¿Qué es un Safe?
Un Safe es el objeto en VaultPAM que otorga acceso. Vincula cuatro elementos:
- Quién — una lista de usuarios y grupos miembros.
- Qué Resource — el objetivo al que se gestiona la sesión (un servidor RDP, host SSH, base de datos, consola web).
- Qué vinculación de cuenta — la credencial que se inyecta al iniciar la sesión.
- Bajo qué política — ¿se requiere aprobación? ¿está activada la grabación? ¿se permite portapapeles? ¿paso MFA adicional?
Por qué existe la abstracción Safe
Los enfoques heredados vinculan credenciales directamente a usuarios ("Alice tiene la contraseña de root"). Esto hace que la desvinculación sea dolorosa, la rotación sea dolorosa y la auditoría sea vaga. Con un Safe:
- Alice nunca ve la credencial — se inyecta en el proxy.
- Eliminar a Alice del Safe revoca su acceso inmediatamente.
- Rotar la credencial afecta uniformemente a todas las sesiones.
- Cada acceso se audita a nivel de Safe, no disperso en registros de eventos del SO.
Modelo mental
┌──────────┐ ┌──────────┐ ┌──────────────┐
│ Members │ ──► │ Safe │ ──► │ Resource │
└──────────┘ │ policy │ │ (RDP / SSH │
│ approval │ │ / HTTP) │
│ recording│ └──────────────┘
└────┬─────┘ ▲
│ │ credential
▼ │ injected by
┌──────────┐ │ the proxy
│ Account │──────────────┘
│ binding │
└──────────┘
Dimensiones de política
Cada Safe puede establecer:
- Aprobación — ninguna / aprobador único / dos aprobadores ("cuatro ojos").
- Grabación — activada / desactivada (activada de forma predeterminada; recomendado encarecidamente para objetivos privilegiados).
- Portapapeles y transferencia de archivos — permitido / bloqueado / solo auditoría.
- Paso MFA adicional — requerir paso adicional al iniciar la sesión incluso si el usuario ya está autenticado.
- TTL de sesión — duración máxima.
- Horas válidas — ventanas horarias cuando el Safe es utilizable.