はじめに
こんにちは、 ネクストモード株式会社 の奥野です。
これまでのブログでは、ブラウザから直感的にDBを操作できる「KeeperDB」や、ローカルPCからセキュアな経路を作る「トンネル機能」についてご紹介してきました。
セキュリティを高めつつ、普段使い慣れているお気に入りのDBクライアントツールでサクサク作業できるのは本当に便利ですよね。
しかし、今回ご紹介するのはさらに一歩進んだ機能、「KeeperDBプロキシ」です!
この機能を使うと、いつものDBクライアントツールを使いながら、パスワードを一切入力せず、DBへゼロトラスト接続できます。
パスワードのコピペすら不要になる魔法のような設定と接続手順を、今回もサクッと解説していきます!
KeeperPAMに関する概要や、これまでに公開した便利な機能・活用例については、ぜひ下記の「まとめブログ」をご参照ください!
KeeperDBプロキシの何がすごいの?
従来のトンネル接続では、手元でお気に入りのツールを使える反面、毎回パスワードを入力するのが面倒で、ついついDBツールにパスワードを保存していませんか?
確かに日々の作業効率は上がりますが、ツール側にパスワードをそのまま記憶させてしまうのは、セキュリティの観点から避けたいです。万が一、ローカルPCがマルウェアに感染したり、悪意のあるソフトウェアに設定ファイルを覗かれたりした際、パスワード情報がそのまま窃取されてしまう危険性があります。
KeeperDBプロキシを有効にすると、DBツール側にパスワードを一切保存することなく、空欄のままで安全に接続できるようになります!
事前準備
あらかじめ以下を用意しておきましょう!
-
使い慣れたDBクライアントツール(今回は「DBeaver」を使用します)
- Keeperデスクトップアプリケーション(トンネル機能を使うため、ブラウザではなくアプリ版が必要です)
- Keeperゲートウェイ バージョン1.8.0以降(本機能を利用するには、Keeperゲートウェイのバージョン1.8.0以降が必要です)
設定してみた
基本的な接続設定の流れは、以前ご紹介した方法とほぼ同じですので、詳細は以下の記事をご参照ください。
それでは、実際にKeeperの管理画面で、作成済みのレコードを編集していきましょう。
PAMの設定を編集します。
まず「KeeperDB」タブを開き、「KeeperDB and CLI」を選択します。
続いて「トンネル」タブを開き、次の設定をします。
-
「トンネルを有効化」をチェック
-
「ローカルポートを生成」をチェック
- 「リモートトンネルポート」には、接続先となるDB側のポート番号を入力します。今回はMySQLへの接続なので、DB作成時に指定した標準の「3306」を入力しています。
- 「KeeperDBプロキシを有効にする」をチェック
設定を保存します。以上で、設定は完了です!
接続確認
設定が完了したら、実際にローカルPCから接続してみましょう。
接続を確立するため、Keeperデスクトップアプリケーションからレコードを開きます。
画面に表示されている「トンネル接続を開始」ボタンをクリックします。
すると、ローカルホスト名と、自動生成されたローカルポート番号が表示されます。
それでは、DBクライアントツールを起動し、接続してみましょう。今回は、DBeaverで操作しています。
新しくMySQLの接続設定画面を開き、Keeperアプリに表示された内容をもとに、以下のように入力し、接続してみましょう。
-
ホスト名:127.0.0.1 または localhost
-
ポート番号:表示されたポート番号
-
ユーザー名:データベースのユーザー名
-
パスワード:入力は不要です!空欄のままでOK!
接続できました!
ご覧の通り、DB作成時に一緒に作成していたデータベース(keeper_test)もちゃんと見えています!
さいごに
いかがでしたか?
KeeperDBプロキシを活用すれば、データベースへの接続時にパスワードを扱うことなく、使い慣れたDBツールで安全に操作を行うことが可能となります。
セキュリティレベルを引き上げたいけれど、現場のエンジニアの作業効率は1ミリも落としたくない!という情シスやセキュリティ担当者の方にとって、これ以上ない強力な機能ではないでしょうか。
設定自体は簡単なものです。KeeperPAMがもたらすこのパスワードレスな世界を、ぜひ体験してみてください!
