Die Zukunft von SSH? Nahtlose Sicherheit mit opkssh und cidaas

Das Problem – SSH-Zugriff heute: ein Sicherheitsengpass

Die herkömmliche Verwaltung von SSH-Zugängen über statische Zugangsdaten – sei es mit Schlüsseln oder Passwörtern – bringt erhebliche operative Komplexität und Sicherheitsrisiken mit sich. Die manuelle Verteilung, Rotation und Sperrung von SSH-Schlüsseln über dynamische Infrastrukturen und wechselnde Benutzergruppen hinweg ist fehleranfällig, schwer zu skalieren und vergrößert die Angriffsfläche des Systems. Statische Zugangsdaten können kompromittiert werden – ein Umstand, der insbesondere in groß angelegten Umgebungen zum echten Problem wird. Doch was wäre, wenn sich SSH-Zugriffe direkt an einen bestehenden Identity Provider binden ließen – mit kurzlebigen, automatisch verwalteten Zugangsdaten?

Die Lösung – Der moderne Ansatz: opkssh trifft cidaas

Genau das ermöglicht die Integration des Tools opkssh von OpenPubkey mit einer leistungsstarken Identity & Access Management (IAM)-Lösung wie cidaas.

Was ist opkssh (OpenPubkey SSH)?

opkssh revolutioniert den SSH-Zugriff, indem es statische Schlüssel durch kurzlebige, identitätsgebundene Anmeldedaten ersetzt. Das Tool basiert auf dem innovativen OpenPubkey-Protokoll und erlaubt es Nutzern, sich mit ihrer OpenID-Connect-Identität (OIDC) an SSH-Servern zu authentifizieren. Anstelle klassischer SSH-Schlüssel nutzt opkssh dabei ID-Tokens eines OIDC-Providers, um kryptografisch an die Identität gebundene, temporäre SSH-Zertifikate oder Schlüssel zu erzeugen – ganz ohne komplexe Public Key Infrastructure (PKI) oder Certificate Authority (CA).

Was ist cidaas?

cidaas ist die leistungsstarke IAM-Lösung für sichere Authentifizierung. Die feature-complete Identity & Access Management (IAM) Lösung bietet umfassende Funktionen wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und fungiert vor allem als robuster OpenID Connect (OIDC) Provider. Sie verwaltet Benutzeridentitäten, Authentifizierungsrichtlinien und stellt die ID-Tokens aus, die opkssh für den SSH-Zugriff benötigt.

Erfahre mehr über cidaas in unserer ausführlichen Dokumentation

opkssh & cidaas im Zusammenspiel

1. Verbindungsaufbau:
   Der Nutzer startet die SSH-Verbindung über den opkssh-Client.
2. OIDC-Login:
   opkssh leitet den Nutzer zur Authentifizierung bei cidaas weiter (unter Verwendung seines standardmäßigen Firmenlogins, optional mit MFA).
3. Token-Ausstellung:
   Nach erfolgreicher Authentifizierung sendet cidaas ein signiertes OIDC-ID-Token zurück an opkssh.
4. Erzeugung eines temporären Schlüssels:
   opkssh verwendet das ID-Token und das OpenPubkey-Protokoll, um einen kurzlebigen SSH-Schlüssel oder ein Zertifikat zu generieren, wodurch der Schlüssel kryptografisch an die im Token enthaltene Identität des Benutzers gebunden wird.
5. SSH-Verbindung:
   Der Nutzer verbindet sich mit diesen temporären Anmeldedaten mit dem Ziel-SSH-Server.
6. Servervalidierung:
   Der SSH-Server (der so konfiguriert ist, dass er cidaas als OIDC-Anbieter vertraut) überprüft die Signatur und Gültigkeit der Anmeldedaten anhand der öffentlichen Schlüssel von cidaas und bestätigt die Identität und Berechtigung des Nutzers.

Warum opkssh mit cidaas integrieren? – Die Vorteile auf einen Blick

Die Kombination beider Tools bietet zahlreiche Vorteile für moderne IT- und Sicherheitslandschaften:

• Passwort- & Schlüsselloser SSH-Zugriff: Nutzer müssen keine statischen SSH-Schlüssel oder Passwörter für den Serverzugriff mehr verwalten.
• Höhere Sicherheit: Kurzlebige Zugangsdaten, die an laufende OIDC-Sitzungen gebunden sind, wodurch das Risiko durch kompromittierte statische Schlüssel drastisch reduziert wird. Der Zugriff läuft automatisch ab, wenn die OIDC-Sitzung endet.
• Zentrale Identitätsverwaltung: cidaas fungiert als Single Source of Truth für Authentifizierungsrichtlinien, Benutzeridentitäten und MFA für den SSH-Zugriff.
• Vereinfachte Prozesse: Kein manuelles Verteilen, Rotieren oder Sperren von SSH-Schlüsseln mehr notwendig – ideal für On- und Offboarding, was adurch wesentlich einfacher wird.
• Bessere Auditierbarkeit: SSH-Zugriffsereignisse sind direkt mit überprüfbaren OIDC-Authentifizierungsereignissen innerhalb von cidaas gekoppelt.
• CA-lose Architektur: Spart die Kosten und den Aufwand für den Aufbau und Wartung einer klassischen Zertifikatsinfrastruktur.

Anwendungsfälle für opkssh & cidaas aus der Praxis

Ob es um sicheren Entwicklerzugriff auf Cloud-Infrastrukturen oder um kontrollierten Zugriff in CI/CD-Pipelines geht – die Integration von opkssh und cidaas bietet eine skalierbare, identitätszentrierte Lösung für den SSH-Zugriff.

Typische Szenarien:

• Unternehmen, die cidaas bereits als zentrales IAM nutzen.
• Entwicklerteams mit Bedarf an sicherem Zugriff auf AWS, GCP oder Azure.
• Zum Schutz sensibler CI/CD-Pipeline-Zugänge.
• Verbesserung der Cybersicherheit und Umsetzung von Zero-Trust-Strategien für Infrastrukturzugriffe.
• Vereinfachung der SSH-Zugriffsverwaltung in großen oder dynamischen Organisationen.

Fazit: SSH-Zugriff neu gedacht – Jetzt durchstarten

Die Kombination aus dem CA-losen, OIDC-basierten Ansatz von opkssh und den leistungsstarken Identitäts- und Sicherheitsfunktionen von cidaas stellt einen bedeutenden Fortschritt dar, wenn es darum geht, SSH-Zugriffe gleichzeitig zu vereinfachen und abzusichern.

Indem man auf die bestehenden Identitäten und Sicherheitsrichtlinien in cidaas setzt, lässt sich ein modernes, sicheres und benutzerfreundliches Authentifizierungsmodell für SSH-Zugriffe realisieren – ganz ohne statische Schlüssel, manuelle Verwaltungsaufwände oder den Betrieb einer separaten Zertifikatsinfrastruktur.

Bereit, Ihren SSH-Zugriffsstrategie zu vereinfachen? Kontaktieren Sie uns oder buchen Sie sich direkt Ihre Demo.