O VaultOne Connector é um componente essencial para o funcionamento da solução VaultOne, responsável por intermediar sessões remotas e auditar os acessos privilegiados. Esse conector é instalado em um servidor Linux provisionado na infraestrutura do cliente (Também pode ser provisionado na infraestrutura da VaultOne, através da contratação de serviço), quando o servidor é provisionado na infraestrutura do cliente, a VaultOne não tem visibilidade sobre sua manutenção do hardware e segurança.

Para garantir máxima proteção e resiliência, listamos abaixo as principais recomendações e boas práticas para a configuração segura desse servidor.

Antes de iniciar a configuração, assegure-se de que o servidor atenda aos requisitos mínimos descritos no artigo:

Requisitos de Máquina para o Conector VaultOne.

Além disso, recomendamos:

✔ Garantir que o hardware ou ambiente virtual atenda aos requisitos mínimos, conforme especificado na documentação oficial.

✔ Aplicar políticas rigorosas de controle de acesso, limitando quem pode acessar o servidor e restringindo permissões desnecessárias.

✔ Definir uma senha forte e segura para o acesso ao servidor, seguindo recomendações de complexidade (mínimo de 15 caracteres, misturando letras, números e caracteres especiais).

✔ Assegurar que o servidor esteja isolado em uma rede segura, evitando exposição desnecessária a redes públicas ou acessos externos não autorizados.

Mesmo utilizando um sistema operacional VaultOne, o cliente continua sendo responsável pela segurança da infraestrutura onde este servidor está instalado, incluindo políticas de rede, controle de acesso e monitoramento contínuo.

Restringir acessos desnecessários e aplicar boas práticas para minimizar riscos.

Gerenciamento de usuários e acessos:

O servidor do VaultOne Connector não deve ser acessado diretamente, a menos que seja necessário para manutenção.

✔ Crie usuários específicos para administração do ambiente e evite utilizar contas genéricas.

✔ Restrinja acessos administrativos apenas a usuários autorizados e garanta que estes acessos sejam feitos através do VaultOne.

Desativação do login root direto:

O acesso ao servidor deve ser realizado utilizando um usuário comum com privilégios elevados via sudo. O login direto como root deve ser desativado no SSH para evitar riscos.

Para isso, edite o arquivo de configuração do SSH:

Altere a linha:

E reinicie o serviço SSH:

Utilização de chaves SSH para acesso remoto:

A autenticação por senha pode ser desativada e substituída por chaves SSH para maior segurança. No arquivo /etc/ssh/sshd_config, altere:

O servidor deve ser isolado e ter o mínimo de portas abertas.

✔ Ativar firewall e permitir apenas as portas necessárias:

Utilize o firewall da empresa para bloquear acessos indesejados.

✔ Segmentação de Rede:

Se possível, posicione o VaultOne Connector em uma rede isolada e evite que ele tenha acesso irrestrito a outros servidores.

✔ Monitoramento de Conexões:

Habilite logs detalhados do firewall para monitorar possíveis acessos não autorizados:

O servidor deve ser mantido atualizado para garantir a segurança contínua.

✔ Aplicação de patches e atualizações:

O sistema operacional VaultOne recebe periodicamente atualizações de segurança. O cliente deve garantir que essas atualizações sejam aplicadas conforme necessário.

✔ Monitoramento contínuo:

Caso o cliente utilize soluções de monitoramento, o servidor do VaultOne Connector deve ser incluído na estratégia de observabilidade.

O VaultOne Connector desempenha um papel fundamental na segurança dos acessos privilegiados. A proteção do servidor onde ele está instalado é de extrema importância para evitar vulnerabilidades e garantir um ambiente seguro.

Seguindo estas boas práticas, sua empresa reduz riscos e fortalece a segurança da infraestrutura. Caso tenha dúvidas ou precise de suporte, entre em contato com a equipe VaultOne.