Die Zukunft von SSH? Nahtlose Sicherheit mit opkssh und cidaas

Die Zukunft von SSH? Nahtlose Sicherheit mit opkssh und cidaas

Das Problem – SSH-Zugriff heute: ein Sicherheitsengpass

Die herkömmliche Verwaltung von SSH-Zugängen über statische Zugangsdaten – sei es mit Schlüsseln oder Passwörtern – bringt erhebliche operative Komplexität und Sicherheitsrisiken mit sich. Die manuelle Verteilung, Rotation und Sperrung von SSH-Schlüsseln über dynamische Infrastrukturen und wechselnde Benutzergruppen hinweg ist fehleranfällig, schwer zu skalieren und vergrößert die Angriffsfläche des Systems. Statische Zugangsdaten können kompromittiert werden – ein Umstand, der insbesondere in groß angelegten Umgebungen zum echten Problem wird. Doch was wäre, wenn sich SSH-Zugriffe direkt an einen bestehenden Identity Provider binden ließen – mit kurzlebigen, automatisch verwalteten Zugangsdaten?

Die Lösung – Der moderne Ansatz: opkssh trifft cidaas

Genau das ermöglicht die Integration des Tools opkssh von OpenPubkey mit einer leistungsstarken Identity & Access Management (IAM)-Lösung wie cidaas.

Was ist opkssh (OpenPubkey SSH)?

opkssh revolutioniert den SSH-Zugriff, indem es statische Schlüssel durch kurzlebige, identitätsgebundene Anmeldedaten ersetzt. Das Tool basiert auf dem innovativen OpenPubkey-Protokoll und erlaubt es Nutzern, sich mit ihrer OpenID-Connect-Identität (OIDC) an SSH-Servern zu authentifizieren. Anstelle klassischer SSH-Schlüssel nutzt opkssh dabei ID-Tokens eines OIDC-Providers, um kryptografisch an die Identität gebundene, temporäre SSH-Zertifikate oder Schlüssel zu erzeugen – ganz ohne komplexe Public Key Infrastructure (PKI) oder Certificate Authority (CA).

Was ist cidaas?

cidaas ist die leistungsstarke IAM-Lösung für sichere Authentifizierung. Die feature-complete Identity & Access Management (IAM) Lösung bietet umfassende Funktionen wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und fungiert vor allem als robuster OpenID Connect (OIDC) Provider. Sie verwaltet Benutzeridentitäten, Authentifizierungsrichtlinien und stellt die ID-Tokens aus, die opkssh für den SSH-Zugriff benötigt.

Erfahre mehr über cidaas in unserer ausführlichen Dokumentation

opkssh & cidaas im Zusammenspiel

  1. Verbindungsaufbau:
    Der Nutzer startet die SSH-Verbindung über den opkssh-Client.
  2. OIDC-Login:
    opkssh leitet den Nutzer zur Authentifizierung bei cidaas weiter (unter Verwendung seines standardmäßigen Firmenlogins, optional mit MFA).
  3. Token-Ausstellung:
    Nach erfolgreicher Authentifizierung sendet cidaas ein signiertes OIDC-ID-Token zurück an opkssh.
  4. Erzeugung eines temporären Schlüssels:
    opkssh verwendet das ID-Token und das OpenPubkey-Protokoll, um einen kurzlebigen SSH-Schlüssel oder ein Zertifikat zu generieren, wodurch der Schlüssel kryptografisch an die im Token enthaltene Identität des Benutzers gebunden wird.
  5. SSH-Verbindung:
    Der Nutzer verbindet sich mit diesen temporären Anmeldedaten mit dem Ziel-SSH-Server.
  6. Servervalidierung:
    Der SSH-Server (der so konfiguriert ist, dass er cidaas als OIDC-Anbieter vertraut) überprüft die Signatur und Gültigkeit der Anmeldedaten anhand der öffentlichen Schlüssel von cidaas und bestätigt die Identität und Berechtigung des Nutzers.

Warum opkssh mit cidaas integrieren? – Die Vorteile auf einen Blick

Die Kombination beider Tools bietet zahlreiche Vorteile für moderne IT- und Sicherheitslandschaften:

  • Passwort- & Schlüsselloser SSH-Zugriff: Nutzer müssen keine statischen SSH-Schlüssel oder Passwörter für den Serverzugriff mehr verwalten.
  • Höhere Sicherheit: Kurzlebige Zugangsdaten, die an laufende OIDC-Sitzungen gebunden sind, wodurch das Risiko durch kompromittierte statische Schlüssel drastisch reduziert wird. Der Zugriff läuft automatisch ab, wenn die OIDC-Sitzung endet.
  • Zentrale Identitätsverwaltung: cidaas fungiert als Single Source of Truth für Authentifizierungsrichtlinien, Benutzeridentitäten und MFA für den SSH-Zugriff.
  • Vereinfachte Prozesse: Kein manuelles Verteilen, Rotieren oder Sperren von SSH-Schlüsseln mehr notwendig – ideal für On- und Offboarding, was adurch wesentlich einfacher wird.
  • Bessere Auditierbarkeit: SSH-Zugriffsereignisse sind direkt mit überprüfbaren OIDC-Authentifizierungsereignissen innerhalb von cidaas gekoppelt.
  • CA-lose Architektur: Spart die Kosten und den Aufwand für den Aufbau und Wartung einer klassischen Zertifikatsinfrastruktur.

Anwendungsfälle für opkssh & cidaas aus der Praxis

Ob es um sicheren Entwicklerzugriff auf Cloud-Infrastrukturen oder um kontrollierten Zugriff in CI/CD-Pipelines geht – die Integration von opkssh und cidaas bietet eine skalierbare, identitätszentrierte Lösung für den SSH-Zugriff.

Typische Szenarien:

  • Unternehmen, die cidaas bereits als zentrales IAM nutzen.
  • Entwicklerteams mit Bedarf an sicherem Zugriff auf AWS, GCP oder Azure.
  • Zum Schutz sensibler CI/CD-Pipeline-Zugänge.
  • Verbesserung der Cybersicherheit und Umsetzung von Zero-Trust-Strategien für Infrastrukturzugriffe.
  • Vereinfachung der SSH-Zugriffsverwaltung in großen oder dynamischen Organisationen.

Fazit: SSH-Zugriff neu gedacht – Jetzt durchstarten

Die Kombination aus dem CA-losen, OIDC-basierten Ansatz von opkssh und den leistungsstarken Identitäts- und Sicherheitsfunktionen von cidaas stellt einen bedeutenden Fortschritt dar, wenn es darum geht, SSH-Zugriffe gleichzeitig zu vereinfachen und abzusichern.

Indem man auf die bestehenden Identitäten und Sicherheitsrichtlinien in cidaas setzt, lässt sich ein modernes, sicheres und benutzerfreundliches Authentifizierungsmodell für SSH-Zugriffe realisieren – ganz ohne statische Schlüssel, manuelle Verwaltungsaufwände oder den Betrieb einer separaten Zertifikatsinfrastruktur.

Bereit, Ihren SSH-Zugriffsstrategie zu vereinfachen? Kontaktieren Sie uns oder buchen Sie sich direkt Ihre Demo.

single sign on

Zum Single Sign On in 30 Minuten

Durch die steigende Anzahl verschiedener digitaler Dienste im Unternehmen und …