Gecentraliseerde OTP manager

Een aantal diensten kan helaas niet middels een named account worden beheerd, maar alleen via een algemeen account. Dit maakt niet alleen audits moeilijk, maar maakt het ook moeilijk om MFA te implementeren.

Momenteel heb ik een trial van Remote Desktop Manager (van Devolutions). Hiermee is het mogelijk om een gecentraliseerde passwordmanager op te zetten via een Azure SQL. Ik heb hier een aantal OT passwords in gezet als test. Meerdere users kunnen OTP's opvragen. Het werkt echt perfect. De daadwerkelijke wachtwoorden blijven in een andere (reeds bestaande) wachtwoordmanager.

RDM heeft een aantal voordelen:
• Azure AD authenticatie naar de Azure SQL database. Goede audit trail.
• SSO.
• Behalve passwords, ook OTP. OTP is juist datgene waar ik het voor wil inzetten.
• Goede audit trail. Bezichtigen van passwords wordt ook gelogd. In onze main passwordmanager is auditing te beperkt.

Maar ook een aantal nadelen:
• Communicatie via TCP/1433 direct over internet. Hoewel Wireshark wel aangeeft dat het om encrypted verkeer gaat, weet ik niet of de authenticatie echt wel zo secure is. Een SQL server op het publieke internet voelt niet zo secure.
• Prijs. Het is te duur voor ons doel.
• SQL Authentication. Azure AD SSO is een addendum op het bestaande "root" account van Azure SQL. Vermoedelijk kan het root Azure SQL account niet worden uitgeschakeld en het kan niet van MFA worden voorzien. Ook een wachtwoord van 64 karakters kan lekken.

Al met al voldoet RDM, maar eigenlijk is het zwaar overkill voor wat ik ermee wil doen. Hoe beheren jullie OTP's voor non-named accounts? Is er wellicht een simpele applicatie die iets goedkoper is en alleen of in ieder geval OTP's kan beheren? Ik vind het prima om ergens voor te betalen, maar ik vind US$ 199 per user per jaar gewoon iets te veel om alleen een stapeltje OTP's te beheren.

Dus eigenlijk zijn de requirements:

• In ieder geval OTP's
• SSO met Azure AD
• Auditing
• Niet te duur

Hoe beheren jullie non-named accounts?

[ Voor 5% gewijzigd door Trommelrem op 22-12-2019 11:46 ]

kuwerti schreef op maandag 3 februari 2020 @ 10:22:
Hoi @Trommelrem . ik zoek ook iets dergelijks. Heb jij al iets gevonden?

Helaas. Alleen RDM, wat wij voor ons gebruik iets te duur vinden, maar wat wij waarschijnlijk wel gaan aanschaffen.

TerrorSource schreef op maandag 3 februari 2020 @ 10:53:
Als je MFA implementeert kan je ook gebruikers “app-passwords” laten aanmaken.
Die kan je delen, weet niet of dat een optie is?

App passwords zijn legacy en werken dus niet meer. Bovendien mag je van de GDPR logischerwijs geen app passwords gebruiken.

The Eagle schreef op maandag 3 februari 2020 @ 10:35:
Iets andere invalshoek, maar DB's wil je niet via internet ontsluiten. Dwz, daar zet je iets van een stepstone / bastion host voor vanaf waar je access hebt op 1443. Daar heb je ook meteen je MFA oplossing te pakken.

Het gaat puur om de OTP codes. De wachtwoorddocumentatie is een gescheiden pakket en komt absoluut niet in deze database te staan.

Azure MFA kijkt naar waar je vandaan komt. Je kunt dan dus een uitzondering maken voor die bastion host / steptstone. Mensen loggen met MFA en hun reguliere account in op de bastion host, en vanaf daar met het non-personal account (ik noem ze graag NPA's) op de DB of whatever. En verder kun je natuurlijk je security op de Azure zo inrichten dat je alleen van die bepaalde host naar een DB of applicatie mag

Het gaat om externe tenants, een verplichting van GDPR is om hierop in te loggen met named accounts of minstens iets wat herleidbaar is naar een account. Met een OTP manager kan dat, omdat de OTP manager en audit trail achterlaat.

The Eagle schreef op maandag 3 februari 2020 @ 13:41:
Wat bedoel je trouwens met OT passwords? Waar staat bij jou de afkorting OT voor? Operationele Technologie (als in: PLC/SCADA systemen etc)?

Bijvoorbeeld aka.ms/mfasetup.

EN waar het ook staat, inloggen met named accounts op een stepstone en dan een generiek password gebruiken kan natuurlijk altijd.

Ja het kan, maar bij een audit val je dan door de mand. Inloggen met generieke passwords kan niet zondermeer omdat de audit trail ontbreekt. Met een audit trail in je OTP manager heb je dat afgevangen.

kuwerti schreef op maandag 3 februari 2020 @ 14:48:
Volgens mij is OTP: One Time Password in dit geval.

Bijvoorbeeld aka.ms/mfasetup.

jurroen schreef op dinsdag 4 februari 2020 @ 09:29:
Bedoelt TS hier wellicht TOTP?

Ik heb zelf geen enkele ervaring met Azure - dat gaat namelijk tegen mijn guts in, dus ook niet met Azure SSO. Het moet niet al te ingewikkeld zijn om zelf iets te scripten wat hier een oplossing voor biedt.

Maatwerk is out of the question in verband met veiligheid.

daupie schreef op dinsdag 4 februari 2020 @ 09:35:
Je hebt ook applicaties als WinAuth, echter is dat met een static database en zeker niet bedrijfsbreed inzetbaar.

Dit is wel zo'n beetje wat ik zoek, alleen ontbreekt dan de gecentraliseerde database en het kunnen auditen van de opvragingen.

[ Voor 45% gewijzigd door Trommelrem op 04-02-2020 10:05 ]

jurroen schreef op dinsdag 4 februari 2020 @ 10:04:
[...]


Maar een oplossing met Azure vertrouw je blind? Hebben jullie de mogelijkheid om - bijvoorbeeld - een PHP script te hosten bij een partij die jullie vertrouwen? En is er de kennis/expertise in-house / bij aanbieder om dat eventueel te auditen?

Dit voegt natuurlijk weinig toe aan de discussie en ik heb het idee dat je loopt trollen, maargoed, bij deze:

Ja. Ja. Nee. Daarom geen maatwerk.