通知設定とSSHポリシー構成

PAM360は、SSL証明書、SSHキー、PGPキー、ドメインの有効期限、Azure TLSシークレットの管理に関する包括的な通知設定を提供します。カスタマイズ可能な通知機能と柔軟なSSHキーポリシーにより、ユーザーは環境全体で機密性の高いキーと証明書を積極的に管理できます。このドキュメントでは、キーおよび証明書の操作に関する通知設定の管理、メールアラートの設定、syslog通知の設定、およびセキュリティとコンプライアンスを強化するためのSSHキーポリシーの設定について説明します。

1.キーと証明書の通知設定の管理

PAM360では、以下の条件を満たす場合に限り、電子メールまたはsyslogメッセージによる通知の送信が可能です。

  • SSL証明書の期限切れ:SSL証明書の有効期限が指定した日数以内に近づくと、アラートを受け取ることができます。
  • ドメインの有効期限: 設定した期間内にドメインの有効期限が切れる予定がある場合に通知を受け取ることができます。
  • Azure TLS秘密の期限切れ: 有効期限が近づいている Azure TLS シークレットに関するアラートを受け取ります。
  • SSHキーのローテーション:設定された日数以内に SSH キーがローテーションされない場合に、アラートを受け取ります。
  • 証明書管理業務:アプリケーション内で行われる証明書管理アクティビティに関する通知を受け取ります。
  • PGPキーの有効期限:PGPキーの有効期限切れに関するメール通知を個別に設定します。PGPキーについて詳しく知りたい場合は、こちらをクリックしてください。

    メモ:

    PGPキーの有効期限切れに関する通知は、電子メールでのみ送信されます。

通知設定を構成するには、以下の手順に従ってください。

  1. [管理] >> [PKI Management] >> [通知設定] に移動します。
  2. SSL証明書が〇日以内に期限切れになる場合に通知チェックボックスを選択し、希望する日数を入力することで、SSL証明書の有効期限切れ通知を有効にできます。通知は、指定された期間内に有効期限が切れる証明書についてのみ送信されます。
  3. 通知頻度をカスタマイズするには、必要に応じて以下を有効にしてください。
    1. 通知メールの頻度:毎日アラートを受け取るには毎日を選択するか、組織の通知要件に基づいて必要に応じてカスタマイズオプションを使用してください。
    2. Eメール通知から有効期限切れの証明書を除外します。:有効期限切れの証明書を通知対象から除外するには、このオプションを選択してください。
    3. 証明書用の複数のサーバーリストを含めてください。:証明書が展開されているサーバーの詳細を取得できるようにします。
    4. 証明書ごとに個別のメールを送信する。:証明書ごとに個別のメールを受信するように選択することで、有効期限通知の件名や属性をカスタマイズできます。
      admin_settings_1
  4. ドメインの有効期限切れ、PGPキーの有効期限切れ、Azure TLSシークレットの有効期限切れ、およびSSHキーのローテーション失敗に関する通知は、それぞれのチェックボックスを選択することで有効にできます。

    メモ:

    SSL証明書の有効期限切れおよび期限を過ぎたSSHキーのローテーションに関する通知は、設定された繰り返し間隔に従って送信されます。

    admin-settings-2
  5. ユーザーはメール通知の件名コンテンツ署名を異なる期限通知に合わせて変更でき、通知は2つの方法で配信できます:
    admin-settings-3

    1. 電子メール:受信者のメールアドレスを入力してください。メールサーバーの設定がメールサーバー設定タブで正しく構成されていることを確認してください。
    2. Syslog: Syslog通知については、[管理] >> [連携] >> [SIEM]に移動して連携オプションを選択し、サーバーのIPアドレスを指定して、syslog配信用のポートを設定してください。以下に、syslogフォーマットの例を示します。
      admin-settings-4

      • SSH: `<190> Key_Name:172.21.147.130_test123_id Days_Exceeded:0 Modified_On:2016-02-16 17:41:24.008`
      • SSL: `<190> Parent_Domain: manageengine.com Included_Domain: pam360.com Days_to_Expire: 100 Expire_Date: 5.08.2017`
    SIEM統合の詳細については、こちらをクリックしてください。
  6. これらの設定が完了したら、保存をクリックしてください。

    メモ:

    SSHキーのローテーションとSSL証明書の有効期限通知に指定された日数は、ダッシュボードの設定にも適用されます。

2.SSHポリシーの構成

PAM360は高度なSSHキー管理ポリシーを可能にし、新しいキーがauthorized_keysファイル内の既存のキーを保持するか上書きするかを指定できます。これにより、キーを効率的に管理できるだけでなく、必要に応じて最初からやり直すことができるため、セキュリティも強化されます。利用可能なキー保持オプションは以下のとおりです。

  • 追加: 既存のキーを保持しつつ、新たにデプロイされたキーを追加します。
  • 上書き: 既存のキーをすべて削除し、PAM360で生成されたキーのみが環境内に残るようにします。

SSHキーポリシーを設定または変更するには、以下の手順に従ってください。

  1. 管理 >> PKI Management >> ポリシー設定に移動します。
  2. `authorized_keys`ファイルに新しいキーを追加する方法を定義するには、追加または上書きのいずれかを選択してください。
  3. [保存]をクリックして変更を適用します。
    admin_settings_2

これらの手順に従うことで、PAM360はキーの有効期限切れ通知を効率的に管理し、組織のコンプライアンスおよびセキュリティ要件を満たすためにSSHキーポリシーを適用します。