Geheimnisverwaltung erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 27. Februar 2024
  • 3 Minuten Lesedauer

    • Verwenden Sie ServiceNow Geheimnisverwaltung für eine granulare Verwaltung des Zugriffs auf Ihre Passwörter, die Ihren Geschäftsanforderungen entspricht.

    Wichtig:
    Administratoren müssen über die Rolle verfügen, um Module und Datensätze im Zusammenhang mit der Geheimnisverwaltung anzuzeigen. Informationen zur Geheimnisverwaltungsrolle finden Sie unter Geheimnisverwaltungsrollen.

    Wählen Sie zwischen Core- und Enterprise-Versionen von Secrets Management

    Wählen Sie je nach Ihren Geschäftsanforderungen zwischen Secrets Management Core und Secrets Management Enterprise.

    Geheimnisverwaltungs-Core Geheimnisverwaltung Enterprise
    Secrets Management Core kann in Ihrer Instanz ohne zusätzliche Kosten aktiviert werden. Das Plugin bietet die Möglichkeit, Geheimnisgruppen mit Kriterien in nicht benutzerdefinierten Tabellen zu verwenden, die in der Plattform ServiceNow bereitgestellt werden und von Anwendungsentwicklungsteams von ServiceNow erstellt wurden. Secrets Management Enterprise enthält zusätzliche Funktionen, die Administratoren beim Erstellen und Verwalten von Geheimnisgruppen unterstützen. Enterprise bietet zusätzlich zu den in Core aufgeführten Funktionen die folgenden Funktionen.
    • Verwenden Sie granulare Zugriffskontrollen, um geheime Gruppen basierend auf einem der folgenden Kriterien zu erstellen.
      • Umfang
      • Tabelle
      • Spalte
      • Datensatz
    • Erstellen Sie für den Client zugängliche geheime Schlüssel, die mit Ihrem eigenen Schlüssel verschlüsselt werden, auf den ServiceNow nicht zugreifen kann.
    • Verwenden Sie das Dashboard „Geheimnisverwaltung“, um die in Ihrer Instanz konfigurierten geheimen Gruppen zu überprüfen und sich über potenzielle Sicherheitsprobleme zu informieren.
    Hinweis:
    Secrets Management Enterprise ist ein kostenpflichtiges Plugin, das Mitarbeiter von ServiceNow in Ihrer Produktionsinstanz aktivieren müssen.

    Verwenden Sie Geheimnisgruppen, um Ihre Geheimnisse zu organisieren

    Verwenden Sie die Geheimnisverwaltung, um Ihre Geheimnisse in Gruppen zu organisieren und dann Zugriffsrichtlinien auf Gruppenebene auf diese Geheimnisse anzuwenden.

    Grundlegende geheime Gruppe
    Diese Gruppen gelten für alle Geheimnisse in einem Bereich. Diese Geheimnisse werden durch ein gemeinsames kryptografisches Modul und Modulzugriffsrichtlinien entschlüsselt.
    Geheime Gruppe mit Kriterien
    Geheime Gruppen mit Kriterien funktionieren genauso wie eine einfache geheime Gruppe, verfeinern jedoch anhand von Kriterien weiter, was enthalten ist. Zu diesen Kriterien gehören:
    • Anwendungsbereich
    • Paket
    • Tabelle
    • Geheime Spalte
    • Filterdatensatz

    Geheime Gruppen beider Typen können für die Instanz oder den Client zugänglich gemacht werden.

    Geheime Gruppen auf Instanzseite
    Geheime Gruppen auf Instanzseite enthalten Geheimnisse, die von Ihrer Instanz entschlüsselt werden können.
    Clientseitige geheime Gruppen
    Clientseitige Geheimnisgruppen verwenden ein öffentliches und privates Schlüsselpaar, um sicherzustellen, dass Geheimnisse nur vom Client entschlüsselt werden können. Wenn Sie eine Gruppe mit geheimen Schlüsseln erstellen, auf die der Client zugreifen kann, laden Sie den öffentlichen Schlüssel in die Instanz hoch und speichern den privaten Schlüssel auf Ihrem MID Server. Die Instanz verwendet den öffentlichen Schlüssel, um Ihre geheimen Schlüssel zu verschlüsseln. Sie können jedoch nur mit dem privaten Schlüssel entschlüsselt werden.
    Hinweis:
    Weitere Informationen zu diesen Gruppentypen finden Sie unter Client-Seite verstehen Geheimnisverwaltung.

    Verwenden Sie geheime Gruppen für eine detailliertere Steuerung

    Während password2 auf der Plattform ServiceNow verfügbar ist, bietet Secrets Management die folgenden zusätzlichen Funktionen.

    Granulare Zugriffskontrollen
    Password2
    Mit password2 können Administratoren den Zugriff auf einen Anwendungsbereich steuern, aber den Zugriff auf Elemente innerhalb des Bereichs nicht einschränken.
    Geheimnisverwaltung
    Mit Geheimnisverwaltung können Administratoren den Zugriff basierend auf von ihnen definierten Kriterien einschränken. Kriterientypen können auf Kriterien wie Paket, Tabelle oder Spalte basieren.
    Sicherer Speicher Für clientseitige geheime Gruppen verwendet Secrets Management ein neues Verschlüsselungsschema. In diesem Verschlüsselungsschema speichert ServiceNow den Verschlüsselungsschlüssel nicht. Aus diesem Grund hängt die Sicherheit Ihrer Daten nicht von der Sicherheit von ServiceNow ab.

    Wenden Sie Modulzugriffsrichtlinien auf Ihre Gruppen an

    Nachdem Sie Ihre geheimen Schlüssel in einer geheimen Gruppe gruppiert haben, können Sie Richtlinien anwenden, die bestimmen, wie Sie auf Gruppenebene auf diese geheimen Schlüssel zugreifen können. Modulzugriffsrichtlinien sind die Zugriffskontrollmechanismen, die Sie auf kryptografische Module anwenden, um Steuerungen auf Instanzebene zu definieren, z. B. einen Gültigkeitszeitraum für den kryptografischen Schlüssel. Weitere Informationen zu Modulzugriffsrichtlinien finden Sie unter Übersicht über Modulzugriffsrichtlinien.

    Mit Secrets Management installierte Tabellen

    Secrets Management fügt diese Tabellen hinzu oder ändert sie.

    Neue Tabellen
    [sn_sm_secret_group] Speichert geheime Gruppen
    [sn_sm_secret_group_criteria] Speichert geheime Kriteriengruppen
    [sn_sm_secrets] Speichert umschlossene Geheimnisse
    [sn_sm_identity_group] Definiert die Identitätsgruppe für die Zuordnung einer Gruppe von Identitäten zum öffentlichen Schlüssel
    [sys_kmf_wrapped_module_key] Speichert die umschlossenen symmetrischen kryptografischen Schlüssel
    Geänderte Tabellen
    [sys_kmf_crypto_module] Kryptografischer Modultyp hinzugefügt. (Kryptografisches Identitätsmodul oder kryptografisches Modul für geheime Gruppe)
    [sys_kmf_module_key]
    • Speichert den konzeptionellen geheimen Verschlüsselungsschlüssel (ohne Schlüsselmaterial)
    • Speichert den öffentlichen Identitätsschlüssel
    [sys_kmf_crypto_caller_policy] Neuer Modulzugriffsrichtlinientyp hinzugefügt