Zero-Trust som metode - Håndhævet gennem hardwarebaseret identitet - Yubikey
Vi inkorporerer Zero-Trust som en metode. Det er en sikkerhedsfilosofi bygget på aldrig tillid, altid verificer og streng adgang med mindst mulige rettigheder. I vores arbejdsgang implementeres denne metode gennem hardwarebaseret identitet ved hjælp af YubiKeys. Teknikerens identitet, godkendelse og autorisation er knyttet til en fysisk, ikke-udtrækkelig privat nøgle, der kræver både en pinkode og et menneskeligt tryk for hver handling. Dette sikrer, at adgang ikke kan delegeres, deles, phishes eller bruges lydløst af kompromitterede maskiner.
Kombineret med Keycloak, Teleport og Netbird giver YubiKeys os mulighed for at håndhæve ægte Zero-Trust-principper på tværs af servere, klynger og interne tjenester, hvilket sikrer, at hver handling er eksplicit verificeret, knyttet til en person, logget og begrænset til det minimale omfang, der kræves.
Vi tilbyder 3 måder til sikker adgang til Linux-servere og Kubernetes-klynger.
Uanset hvilken mulighed du vælger, anbefaler vi kraftigt at begrænse deres netværksforbindelse til kun de systemer, vi administrerer, i overensstemmelse med princippet om mindst mulig privilegium.
Vi tilbyder to forstærkede SSH-Bastion løsninger og begge kan køre på en, eller flere for redundans, isoleret VM'er eller i din Kubernetes-klynge.
En lille VM i dit netværk etablerer en udgående SSH-tunnel til vores infrastruktur.
Al adgang gennem denne tunnel autentificeres eksklusivt med SSH-nøgler gemt på YubiKeys (berøring kræves, med 8-cifrede PIN-koder).
Denne version opretter ikke en udgående forbindelse. I stedet lytter den på port 22 i dit netværk og kan kun nås fra vores faste, dedikerede IP-adresser i Danmark, Tyskland og Finland, hvilket sikrer redundans.
Som et alternativ til SSH-bastioner kan vi implementere Netbird - en open source VPN, der benytter Wireguard protokollen.
Netbird integrerer direkte med Keycloak, hvilket muliggør centraliseret godkendelse, MFA og finjusterede adgangspolitikker uden at være afhængig af statiske legitimationsoplysninger.
Adgangsrettigheder er knyttet til brugeridentiteter, og al aktivitet kan revideres via Netbird og Keycloak, hvilket giver stærk sikkerhed og fuld synlighed.
Til Kubernetes-adgang bruger vi identitetsbevidste, hardwarebaserede adgangsmetoder - og aktiverer OIDC-godkendelse via Keycloak på Kubernetes API.
Til Linux-serveradgang aktiverer vi godkendelse ved hjælp af SSH-nøgler - hver tilknyttet en individuel Yubikey.
Teleport giver sikker, centraliseret adgang til Kubernetes med:
Al Teleport-trafik flyder gennem gateways, der er implementeret i dit miljø.
Vi får typisk tilladelser på klyngeadministrator- eller operatørniveau for at sikre, at vi kan fejlfinde og løse problemer uden at vække dig.
Du beholder dog fuld kontrol over de endelige adgangsniveauer.
Hvis adgangskoder eller andre legitimationsoplysninger er påkrævet, gemmes de i vores private repo, der administreres ved hjælp af passwordstore.org open source-software, bakket op af vores Yubikey hardware-tokens:
Når det er muligt, undgår vi adgangskoder helt og foretrækker Keycloak eller hardwarebaseret godkendelse.
Uanset om det er via Teleport eller Netbird, får du fuld indsigt i:
Logfiler kan integreres i dine overvågnings- og logføringssystemer såvel som vores.