SSH鍵
SSH鍵は、SSHネットワークプロトコルに対するアクセス認証情報です。これらは、システム間の暗号化された接続へのアクセスを可能にします。この接続を使用して、リモートシステムを管理することができます。
SSH鍵は、さまざまな認証方法を用いて、サーバーへのセキュアなアクセスを確実にするために接続を認証します。
Discoveryセンサーは、ネットワーク(SSHが有効化されたデフォルトポート22)でサーバーに設定されているSSH鍵をスキャンします。
SSH鍵を検出する
サーバーで設定されているSSH鍵を検出するには、スキャンを作成して実行する必要があります。
CertCentralアカウントで、[Discovery]>[Discoveryの管理]の順に選択します。
[スキャンを管理]ページで、[スキャンを追加]を選択します。
[スキャンを追加]ページの[スキャンをセットアップする]セクションで、スキャンのセットアップに必要な情報を入力します。その後、[次へ]を選択します。
[スキャン設定]セクションの[設定]>[スキャンオプション]で、[スキャンの対象を選択する]>[SSH鍵の検出を有効にする]の順に選択します。
[保存して実行]を選択します。
鍵のスキャン結果を表示する
CertCentralアカウントで、[Discovery]>[結果を表示]の順に選択します。
[結果]ページの[鍵]タブで、[スキャン名]フィルターを使用してスキャンに関連付けられている鍵を特定します。
[名前]を選択して、鍵の詳細情報を表示します。
検出された鍵に関する情報には以下のものがあります。
フィールド | 説明 |
|---|---|
名前 | 「名前」は、鍵の指紋を表します。「SSH鍵の指紋」は、SHAやECDSAなどの異なるハッシュアルゴリズムを活用する公開鍵ハッシュから生成されます。 |
アルゴリズム | SSH鍵のハッシュ化に使用されるアルゴリズムと、ビット単位でのSSH鍵のサイズ(または長さ)です。 |
認証方法 | サーバーに設定されているSSH鍵を認証する方法です。 |
初回検出 | 鍵が初めて検出された日付を表します |
ローテーション期限 | 組織によって定義された、鍵を新しい鍵と交換する必要がある期限です。これは、鍵が初めて検出された日から計算されます。 |
プロトコル | インターネット経由で通信するために、システム間で暗号化された接続を設定するためのプロトコルです。 セキュアシェルバージョン1(SSH1):
注意:SSH1プロトコルは、将来行われるアップグレードをサポートせず、脆弱性があり、脅威に対するセキュリティを確保しないために廃止されてから、かなりの期間が経過しています。システムが現在もSSH1プロトコルに依存している場合は、SSH2プロトコルにアップグレードしてください。DiscoveryセンサーがSSH1プロトコルを使用する鍵を検出すると、センサーはそれをセキュアではない鍵として報告します。 セキュアシェルバージョン2(SSH2):
|
複製 | 特定の鍵に複製があるかどうかを特定します。 |
セキュリティレベル | 鍵のセキュリティステータスを表します。以下に当てはまる鍵は、非セキュアであると見なされます。
|
鍵を削除する
CertCentralアカウントで、[Discovery]>[結果を表示]の順に選択します。
[結果]ページの[鍵]タブで、削除する鍵を見つけます。
その鍵に対応する[アクション]列で、[削除する]を選択します。
注記
鍵を削除しても、その鍵はCertCentral Discoveryからしか削除されません。鍵は引き続きアクティブで、使用が許可され、サーバー上で利用できます。検出されたデータ内のカギをスキャンが検出して複製しないように、サーバーから鍵を削除してください。
鍵のローテーション
鍵のローテーションでは、暗号鍵の削除と、その鍵の別の暗号鍵での置き換えが行われます。鍵の危殆化を防ぐため、鍵は一定の間隔でローテーションすることがベストプラクティスであると考えられています。
鍵のローテーションは、特定の鍵で暗号化されたデータの量を制限します。その結果、1つの鍵が漏洩しても、過去の通信は別の鍵を使用して行われていることから、それらが漏洩することはありません。
セキュリティ上の理由から、鍵のローテーション期限を維持して、鍵がローテーション期限(1年)を超過している、その期限に近づいている、または鍵の複製がある場合には鍵のローテーションを行うことをお勧めします。