使用外部保险库系统

支持的平台:

本文档介绍了如何将 Secret(例如密码、API 密钥或证书)存储在外部 Vault(例如 CyberArk)中,并安全地将其提取到 Google Security Operations 平台中,以便在各种配置中使用。

您可以在以下位置引用保险柜凭据:

支持以下部署类型:

  • 云保险库实例

  • 本地保险库实例(使用远程代理)

使用场景

  • 企业组织可以从其中央保险库中提取凭据,以降低密码被未经授权使用的风险。

  • 托管安全服务提供商 (MSSP) 可以直接从客户的保险库中提取客户凭据,而无需向其员工透露密码。

下载并配置保险库集成

如需安装和配置保险库集成,请按以下步骤操作:

  1. 前往 Marketplace(或 Content Hub,适用于 Google SecOps 客户),然后安装 CyberArk PAM 集成。
  2. 您可以使用以下方法之一配置集成:
    • 在安装期间(对于默认环境)。
    • 前往响应 > 集成设置,然后选择相应的环境。

  3. 如果您使用的是具有远程代理的本地保险库,则必须在同一远程代理下配置所有第三方集成(无论是基于云的还是本地的),以便远程代理可以访问保险库。

  4. 保存后,保险箱凭据可供其他集成使用。

在配置中使用 Vault Secret

使用以下语法安全地引用存储在外部保险库中的 Secret:

  • 语法[EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
  • EnvironmentName:配置集成所用的环境的名称(请参阅设置 > 集成)。
  • VaultIntegrationName:从 Marketplace 下载的保险柜集成的名称。
  • VaultIntegrationInstanceName:集成实例(环境中的已配置保险库)的名称。
  • PasswordID:保险库目录中的密码标识符。

    示例:
    [Default
  Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

配置与保险箱密码的集成

以下示例展示了如何使用 CyberArk 密码配置电子邮件集成:

  1. 前往响应 > 集成设置;系统会显示集成界面。
  2. 选择要配置集成的目标环境。
  3. 依次点击添加添加,然后选择电子邮件集成。
  4. 填写集成参数。对于密码,请使用保险柜语法:
    [DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

  5. 选中 Remote Agent Run Remotely 复选框,因为 CyberArk PAM 是本地保险库。
  6. 点击保存。在运行时,平台会从外部保险库中检索密码。

注意事项

  • 对于本地保险库:确保保险库和集成在同一代理下远程运行。
  • 对于具有本地集成的云保险库:确保远程代理有权访问云保险库。

配置使用保险箱密码的连接器

如需配置使用保险箱密码的连接器,请按以下步骤操作:

  1. 前往设置 > 注入 > 连接器
  2. 点击 添加 添加以创建新连接器。在此示例中,请选择常规 IMAP 电子邮件连接器。
  3. 输入适当的参数。
  4. 密码字段中,添加以下内容: 
    [Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

配置使用保险箱密码的作业

如需配置使用保险箱密码的作业,请按以下步骤操作:

  1. 前往响应 > 作业调度器
  2. 点击 添加 图标 Add,然后选择一个集成(例如 Google SecOps 同步作业)。
  3. API 根目录字段中,输入保险库语法。

创建自定义集成以使用保险箱凭据

使用操作连接器作业,通过使用外部保险库语法配置相关集成参数,从外部保险库拉取保险库凭据。

在代码中使用以下代码段(Param A,应包含保险箱模式): 

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

连接器 可以通过使用外部保险库语法配置相关连接器参数,从外部保险库提取凭据。

在代码中使用以下代码段(Param B,应包含保险箱图案): 

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

作业可以通过使用外部保险库语法配置相关作业参数,从外部保险库拉取凭据。

在代码中使用以下代码段(Param C 应包含保险箱模式): 

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

如果您已将保险库配置配置为共享实例中的集成,则可以从集成配置(而不是作业配置)中提取凭据。使用以下代码段(参数 A 应包含保险库模式): 

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

其他信息

  • 仅支持 Google SecOps Marketplace 中的商业保险库集成。
  • 更新保险箱配置会自动在操作、作业和连接器中应用新凭据。
  • 保险库占位符有服务器验证。只有在引用的保险柜存在且您有权访问该保险柜时,才能保存保险柜占位符。
  • 仅在版本 1.4.1.52 或更高版本中支持使用代理访问 Vault。

已知限制

使用保险库凭据功能创建自定义保险库集成时,您必须使依赖项版本与下表完全一致:

依赖项 Python 2.7 / Python 3.7
请求
 2.25.1
urllib3
 1.26.2
six 1.15.0
requests_toolbelt
 0.10.1
pyOpenSSL
 19.1.0
pycparser
 2.20
idna 2.10
加密
 3.3.1
chardet
 4.0.0
cffi
 1.14.4
certifi
 2020.12.5
importlib-metadata
 2.1.3 (Python 2.7)
4.12.0 (Python 3.7)




需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。