Trabalhe com um sistema de cofre externo

Este documento explica como pode armazenar segredos (como palavras-passe, chaves de API ou certificados) num cofre externo, como o CyberArk, e extraí-los em segurança para a plataforma Google Security Operations para utilização em várias configurações.

Pode referenciar credenciais do cofre nas seguintes localizações:

• Integrações
• Conetores
• Empregos

São suportados os seguintes tipos de implementação:

• Instância do cofre na nuvem

• Instância de cofre no local (com agente remoto)

Exemplos de utilização

• As organizações empresariais podem extrair credenciais do respetivo cofre central para reduzir o risco de utilização não autorizada de palavras-passe.

• Os fornecedores de serviços de segurança geridos (MSSPs) podem extrair credenciais de clientes diretamente do cofre do cliente, sem expor palavras-passe ao respetivo pessoal.

Transfira e configure a integração do cofre

Para instalar e configurar a integração do cofre, siga estes passos:

1. Aceda ao Marketplace (ou ao Content Hub para clientes do Google SecOps) e instale a integração do CyberArk PAM.
2. Configure a integração através de um destes métodos:
• Durante a instalação (para o ambiente predefinido).
• Aceda a Resposta > Configuração de integrações e selecione o ambiente adequado.

3. Se estiver a usar um cofre no local com um agente remoto, todas as integrações de terceiros (quer sejam baseadas na nuvem ou no local) têm de ser configuradas no mesmo agente remoto para que possa aceder ao cofre.

4. Depois de guardadas, as credenciais do cofre ficam disponíveis para outras integrações.

Use segredos do cofre nas configurações

Use a seguinte sintaxe para referenciar de forma segura segredos armazenados no cofre externo:

• Sintaxe: [EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
• EnvironmentName: nome do ambiente onde a integração está configurada (consulte Definições > Integrações).
• VaultIntegrationName: nome da integração da cofre transferida do Marketplace.
• VaultIntegrationInstanceName: nome da instância de integração (o cofre configurado no ambiente).
• PasswordID: o identificador da palavra-passe do seu diretório do cofre.
  
  Exemplo:

  [Default
    Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

Configure uma integração com uma palavra-passe do cofre

O exemplo seguinte mostra como configurar a integração de email com uma palavra-passe do CyberArk:

1. Aceda a Resposta > Configuração de integrações; é apresentado o ecrã Integrações.
2. Selecione o ambiente de destino onde quer configurar a integração.
3. Clique em adicionarAdicionar e, de seguida, escolha a integração Email.
4. Preencha os parâmetros de integração. Para Palavra-passe, use a sintaxe do cofre:
   

   [DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .
   
5. Selecione a caixa de verificação Executar agente remoto remotamente, uma vez que o CyberArk PAM é um cofre no local.
6. Clique em Guardar. Em tempo de execução, a plataforma obtém a palavra-passe do cofre externo.

Considerações

• Para cofres no local: certifique-se de que o cofre e a integração são executados remotamente no mesmo agente.
• Para cofres na nuvem com integrações no local: certifique-se de que o agente remoto tem acesso ao cofre na nuvem.

Configure um conetor com uma palavra-passe do cofre

Para configurar um conector com uma palavra-passe de cofre, siga estes passos:

1. Aceda a Definições > Carregamento > Conetores.
2. Clique em adicionar Adicionar para criar um novo conector. Para este exemplo, escolha o conetor Generic IMAP Email.
3. Introduza os parâmetros adequados.
4. No campo Palavra-passe, adicione o seguinte:

   [Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .

Configure uma tarefa com uma palavra-passe do cofre

Para configurar uma tarefa com uma palavra-passe do cofre, siga estes passos:

1. Aceda a Resposta > Programador de tarefas.
2. Clique em adicionar Adicionar e escolha uma integração (por exemplo, Tarefa de sincronização do Google SecOps).
3. No campo Raiz da API, introduza a sintaxe do cofre.

Crie uma integração personalizada para usar credenciais do cofre

Use Ações, Conetores ou Tarefas para extrair credenciais do cofre do cofre externo configurando o parâmetro de integração relevante com a sintaxe do cofre externo.

Use o seguinte fragmento no seu código (Param A, que deve conter o padrão do cofre):

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

Os conetores podem extrair credenciais do cofre externo configurando os parâmetros do conetor relevantes com a sintaxe do cofre externo.

Use o seguinte fragmento no seu código (Param B, que deve conter o padrão do cofre):

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

As tarefas podem extrair credenciais do cofre externo configurando o parâmetro de tarefa relevante com a sintaxe do cofre externo.

Use o seguinte fragmento no seu código (Param C deve conter o padrão do cofre):

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

Se configurou a configuração do cofre como integração em instâncias partilhadas, pode obter as credenciais da configuração de integração em vez da configuração da tarefa. Use o seguinte fragmento (Param A deve conter o padrão do cofre):

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

Informações adicionais

• Apenas são suportadas integrações comerciais do Vault a partir do Google SecOps Marketplace.
• A atualização da configuração do cofre aplica automaticamente novas credenciais em ações, tarefas e conetores.
• Existe uma validação do servidor para o marcador de posição do cofre. Só pode guardar um marcador de posição do arquivo secreto se o arquivo secreto referenciado existir e tiver autorização para aceder ao mesmo.
• O acesso ao cofre através de um agente só é suportado na versão 1.4.1.52 ou posterior.

Limitações conhecidas

Quando cria integrações de cofres personalizadas com a funcionalidade de credenciais do cofre, tem de fazer corresponder exatamente as versões das dependências à seguinte tabela: