PAM360のアーキテクチャ

PAM360の基本コンセプトの学習を終え、次に、PAM360がどのくらい正確に作動するか、その全体アーキテクチャ、およびプロセスフローの確認に進ことができます。本書では、主な品質属性に焦点を当て、PAM360システムのアーキテクチャ概要を包括的に説明します。

下図は、PAM360の機能アーキテクチャ全容を詳しく示したものです。

pam360-architecture

上図は、PAM360の各種コンポーネントおよびその相互の作用について説明しています。各コンポーネントおよびその機能性についての詳細は、先をご覧ください。

1.PAM360の各種コンポーネント

PAM360は、エンタープライズパスワードを保護し、お使いの環境でのセキュリティを強化するように互いに機能する複数のコンポーネントで構成されます。各コンポーネントについての詳細は、先をご覧ください。PAM360のモジュールと機能のリストについての詳細は、ここをクリックしてください。

1.1 Webアカウント

PAM360は、WindowsおよびUnixベースのマシンでWebアプリケーションとしてインストールできます。これらのシステムは、ユーザーの要件に基づいて構成できます。PAM360は、Webクライアントモバイルアプリケーションの両方からアクセスできます。

PAM360には、Webサーバーについて次の3つの災害復旧オプションがあります:

  1. 高可用性
  2. フェールオーバーサービス
  3. アプリケーションのスケーリング

1.2 ユーザーインポート

ユーザーとは、コンピュータまたはモバイルからネットワークサービスを使ってアプリケーションにアクセスできるユーザーアカウントを持つ個人をいいます。ユーザーは、ユーザーIDまたはユーザー名でシステムに識別されます。

PAM360では、Active DirectoryAzure AD,およびLDAPを使って、ユーザーにインポートすることができます。また、ユーザーは手動で、APIユーザーを追加するか、ファイルを使って、ユーザーをインポートできます。追加したユーザーは、適切なアクセスロールパスワードポリシーで割り当てることができます。また、ニーズに個別設定した別の権限を持つ新しいユーザーロールを追加することもできます。

1.3 対応データベース

PAM360は、PostgreSQL、MS SQLAmazon RDS MS SQLAmazon RDS PgSQL,およびMS Azure SQLをサポートしています。デフォルトでは、PAM360はPostgreSQLがバンドルされています。PAM360で、お使いの状況にあわせて、1つのデータベースを 別のデータベースに移行することができます。

1.4 リソースタイプの管理

PAM360のリソースとは、安全確保が必要な認証情報がある、お使いの環境でのサーバー、アプリケー祖hン、ネットワークデバイス、または機器を表します。PAM360は、各種のデータベースタイプ、Unixデバイス、Windows Domain、クラウドアプリ、及びネットワークデバイスをサポートしています。PAM360では、Windows、Linux、VMwareおよびネットワークデバイス等、各種デバイスを検出できます。

1.5 サポートされているAPI

PAM360では、ユーザーは、SSH CLI,RESTful APIの2つのAPIタイプから選択できます。ユーザーは、アプリケーション・ツー・アプリケーションパスワード管理にPAM360 API'を構成および使用できます。

2.プロセスフロー

これまで、PAM360の各種コンポーネントについて確認してきました。このセクションでは、これらのコンポーネントが互いにどのように作動してシームレスエクスペリエンスができるかについて詳しく学びます。

PAM360は、WindowsとLinuxでインストールするバイナリとして利用可能なオンプレミスのセルフホステッドソリューションで、ユーザー要件にあわせた構成が可能です。

  1. PAM360のインストール後、ユーザーは、,ポート8282経由またはモバイルアプリケーションを使って、PAM360 Webアプリケーションにアクセスできます。ポートは、リモートアクセスでは、PAM360で必須の役割を持ちます。PAM360が使用する各種ポートについての詳細は、ここをクリックしてください。
  2. お使いの環境でPAM360をセットアップする初期ステージについての詳細は、このドキュメントを参照してください。
  3. 次に、ポート3456を使って、Postgre SQLまたはポート1433を使って、MS SQLデータベース二アクセスします。
  4. データベースをセットアップした後、次に、管理者はユーザーとリソースを、ADまたはLDAPを使って、それぞれポート389と636経由でPAM360にインポートできます。
  5. PAM360で、ユーザーは、SSH CLI,とRESTful APIの2つのAPIタイプから選択できます。ポート5522を使って、SSH CLI接続を確立します。
  6. PAM360では、ランディングサーバーから、Windowsリソースにセキュア接続を確立できます。
    1. ランディングサーバーにリソースを関連づけた後、PAM360から、ターゲットシステムに直接接続を起動できます。
    2. 同様に、接続するには、各ポートを開く必要があります。
    3. PAM360は、(TELNET、SSHまたはRDPを使って)データセンターへの直接接続を確立します。ポート22と23を使って、それぞれTELNETとSSHで接続します。
    4. ネイティブポート3389を使って、PAM360とお使いのターゲットシステムとの間でRDP接続が正常に確立される必要があります。
    5. 接続が確立されると、PAM360で、ユーザーは、PAM360セッションゲートウェイを使って、接続したマシン間でファイルを転送できます。
  7. 本製品には、セッションレコーディングにバンドルされたゲートウェイベースのRDP、SSH、およびSQL接続機能があるため、PAM360を使って、VPNシステムを置き換えることもできます。