare le credenziali del vault

Utilizza Azioni, Connettori o Job per estrarre le credenziali del vault dal vault esterno configurando il parametro di integrazione pertinente con la sintassi del vault esterno.

Utilizza il seguente snippet nel tuo codice (Param A, che deve contenere il pattern del vault):

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

I connettori possono estrarre le credenziali dal vault esterno configurando i parametri del connettore pertinenti con la sintassi del vault esterno.

Utilizza il seguente snippet nel tuo codice (Param B, che deve contenere il pattern del vault):

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

I job possono estrarre le credenziali dal vault esterno configurando il parametro del job pertinente con la sintassi del vault esterno.

Utilizza il seguente snippet nel codice (Param C deve contenere il pattern del vault):

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

Se hai configurato la configurazione del vault come integrazione in Istanze condivise, puoi estrarre le credenziali dalla configurazione dell'integrazione anziché dalla configurazione del job. Utilizza il seguente snippet (Param A deve contenere il pattern del vault):

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

Informazioni aggiuntive

• Sono supportate solo le integrazioni di vault commerciali di Google SecOps Marketplace.
• L'aggiornamento della configurazione del vault applica automaticamente le nuove credenziali a azioni, job e connettori.
• Esiste una convalida del server per il segnaposto del vault. Puoi salvare un segnaposto del vault solo se il vault a cui viene fatto riferimento esiste e se disponi dell'autorizzazione per accedervi.
• L'accesso al vault tramite un agente è supportato solo nella versione 1.4.1.52 o successive.

Limitazioni note

Quando crei integrazioni personalizzate di vault con la funzionalità delle credenziali del vault, devi far corrispondere esattamente le versioni delle dipendenze alla seguente tabella: