はじめに
こんにちは、 ネクストモード株式会社 の奥野です。
これまでにブラウザから直感的に操作できる「KeeperPAM」や、「KeeperDB」を使ったDB接続方法について解説してきました。
これらは非常にセキュアで便利な接続方法ですが、開発や運用の現場では、セキュリティは厳しく管理しつつも、やっぱり普段から使い慣れているお気に入りのDBクライアントツールで、いつもどおりにサクサク作業したい!という場面も多いかと思います。
そこで今回は、開発環境を変えずにセキュアなアクセスを実現してくれるKeeperPAMの「トンネル機能」について、ローカルPCから安全なトンネルを確立して、いつものツールでDBへ接続するまでの流れをご紹介します!
PAMの概要については下記ブログをご参照ください。
また、KeeperPAMの導入方法や、LinuxサーバーへのSSH接続方法については下記ブログをご参照ください。
事前準備
-
Keeperデスクトップアプリケーションが必要となりますので、事前にインストールしておきます。
- DBクライアントツールを事前に操作端末にインストールしておきます。今回は、「DBeaver」を使用して接続を試してみます。
設定してみた
基本的な接続設定の流れは、以前ご紹介した方法とほぼ同じですので、詳細は以下の記事をご参照ください。
それでは、実際にKeeperの管理画面で、作成済みのレコードを編集していきましょう。
PAMの設定を編集します。
設定画面内の「トンネル」タブを開き「トンネルを有効化」をオンにします。
「ローカルポートを生成」にチェックを入れると、接続のたびに、Keeperが空いているポートを自動で割り当ててくれます。なお、その下の「前回使用したローカルポートを再利用」は、Keeperが生成したポート番号を固定したい場合にチェックする項目です。
今回は自動生成を使用するため、「ローカルポートを生成」にチェックを入れた状態で、「アップデート」ボタンを押して設定を保存します。
接続確認
設定が完了したら、レコードを見てみましょう。
ここでのポイントとして、トンネル接続を行うには、ブラウザではなく、Keeperデスクトップアプリケーションからボルトを開く必要があります。
デスクトップアプリケーションから該当のレコードを開くと、「トンネル接続を開始」ボタンがクリック可能になっているかと思います。
それでは「トンネル接続を開始」ボタンを押してみましょう。これでリモートのDBとローカルPCを繋ぐセキュアなトンネルが作成されます。
クライアントツール(DBeaver)から接続設定を行います。接続先ホストには 127.0.0.1 を指定し、ポートにはKeeper側で自動割り当てされた番号(今回の例では 57863)を指定します。
あとは、DBのユーザー名やパスワードを入力して接続ボタンを押すだけです!
接続できました!
さいごに
いかがでしたでしょうか。いつも使っているお気に入りのツールでサクサク動くのは、かなり「いい感じ」ではないでしょうか?
ゲートウェイ経由による高い安全性はそのままに、トンネル機能を活用することで、エンジニアの利便性を一切損なうことなくDBへアクセスできるようになります。
KeeperPAMがあれば、企業にとって重要な機密データをしっかり保護しつつ、現場のメンバーには「安全で使い勝手の良い環境」をオンデマンドで提供できるようになります。
「セキュリティと効率のどちらかを諦める」のではなく、両方を満たす強力な手段として、ぜひKeeperPAMのトンネル機能を試してみてください!
