管理密鑰更方便、首個企業級 SSH 用戶密鑰管理方案

很多跨國企業都會利用網絡處理機密的資料，而當資料在不同的伺服器之間進行傳送時，往往會擔心傳送過程被人竊取封包而導致機密資料外洩，所以大部份跨國企業例如銀行等都會透過 SSH 技術再配合上獨一無二的密鑰傳送資料，這樣的確可以保障到數據安全，但問題是跨國企業動輒數十萬台伺服器，要如何有效管理這些不知在何時建立、為了甚麼用途而建立的密鑰呢？

一直以來坦白說，方法仍然非常原始，就是透過人手進行管理，所以在管理的過程之中出現混亂是在所難免的。

當然，人手處理本身並非一個問題，問題是現今的複雜企業環境下，企業管理員根本難以仔細地了解獨立用戶、系統帳戶及應用程式 ID 與其相關 SSH 伺服器之間的關係。而大多數企業都會為其用戶準備一個或以上的身份管理系統 (IMS)。一般而言，用戶無法憑 IMS 進入企業內所有系統及帳戶，亦無法檢視可存取企業敏感資料的 SSH 用戶密鑰。以傳統的人手方法去管理用戶密鑰既費時又昂貴，亦容易在設定密鑰的過程中出現人為錯誤。

有見及此，SSH 的發明者便開發了針對在 SSH 下產生的密鑰管理技術，透過有關技術管理員便可以讓系統替你的密鑰作管理，同時針對現今虛擬化的環境，方案亦特意利用 Agent 的方式進行安裝，從而令方案更能切合未來發展需要。

透過 SSH 用戶密鑰管理方案，在第一次完成部署時便會自動替企業的所有設備進行掃描，好處是可以一次過將遺忘已久的密鑰抽出，令管理員一次過睇哂所有密鑰的情況；同時系統更可以讓管理員辨識到相關密鑰的建立者、建立地點以及所傳送的路線等，令企業無論對內或對外，都可以為機密資料作最佳的防禦工作，同時亦可一次過了解到用戶及服務帳戶與其相關 SSH 伺服器之間的互信關係。

SSH 密鑰管理方案以三個階段方式運作：首先，找出企業環境下現存的私人及公共密鑰及相關用戶；其後，鎖定此網絡環境，透過網絡目錄管理工具 (Active directory) 或輕量級目錄存取協定 (LDAP) 所提供的用戶及團體資訊，將伺服器連接至獲授權的用戶；最後，鎖定之網絡環境得以妥善管理，亦能自動部署、撤銷、重新認證及調換網絡內的所有密鑰。

現時 SSH 已能為其商用 Tectia SSH 及 OpenSSH 伺服器中央管理各種配置、部署、企業政策及密鑰。