SSH / SSLスケジュールの管理

スケジュールは、一定時間または連続するイベントとして生じることになるアクティビティのリストで構成される時間管理ツールです。スケジュール設定されたタスクを作成することで、一定間隔でのSSHリソースやSSL証明書検出、キーローテーション、およびレポート生成等を実行できます。

  1. スケジュールを追加する
  2. スケジュールの編集
  3. スケジュールの有効化/無効化
  4. スケジュールを削除する

1.スケジュールを追加する

  1. [管理] >> [SSH / SSL構成] >> [スケジュール]の順に移動します。
  2. [スケジュールの追加]ボタンをクリックします。
  3. タイプドロップダウンで、スケジュールのタイプを選択します。以下は、利用可能な透けrジュールのタイプです:

i. キーローテーション

ユーザーアカウントに割り当てられたSSHキーのローテーションをスケジュール設定します。

  1. ローテーションをスケジュールするキーを選択します。キーが割り当てられていないが、ローテーションがスケジュール設定されている場合、スケジュールローテーションは失敗し、GUIの監査タブにエラーメッセージが表示されます。
  2. スケジュール設定されたローテーションごとにキーファイルを手動で雄のではなく、[リモートユーザーアカウントに秘密鍵ファイルを押す]および/または[リモートユーザーカウントに公開鍵ファイルを押す]オプションを有効にすることで、キーファイル(秘密鍵、公開鍵または秘密鍵と公開鍵の両方)が、関連づけられたユーザーに自動的に押されます。
  3. ここで、[キー名をファイル名として使用]を選択することもできます。

ii.SSL ディスカバリ

このオプションを使って、SSL証明書の検出をスケジュール設定します。展開されたSSL証明書についてチェックする開始IPアドレスと終了IPアドレスおよびポートを指定します。

  1. 開始IP終了IPアドレスを指定するには、[IPアドレス範囲によって検出]を選択します。
  2. [サブネット]を選択して、展開されたSSL証明書を確認するIPアドレスポートを指定します。[ファイルから]を選択してスケジュールをアップロードすることもできます。
  3. 検出操作中にプロキシサーバー設定をバイパスするには、[プロキシ設定をバイパスする]チェックボックスを選択します。このオプションは、IPアドレス範囲サブネット、および「ファイルから」のモードにのみ適用されます。
  4. [ロードバランサ]を選択する場合、,サーバー名、ポート、ユーザー名、認証情報タイプ、パスワードおよびパスを入力します。タイプドロップダウンから必要なロードバランサを選択します: 一般、BIG-IP F5、またはCitrix。Citrix検出をCitrix REST APIコマンドを使って実行する場合、チェックボックス[REST APIを使用(デフォルトではPAM360はCLIコマンドを使って証明書を検出および取り込む)]を選択します。
  5. 特定のディレクトリパスの検出操作をスケジュールするには、[共有パス - Windows]オプションを選択します。
  6. [エージェント]チェックボックスを選択し、SSL検出をPAM360エージェントからスケジュール設定します。エージェントを介して、次の2つの検出モードを実行できます: IPアドレス範囲共有パス - Windows。

iii.AD ユーザー証明書のディスカバリ

SSL証明書の検出をactive directoryからスケジュール設定します—Active Directoryの各種ユーザーに属する証明書は、このオプションを使って、PAM360に取り込むことができます。

  1. [ドメイン名]を選択するか、[新しいドメイン]を組陸して、[新しいドメイン名]を追加します。
  2. プライマリおよびセカンダリドメインコントローラー を記載します。
  3. [接続モード(SSLなし/SSL)]を選択し、ユーザー認証情報を入力します。
  4. [グループとOUを取り込む]をクリックし、証明書検出の実行が必要なユーザーアカウント/OUを選択します。

iv.MS 証明書ストアのディスカバリ

SSL証明書の検出をMicrosoft証明書ストアとMicrosoft.認証局が発行した証明書の検出をこのオプションを使ってスケジュール設定します。

  1. [エージェント]を有効にして、利用可能なエージェントのリストから必要なエージェントを選択し、タイムアウトを秒単位で記載するか、サーバー認証情報を指定します。
  2. ユーザー認証情報を入力するか、チェックボックスを選択し、[PAM360サ-ビスアカウント認証情報を認証に使用]します。
  3. Microsoft認証局によって発行された証明書の場合、証明書の発行日、証明書の失効/有効期限のステータス、および証明書テンプレートに基づいて検出を微調整できます。

v. AWS検出

  1. 適切なAWS認証情報をドロップダウンかラ選択します。新しい認証j情報を追加するには、[証明書] >> [AWS] >> [管理]の順に移動します。.
  2. 認証情報のインポートが必要なAWSサービスを選択します: ACMまたはIAM
  3. ACMから証明書をインポートするには、AWSサービスでACMACMを選択し、サービス地域を選択します。証明書をIAMからインポートするには、必要なAWSユーザー名を指定するか、AWSUserNamesを一覧表示オプションを使って、ユーザー名を取り込みます。必要なユーザー名を選択します。

vi.SSLの脆弱性

選択した、またはすべてのSSL証明書をPAM360リポジトリでの定期的脆弱性スキャンをスケジュール設定します。脆弱性スキャンを定期的に実行する証明書を選択し、スキャンのたびに通知を送信する電子メールIDを指定します。

vii.SSLの有効期限

SSL証明書から有効期限アラート通知を介j-る設定します。

  1. 効期限について追跡を行う[個別証明書]または[証明書グループ]を選択します。
  2. 必要な時間間隔でスキャンをスケジュール設定し、メール通知の送信までの勇往期限日数を指定します。
  3. 以下のオプションを選択し、メールで送信されるスキャン結果を個別設定します。次の設定はメール用にのみ保存され、スケジュールされたスキャン結果が監査でどのように表示されるかは変更されません:
    1. 通知をスケジュールごとに受信するか、または通知をカスタマイズできます。
    2. [カスタマイズ]を選択した場合は、有効期限が切れる証明書について通知する間隔(日数)を設定します。
    3. 上記の間隔に関係なくすべてのスケジュールで通知を受信する場合は、[有効期限が次の期間より短い場合は、すべてのスケジュールで証明書をメールで送信する]オプションを選択します。
    4. メール通知に自動更新証明書を含める - 自動更新される証明書がメール通知に含まれます。
    5. 電子メール通知から期限切れの証明書を除外する - リポジトリですでに期限切れになっている証明書は、電子メール通知から除外されます。
    6. 証明書ごとに個別の電子メールを送信する - 期限切れの証明書はすべて個別の電子メールとして送信されます。

viii.レポート

レポートを生成し、指定メールアドレスに送信するようにスケジュール設定します。PAM360が生成したすべてのレポートは、このオプションを使って、メールアドレスに送信するようにスケジュール設定できます。特定証明書または証明書グループを選択し、必要な証明書を矢印キーを使って、選択した証明書列に移動して、SSL証明書レポートタイプの選択した証明書にレポートを生成することができます。

オプションのスケジュール設定

  1. 繰り返しの種類を毎時、毎日、毎週、毎月、または 1回のみから選択します。選択したオプションに対応する開始時刻日付,、または曜日を設定します。
  2. 通知するユーザーのメールアドレスを入力します。サーバー認証設定は、GUIの[設定] >> [メールサーバー設定]タブから構成できます。
  3. 選択したメールの件名を追加して、通知メールをカスタマイズします。メール本文をさらに個別設定するには、カスタムメールコンテンツ、および一意の署名を追加します。

[保存]をクリックします。これで、新しいスケジュールが正常に追加されました。

スケジュールを実行するには、スケジュールウインドウに進み、各スケジュール名の横の[スケジュールを実行]アイコンをクリックします。

SSL_schedules

    メモ:スケジュール実行の結果は、スケジュール監査およびそれぞれの運用監査で更新されます。

2.スケジュールの編集

  1. [管理者] >> [SSH/SSL] >> [スケジュール]の順に移動します。
  2. 編集するスケジュールの名前をクリックします。
  3. [スケジュールの編集]ウィンドウにリダイレクトされます。名前とタイプを除くスケジュールのすべての詳細を編集できます。
  4. [更新]ボタンをクリックして、通知を保存します。

3.スケジュールの有効化/無効化

スケジュールはいつでも有効または無効にできます。スケジュールを削除せずに一時的に実行を停止するには、無効化オプションを使用します。再度有効にすると、スケジュールは定期的な実行を再開します。

  1. [管理者] >> [SSH/SSL] >> [スケジュール]の順に移動します。
  2. スケジュールを選択し、[スケジュールを有効化]または[スケジュールを無効化]ボタンをクリックします。スケジュールが正常に有効化または無効化されたことを確認するメッセージが表示されます。

注記:一度だけ実行するように設定されたスケジュールは、すでに実行されている場合は有効にできません。スケジュールを変更して有効にします。

4.スケジュールを削除する

  1. [管理者] >> [SSH/SSL] >> [スケジュール]の順に移動します。
  2. 削除するスケジュールを選択します。
  3. [スケジュールの削除]ボタンをクリックします。
  4. 確認ポップアップウィンドウで[OK]をクリックします。

スケジュールが正常に削除されたことを確認できます。