Geheimnisverwaltung erkunden

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Verwenden Sie ServiceNow Geheimnisverwaltung für eine granulare Verwaltung des Zugriffs auf Ihre Passwörter entsprechend Ihren Geschäftsanforderungen.

    Wichtig:
    Administratoren müssen über die Rolle verfügen, um Module und Datensätze im Zusammenhang mit der Geheimnisverwaltung anzuzeigen. Informationen zur Geheimnisverwaltungsrolle finden Sie unter Geheimnisverwaltungsrollen.

    Wählen Sie eine der Core- und Enterprise-Versionen von Geheimnisverwaltung aus

    Wählen Sie je nach Geschäftsanforderungen zwischen „Geheimnisverwaltung Core“ und „Geheimnisverwaltung Enterprise“ aus.

    Geheimnisverwaltungs-Core Geheimnisverwaltungsunternehmen
    Secrets Management Core kann in Ihrer Instanz ohne zusätzliche Kosten aktiviert werden. Das Plugin bietet die Möglichkeit, Geheimnisgruppen mit Kriterien in nicht anwenderdefinierten Tabellen zu verwenden, die auf der Plattform ServiceNow bereitgestellt werden und von den Anwendungsentwicklungsteams von ServiceNow erstellt wurden. Geheimnisverwaltung Enterprise enthält zusätzliche Funktionen, mit denen Administratoren Geheimnisgruppen erstellen und verwalten können. Enterprise bietet zusätzlich zu den in Core aufgeführten Funktionen die folgenden Funktionen.
    • Verwenden Sie granulare Zugriffssteuerungen, um Geheimnisgruppen basierend auf einem dieser Kriterien zu erstellen.
      • Umfang
      • Tabelle
      • Spalte
      • Datensatz
    • Erstellen Sie für den Client zugängliche Geheimnisse, die mit Ihrem eigenen Schlüssel verschlüsselt sind, auf den ServiceNow nicht zugreifen kann.
    • Verwenden Sie das Geheimnisverwaltungs-Dashboard, um die in Ihrer Instanz konfigurierten geheimen Gruppen zu überprüfen und mehr über potenzielle Sicherheitsprobleme zu erfahren.
    Hinweis:
    Secrets Management Enterprise ist ein kostenpflichtiges Plugin, das die Mitarbeiter ServiceNow von in Ihrer Produktionsinstanz aktivieren müssen.

    Verwenden Sie geheime Gruppen, um Ihre Geheimnisse zu organisieren

    Verwenden Sie die Geheimnisverwaltung, um Ihre Geheimnisse in Gruppen zu organisieren und dann Zugriffsrichtlinien auf Gruppenebene auf diese Geheimnisse anzuwenden.

    Grundlegende geheime Gruppe
    Diese Gruppen gelten für alle Geheimnisse in einem Bereich. Diese Geheimnisse werden durch ein gemeinsames kryptografisches Modul und Modulzugriffsrichtlinien entschlüsselt.
    Geheime Gruppe mit Kriterien
    Geheimnisgruppen mit Kriterien funktionieren genauso wie eine einfache Geheimnisgruppe, verfeinern jedoch die Inhalte mithilfe von Kriterien weiter. Diese Kriterien umfassen:
    • Anwendungsbereich
    • Paket
    • Tabelle
    • Geheime Spalte
    • Filterdatensatz

    Geheime Gruppen beider Typen können auf Instanzen oder Clients beschränkt werden.

    Geheime Gruppen auf Instanzseite
    Geheime Gruppen auf Instanzseite enthalten Geheimnisse, die von Ihrer Instanz entschlüsselt werden können.
    Clientseitige geheime Gruppen
    Clientseitige Geheimnisgruppen verwenden ein öffentliches und privates Schlüsselpaar, um sicherzustellen, dass Geheimnisse nur vom Client entschlüsselt werden können. Wenn Sie eine für den Client zugängliche Geheimnisgruppe erstellen, laden Sie den öffentlichen Schlüssel in die Instanz hoch und behalten den privaten Schlüssel auf Ihrem MID-Server. Die Instanz von verwendet den öffentlichen Schlüssel, um Ihre Geheimnisse zu verschlüsseln, sie können jedoch nur mit dem privaten Schlüssel entschlüsselt werden.
    Hinweis:
    Weitere Informationen zu diesen Gruppentypen finden Sie unter Client-Seite verstehen Geheimnisverwaltung.

    Verwenden Sie Geheimnisgruppen für eine präzisere Steuerung

    Während „password2“ auf der Plattform ServiceNow verfügbar ist, bietet die Geheimnisverwaltung die folgenden zusätzlichen Funktionen.

    Granulare Zugriffssteuerungen
    Passwort2
    Mit password2 können Administratoren den Zugriff auf einen Anwendungsbereich steuern, aber den Zugriff auf Elemente innerhalb des Bereichs nicht einschränken.
    Geheimnisverwaltung
    Mit der Geheimnisverwaltung können Administratoren den Zugriff basierend auf von ihnen definierten Kriterien einschränken. Kriterientypen können auf Kriterien wie Paket, Tabelle oder Spalte basieren.
    Sicherer Speicher Für clientseitige geheime Gruppen verwendet die Geheimnisverwaltung ein neues Verschlüsselungsschema. In diesem Verschlüsselungsschema speichert ServiceNow den Verschlüsselungsschlüssel nicht. Aus diesem Grund hängt die Sicherheit Ihrer Daten nicht von der Sicherheit von ServiceNow ab.

    Wenden Sie Modulzugriffsrichtlinien auf Ihre Gruppen an

    Nachdem Sie Ihre Geheimnisse in einer Geheimnisgruppe gruppiert haben, können Sie Richtlinien anwenden, die bestimmen, wie Sie auf Gruppenebene auf diese Geheimnisse zugreifen können. Modulzugriffsrichtlinien sind die Zugriffskontrollmechanismen, die Sie auf kryptografische Module anwenden, um Steuerungen auf Instanzebene zu definieren, z. B. einen Gültigkeitszeitraum für den kryptografischen Schlüssel. Weitere Informationen zu Modulzugriffsrichtlinien finden Sie unter Übersicht über Modulzugriffsrichtlinien.

    Mit Geheimnisverwaltung installierte Tabellen

    Die Geheimnisverwaltung fügt diese Tabellen hinzu oder ändert sie.

    Neue Tabellen
    sn_sm_secret_group Speichert geheime Gruppen
    [sn_sm_secret_group_criteria] Speichert geheime Kriteriengruppen
    sn_sm_secret Speichert umschlossene Geheimnisse
    sn_sm_identity_group Definiert die Identitätsgruppe für die Zuordnung einer Gruppe von Identitäten zum öffentlichen Schlüssel
    [sys_kmf_wrapped_module_key] Speichert die umschlossenen symmetrischen kryptografischen Schlüssel
    Geänderte Tabellen
    [sys_kmf_crypto_module] Kryptografischer Modultyp hinzugefügt. (Kryptografisches Modul der Identität oder geheimen Gruppe)
    [sys_kmf_module_key]
    • Speichert den konzeptionellen geheimen Verschlüsselungsschlüssel (ohne Schlüsselmaterial)
    • Speichert den öffentlichen Identitätsschlüssel
    [sys_kmf_crypto_caller_policy] Neuen Modulzugriff-Richtlinientyp hinzugefügt

    Anwendungsfallbeispiele für die Geheimnisverwaltung

    Tragen Sie zur sicheren ITOM-Discovery bei

    Diese Infografik zeigt eine vereinfachte Referenzarchitektur, wie ServiceNow IT Operations Management (ITOM) Discovery von Ihrer Organisation bereitgestellt werden kann. Wie in der Infografik gezeigt, stellen mehrere Windows- und Linux-Server eine Verbindung zum MID-Server her, und mehrere MID-Server-Agents ermöglichen es dem Discovery-Prozess, die CMDB zu aktualisieren. Jede MID-Server-Transaktion erfordert eine sichere Authentifizierung. Daher ist die Verwaltung der Anmeldeinformationen aus Sicherheitsgründen von entscheidender Bedeutung.

    Workflow-Konnektivität mit Integration Hub auf sichere Weise beschleunigen

    Verwenden Sie den Integration Hub von ServiceNow, um über automatisierte Anwendungsprogrammierschnittstellen (APIs) eine Verbindung zu anderen Systemen herzustellen. Jedes Mal, wenn Integration Hub über eine API eine Verbindung zu einem System herstellt, sind Anmeldeinformationen zur Authentifizierung erforderlich, um die Konnektivität herzustellen. Die Verwaltung einer Vielzahl von Anwendungen und Konnektivitäts-APIs erfordert eine Lösung zur Verwaltung von Geheimnissen.

    Die Verwaltung von Geheimnissen ist ein wichtiger Bestandteil bei der Gewährleistung der Cybersicherheit Ihres Unternehmens. Sie deckt alle Prozesse und Tools im Zusammenhang mit der Erstellung, Speicherung, Übertragung und Verwaltung von digitalen Anmeldeinformationen wie Verschlüsselungsschlüssel, API-Token und Passwörter ab. Um Geheimnisse sicher und effektiv zu verwalten, können Sie eine Richtlinie für die Verwaltung zentraler Geheimnisse erstellen, die Standardregeln und -verfahren für alle Phasen des Lebenszyklus eines Geheimnisses festlegt.