使用外部保管庫系統

支援的國家/地區:

本文說明如何將密碼、API 金鑰或憑證等祕密儲存在外部保存庫 (例如 CyberArk),並安全地將這些祕密提取到 Google Security Operations 平台,用於各種設定。

您可以在下列位置參照保管箱憑證:

支援的部署類型如下:

  • 雲端金庫執行個體

  • 內部部署保管箱執行個體 (使用遠端代理程式)

用途

  • 企業機構可以從中央保管庫提取憑證,降低未經授權使用密碼的風險。

  • 受管理的安全服務供應商 (MSSP) 可以直接從客戶的保險箱提取客戶憑證,不必向員工公開密碼。

下載及設定保管庫整合功能

如要安裝及設定 Vault 整合功能,請按照下列步驟操作:

  1. 前往 Marketplace (或 Google SecOps 客戶的內容中心),然後安裝 CyberArk PAM 整合。
  2. 請使用下列任一方法設定整合:
    • 安裝期間 (適用於預設環境)。
    • 依序前往「Response」>「Integrations Setup」,然後選取適當的環境。

  3. 如果使用搭配遠端代理程式的內部部署保管庫,所有第三方整合 (無論是雲端或內部部署) 都必須在同一個遠端代理程式下設定,才能存取保管庫。

  4. 儲存後,其他整合服務即可使用保險箱憑證。

在設定中使用保管箱密鑰

請使用下列語法,安全地參照儲存在外部保存庫中的密鑰:

  • 語法[EnvironmentName:::VaultIntegrationName:::VaultIntegrationInstanceName:::PasswordID]
  • EnvironmentName:設定整合作業的環境名稱 (請參閱「設定」>「整合」)。
  • VaultIntegrationName:從 Marketplace 下載的保管箱整合項目名稱。
  • VaultIntegrationInstanceName:整合執行個體的名稱 (環境中設定的保管箱)。
  • PasswordID:保險箱目錄中的密碼 ID。

    範例:
    [Default
  Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

使用保險箱密碼設定整合服務

以下範例說明如何使用 CyberArk 密碼設定電子郵件整合:

  1. 依序前往「回覆」>「整合設定」,系統會顯示「整合」畫面。
  2. 選取要設定整合的目標環境。
  3. 按一下「新增」,然後選擇「電子郵件」整合服務。
  4. 填寫整合參數。在「Password」(密碼) 中,使用保管箱語法:
    [DefaultEnvironment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

  5. 選取「Remote Agent Run Remotely」核取方塊,因為 CyberArk PAM 是內部部署保管庫。
  6. 按一下 [儲存]。在執行階段,平台會從外部保險箱擷取密碼。

注意事項

  • 適用於內部部署保管庫:請確認保管庫和整合功能都在同一個代理程式下遠端執行。
  • 已整合本機的雲端保存庫:確認遠端代理程式可存取雲端保存庫。

使用保管庫密碼設定連接器

如要使用保險箱密碼設定連接器,請按照下列步驟操作:

  1. 依序前往「設定」>「擷取」>「連接器」
  2. 按一下「新增」 來建立新的連接器。以這個範例來說,請選擇「Generic IMAP Email」連接器。
  3. 輸入適當的參數。
  4. 在「Password」(密碼) 欄位中新增下列項目: 
    [Default Environment:::CyberArkPAM:::CyberArkPAM_1:::33_3]

使用保險箱密碼設定工作

如要使用保險箱密碼設定工作,請按照下列步驟操作:

  1. 依序前往「回應」>「工作排程器」
  2. 按一下「新增」 ,然後選擇整合服務 (例如「Google SecOps Sync Job」)。
  3. 在「API Root」欄位中輸入保管箱語法。

建立自訂整合項目,以使用憑證保險箱憑證

使用「動作」、「連接器」或「工作」,透過以外部金鑰庫語法設定相關整合參數,從外部金鑰庫提取金鑰庫憑證。

在程式碼中使用下列程式碼片段 (Param A,其中應包含保險箱模式): 

integration_param = siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param A")

連線器 可透過使用外部金鑰儲存庫語法設定相關連線器參數,從外部金鑰儲存庫提取憑證。

在程式碼中使用下列程式碼片段 (Param B,其中應包含保險箱模式): 

connector_param = siemplify.extract_connector_param("Param B", default_value=None, input_type=str)

工作可以透過使用外部金庫語法設定相關工作參數,從外部金庫提取憑證。

在程式碼中使用下列程式碼片段 (Param C 應包含保險箱模式): 

job_param = siemplify.extract_job_param(param_name"Param C", print_value=True)

如果您已在共用執行個體中將金鑰庫設定為整合,可以從整合設定而非工作設定中提取憑證。請使用下列程式碼片段 (Param A 應包含保險箱模式): 

integration_param =
  siemplify.extract_configuration_param(provider_name=INTEGRATION_NAME,param_name="Param
  A")

其他資訊

  • 系統僅支援 Google SecOps Marketplace 的商業用途保存庫整合。
  • 更新保存庫設定後,系統會自動將新憑證套用至所有動作、工作和連接器。
  • 保險箱預留位置有伺服器驗證。只有在參照的保存庫存在,且您有權存取該保存庫時,才能儲存保存庫預留位置。
  • 只有 1.4.1.52 以上版本支援使用代理程式存取 Vault。

已知限制

使用憑證保險箱功能建立自訂保險箱整合時,您必須完全符合下表中的依附元件版本:

依附元件 Python 2.7 / Python 3.7
要求
 2.25.1
urllib3
 1.26.2
six 1.15.0
requests_toolbelt
 0.10.1
pyOpenSSL
 19.1.0
pycparser
 2.20
idna 2.10
密碼學
 3.3.1
chardet
 4.0.0
cffi
 1.14.4
certifi
 2020.12.5
importlib-metadata
 2.1.3 (Python 2.7)
4.12.0 (Python 3.7)




還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。