외부 vault 시스템 사용

다음에서 지원:

이 문서에서는 비밀번호, API 키, 인증서와 같은 비밀을 CyberArk와 같은 외부 보관소에 저장하고 다양한 구성에서 사용할 수 있도록 Google Security Operations 플랫폼으로 안전하게 가져오는 방법을 설명합니다.

다음 위치에서 Vault 사용자 인증 정보를 참조할 수 있습니다.

지원되는 배포 유형은 다음과 같습니다.

  • 클라우드 볼트 인스턴스

  • 온프레미스 보관소 인스턴스 (원격 에이전트 사용)

사용 사례

  • 엔터프라이즈 조직은 중앙 보관소에서 인증 정보를 가져와 비밀번호의 무단 사용 위험을 줄일 수 있습니다.

  • 관리 보안 서비스 제공업체 (MSSP)는 직원에게 비밀번호를 노출하지 않고 고객의 보관함에서 고객 사용자 인증 정보를 직접 가져올 수 있습니다.

보관함 통합 다운로드 및 구성

보관함 통합을 설치하고 구성하려면 다음 단계를 따르세요.

  1. Marketplace (또는 Google SecOps 고객의 경우 콘텐츠 허브)로 이동하여 CyberArk PAM 통합을 설치합니다.
  2. 다음 방법 중 하나를 사용하여 통합을 구성합니다.
    • 설치 중 (기본 환경의 경우)
    • 응답 > 통합 설정으로 이동하여 적절한 환경을 선택합니다.

  3. 원격 에이전트와 함께 온프레미스 보관함을 사용하는 경우 보관함에 액세스할 수 있도록 모든 서드 파티 통합 (클라우드 기반 또는 온프레미스)이 동일한 원격 에이전트에서 구성되어야 합니다.

  4. 저장되면 다른 통합에서 볼트 사용자 인증 정보를 사용할 수 있습니다.

구성에서 Vault 보안 비밀 사용

다음 구문을 사용하여 외부 보관소에 저장된 보안 비밀을 안전하게 참조합니다.

  • 구문: [EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
  • EnvironmentName: 통합이 구성된 환경의 이름입니다 (설정 > 통합 참고).
  • VaultIntegrationName: Marketplace에서 다운로드한 Vault 통합의 이름입니다.
  • VaultIntegrationInstanceName: 통합 인스턴스의 이름 (환경 내에 구성된 볼트)입니다.
  • PasswordID: 보관소 디렉터리의 비밀번호 식별자입니다.

    예: 
    [Default
  Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

보관소 비밀번호와의 통합 구성

다음 예시에서는 CyberArk 비밀번호로 이메일 통합을 구성하는 방법을 보여줍니다.

  1. 응답 > 통합 설정으로 이동하면 통합 화면이 표시됩니다.
  2. 통합을 구성할 타겟 환경을 선택합니다.
  3. 추가추가를 클릭한 다음 이메일 통합을 선택합니다.
  4. 통합 매개변수를 입력합니다. 비밀번호의 경우 Vault 구문을 사용합니다.
    [DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]
    .
  5. CyberArk PAM은 온프레미스 저장소이므로 원격 에이전트 원격으로 실행 체크박스를 선택합니다.
  6. 저장을 클릭합니다. 런타임에 플랫폼은 외부 보관소에서 비밀번호를 가져옵니다.

고려사항

  • 온프레미스 보관 파일의 경우: 보관 파일과 통합이 동일한 에이전트에서 원격으로 실행되는지 확인합니다.
  • 온프렘 통합이 있는 클라우드 보관 파일의 경우: 원격 에이전트가 클라우드 보관 파일에 액세스할 수 있는지 확인합니다.

보관소 비밀번호로 커넥터 구성

보관소 비밀번호로 커넥터를 구성하려면 다음 단계를 따르세요.

  1. 설정 > 수집 > 커넥터로 이동합니다.
  2. 추가 추가를 클릭하여 새 커넥터를 만듭니다. 이 예에서는 일반 IMAP 이메일 커넥터를 선택합니다.
  3. 적절한 매개변수를 입력합니다.
  4. 비밀번호 필드에 다음을 추가합니다. 
    [Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]
    .

보관소 비밀번호로 작업 구성

보관소 비밀번호로 작업을 구성하려면 다음 단계를 따르세요.

  1. 응답 > 작업 스케줄러로 이동합니다.
  2. 추가 추가를 클릭하고 통합 (예: Google SecOps 동기화 작업)을 선택합니다.
  3. API 루트 필드에 볼트 구문을 입력합니다.

보관소 사용자 인증 정보를 사용하도록 맞춤 통합 만들기

작업, 커넥터 또는 작업을 사용하여 외부 보관소 구문으로 관련 통합 매개변수를 구성하여 외부 보관소에서 보관소 사용자 인증 정보를 가져옵니다.

코드에서 다음 스니펫을 사용합니다 (Param A, 보관소 패턴이 포함되어야 함). 

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

커넥터 는 외부 보관소 구문을 사용하여 관련 커넥터 매개변수를 구성하여 외부 보관소에서 사용자 인증 정보를 가져올 수 있습니다.

코드 (보관소 패턴이 포함되어야 하는 Param B)에서 다음 스니펫을 사용합니다. 

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

작업은 외부 보관소 구문을 사용하여 관련 작업 매개변수를 구성하여 외부 보관소에서 사용자 인증 정보를 가져올 수 있습니다.

코드에서 다음 스니펫을 사용합니다 (Param C에는 보관소 패턴이 포함되어야 함). 

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

공유 인스턴스에서 볼트 구성을 통합으로 구성한 경우 작업 구성 대신 통합 구성에서 사용자 인증 정보를 가져올 수 있습니다. 다음 스니펫을 사용합니다(매개변수 A에는 보관 파일 패턴이 포함되어야 함). 

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

추가 정보

  • Google SecOps Marketplace의 상업용 보관소 통합만 지원됩니다.
  • 보관소 구성을 업데이트하면 작업, 작업, 커넥터에 새 사용자 인증 정보가 자동으로 적용됩니다.
  • 보관함 자리표시자에 대한 서버 유효성 검사가 있습니다. 참조된 보관함이 있고 보관함에 액세스할 권한이 있는 경우에만 보관함 자리표시자를 저장할 수 있습니다.
  • 에이전트를 사용한 볼트 액세스는 버전 1.4.1.52 이상에서만 지원됩니다.

알려진 제한사항

보관함 사용자 인증 정보 기능으로 맞춤 보관함 통합을 만들 때는 종속 항목 버전을 다음 표와 정확히 일치시켜야 합니다.

종속 항목 Python 2.7 / Python 3.7
요청
 2.25.1
urllib3
 1.26.2
six 1.15.0
requests_toolbelt
 0.10.1
pyOpenSSL
 19.1.0
pycparser
 2.20
idna 2.10
암호화
 3.3.1
chardet
 4.0.0
cffi
 1.14.4
certifi
 2020년 12월 5일
importlib-metadata
 2.1.3 (Python 2.7)
4.12.0 (Python 3.7)




도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.