Trabalhar com um sistema de cofre externo

Este documento explica como armazenar secrets (como senhas, chaves de API ou certificados) em um cofre externo, como o CyberArk, e extraí-los com segurança para a plataforma do Google Security Operations para uso em várias configurações.

É possível referenciar credenciais do Vault nos seguintes locais:

• Integrações
• Conectores
• Jobs

Os seguintes tipos de implantação são compatíveis:

• Instância do cofre na nuvem

• Instância de cofre local (usando agente remoto)

Casos de uso

• As empresas podem extrair credenciais do cofre central para reduzir o risco de uso não autorizado de senhas.

• Os provedores de serviços de segurança gerenciados (MSSPs, na sigla em inglês) podem extrair as credenciais do cliente diretamente do cofre dele, sem expor senhas à equipe.

Baixar e configurar a integração do Vault

Para instalar e configurar a integração do Vault, siga estas etapas:

1. Acesse o Marketplace (ou o Central de conteúdo para clientes do Google SecOps) e instale a integração do CyberArk PAM.
2. Configure a integração usando um destes métodos:
• Durante a instalação (para o ambiente padrão).
• Acesse Resposta > Configuração de integrações e selecione o ambiente adequado.

3. Se você estiver usando um cofre local com um agente remoto, todas as integrações de terceiros (baseadas na nuvem ou locais) precisarão ser configuradas no mesmo agente remoto para que ele possa acessar o cofre.

4. Depois de salvas, as credenciais do cofre ficam disponíveis para outras integrações.

Usar secrets do Vault em configurações

Use a seguinte sintaxe para referenciar com segurança os secrets armazenados no cofre externo:

• Sintaxe: [EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
• EnvironmentName: nome do ambiente em que a integração está configurada. Consulte Configurações > Integrações.
• VaultIntegrationName: nome da integração do Vault baixada do Marketplace.
• VaultIntegrationInstanceName: nome da instância de integração (o cofre configurado no ambiente).
• PasswordID: o identificador de senha do diretório do cofre.
  
  Exemplo:

  [Default
    Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

Configurar uma integração com uma senha de cofre

O exemplo a seguir mostra como configurar a integração de e-mail com uma senha do CyberArk:

1. Acesse Resposta > Configuração de integrações. A tela Integrações vai aparecer.
2. Selecione o ambiente de destino em que você quer configurar a integração.
3. Clique em AdicionarAdicionar e escolha a integração de e-mail.
4. Preencha os parâmetros de integração. Para Senha, use a sintaxe do Vault:
   

   [DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .
   
5. Marque a caixa de seleção Executar o agente remoto remotamente, já que o CyberArk PAM é um cofre local.
6. Clique em Salvar. No tempo de execução, a plataforma recupera a senha do cofre externo.

Considerações

• Para vaults locais: verifique se o vault e a integração são executados remotamente no mesmo agente.
• Para cofres na nuvem com integrações locais: verifique se o agente remoto tem acesso ao cofre na nuvem.

Configurar um conector com uma senha de cofre

Para configurar um conector com uma senha de cofre, siga estas etapas:

1. Acesse Configurações > Ingestão > Conectores.
2. Clique em add Adicionar para criar um conector. Neste exemplo, escolha o conector Generic IMAP Email.
3. Insira os parâmetros adequados.
4. No campo Senha, adicione o seguinte:

   [Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

   .

Configurar um job com uma senha de cofre

Para configurar um job com uma senha de cofre, siga estas etapas:

1. Acesse Resposta > Programador de jobs.
2. Clique em add Adicionar e escolha uma integração (por exemplo, Trabalho de sincronização do Google SecOps).
3. No campo Raiz da API, insira a sintaxe do Vault.

Criar uma integração personalizada para usar credenciais do vault

Use Ações, Conectores ou Jobs para extrair credenciais do cofre externo configurando o parâmetro de integração relevante com a sintaxe do cofre externo.

Use o snippet a seguir no seu código (Param A, que precisa conter o padrão do cofre):

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

Os conectores  podem extrair credenciais de um cofre externo configurando os parâmetros relevantes do conector com a sintaxe do cofre externo.

Use o snippet a seguir no seu código (Param B, que precisa conter o padrão do cofre):

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

Os jobs podem extrair credenciais de um cofre externo configurando o parâmetro de job relevante com a sintaxe do cofre externo.

Use o snippet a seguir no seu código (Param C precisa conter o padrão do cofre):

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

Se você configurou o cofre como integração em Instâncias compartilhadas, é possível extrair as credenciais da configuração de integração em vez da configuração do job. Use o seguinte snippet (Parâmetro A precisa conter o padrão do cofre):

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

Mais informações

• Somente integrações comerciais do Vault no Google SecOps Marketplace são aceitas.
• A atualização da configuração do cofre aplica automaticamente novas credenciais em ações, jobs e conectores.
• Há uma validação do servidor para o marcador de posição do cofre. Só é possível salvar um marcador de posição de cofre se o cofre referenciado existir e você tiver autorização para acessá-lo.
• O acesso ao Vault usando um agente só é compatível com a versão 1.4.1.52 ou mais recente.

Limitações conhecidas

Ao criar integrações personalizadas do cofre com o recurso de credenciais do cofre, você precisa corresponder exatamente as versões de dependência à tabela a seguir: