SSH Risk Assessor

Identifier les risques et les défauts de conformité dans les environnements Shell sécurisés (SSH)

La plupart des déploiements de SSH utilisent des paires de clés privée/publique pour authentifier les processus automatisés d'application à application ainsi que l'accès interactif des utilisateurs. Cependant, très peu d'entreprises entreprennent un travail adéquat pour la gestion de ces clés. Une gestion imparfaite des clés expose les organisations à un certain nombre de risques de gestion des identités et des accès. Ces risques peuvent se résumer comme suit : absence d'imputabilité, de transparence et de contrôle qui se traduit par la non-réponse aux questions « Qui a accès, à quelles ressources et quand ».

SSH Risk Assessor (SRA) de SSH Communications Security est un outil léger de scanning et de reporting qui permet aux auditeurs de sécurité d’obtenir des informations cruciales quant à  l’état des réglementations légales et des risques en ce qui concerne la gestion des identités et des accès SSH.

SRA analyse votre environnement pour les clés User et Host SSH

Rapport SRA sur les risques 

   - Nombre total de clés et utilisateurs apparentés
   - Version des OS des plate-formes Host et SSH
   - Relations d'approbation connues et inconnues
   - Nombre d'autorisation root
   - Les clés user sans restriction de commande
   - Les clés user sans adresse source ou restriction de nom d'Host
   - Clés privées dupliquées / partagées
   - Clés privées sans protection de mot de passe
   - Âge, algorithmes et longueurs des clés
   - Clés user dans des répertoires avec propriété non-root et accessibles en écriture par les utilisateurs non-root
   - Analyse d'accessibilité - indique le risque potentiel qui peut être subi avec une clé privée compromise

   - Le suivi de l'IAM pour identifier les clés non référencées et/ou non autorisées
   - Version SSH et politique d'accès
   - Politique de cryptographie des clés
   - Pratiques de rotation des clés

Rapport SRA sur les règlementations 

 

SRA est conçu pour être utilisé par les personnes de la sécurité et les auditeurs externes dans le but d'aider les grandes entreprises à identifier et recenser les risques pour la sécurité informatique et les défauts dans les procédures de réglementation. SRA est disponible gratuitement pour tout utilisateur qualifié.

Une fiche descriptive est téléchargeable ici.

Si vous souhaitez plus d'informations ou obtenir SRA, veuillez visiter www.ssh.com/sra.