KeeperPAM im Test
Cloud-native PAM-Plattform mit Zero-Trust-Architektur für Firmen
Fortsetzung des Artikels von Teil 1
Secrets Management, DevOps und Infrastrukturzugang
Secrets wie API-Keys, Zugriffstoken oder Zertifikate werden getrennt vom regulären Vault gespeichert. Zugriff erfolgt über granulare Rollensteuerung, CLI-Tools oder SDK. CI/CD-Systeme lassen sich direkt integrieren. Anwendungsentwickler können über lokale Tunnel mit einem Klick auf geschützte Systeme zugreifen, ohne Zugangsdaten zu kennen. Dies gilt auch für Multi-Cloud-Infrastrukturen mit verteilten Workloads. Für OT-Umgebungen im öffentlichen Sektor erfüllt KeeperPAM die FedRAMP-Vorgaben inklusive segmentiertem Zugriff und regionalem Gateway-Betrieb. Bei SSH-Verbindungen lässt sich über die Desktop-App ein temporärer Agent starten, der Schlüssel automatisch einbindet. Private Schlüssel müssen nicht mehr lokal gespeichert werden, da sie über den Vault bereitgestellt werden.
Die Plattform unterstützt auch die Verwaltung und Rotation von Passkeys sowie die Integration passwortloser Authentifizierungsmethoden auf Basis von FIDO2 oder biometrischen Verfahren. Systeme ohne native Unterstützung für MFA lassen sich durch externe Richtlinien absichern, inklusive zeitlich beschränkter Zugriffsfreigabe mit Eskalationsstufen. Dabei können Secrets gemeinsam genutzt werden, ohne sie offenzulegen, durch rollenbasierende Verschlüsselung und begrenzte Sichtbarkeit im Vault. Für wiederkehrende Zugriffsszenarien lassen sich Datensatz-Templates definieren, bei denen der Zielhost und das zu verwendende Credential dynamisch gewählt werden. Dadurch entfällt die redundante Pflege identischer Datensätze mit unterschiedlichen Zielsystemen, etwa bei gleich strukturierten Entwicklungs- und Produktionsumgebungen. Bestimmte Dateien innerhalb eines Vault-Datensatzes lassen sich gezielt mit zusätzlichen Sicherheitsrichtlinien belegen. Zugriffe auf diese Dateien können an Bedingungen geknüpft werden, etwa an Approval-Prozesse oder zusätzliche MFA-Ebenen. Vault-Einträge lassen sich außerdem mehreren Nutzern gleichzeitig mit differenzierter Rechtevergabe freigeben. Dabei können Lese-, Schreib- und Sitzungskontrollrechte individuell zugewiesen werden. Die Rechte gelten auch für eingebundene Anwendungen wie SSH-Clients oder RDP-Sitzungen.
Berichtswesen, Auditing und Visibilität
Ein CLI-Werkzeug namens Commander erlaubt die automatisierte Erstellung von Berichten, darunter Passwortalter, Verstöße gegen Richtlinien, nicht rotierte Konten oder inaktive Benutzer. Zusätzlich lassen sich eigene Berichte über das SDK definieren, inklusive Integration in SIEM-Systeme. Im Test zeigte die Plattform zuverlässig an, welche Teammitglieder schwache oder kompromittierte Passwörter nutzen, wo Wiederverwendungen stattfinden und wann eine Rotation zuletzt erfolgt ist, unabhängig davon, ob Anwendungen regelmäßig zur Änderung zwingen. Mit dem Kommandozeilen-Client lassen sich Rotationen mandantenübergreifend triggern und automatisieren. Auch Rotation nach Ordnerstruktur und Reporting lassen sich über die CLI abbilden.
Über BreachWatch analysiert KeeperPAM regelmäßig Passwörter auf Wiederverwendung, Schwäche oder Kompromittierung. Die Analyse umfasst Passwortalter, Richtlinieneinhaltung und Nutzungsverhalten. Inaktive oder nicht rotierte Zugangsdaten lassen sich gezielt markieren und über Richtlinien zur Änderung auffordern. Ergänzend dazu steht ein Darknet-Scan zur Verfügung, der externe Datenlecks erkennt und mit internen Anmeldedaten abgleicht. Administratoren erhalten bei Übereinstimmungen sofort Warnungen und Handlungsoptionen.
Zur weiteren Bewertung der eigenen Sicherheitslage stehen ein ROI-Rechner, ein Passwortsatz-Generator sowie ein sicherer Passwortgenerator zur Verfügung. Diese Tools unterstützen bei der Durchsetzung standardisierter Policies und vereinfachen die Aufklärung über sichere Passwortnutzung.
Mandantenfähigkeit und skalierte Administration
KeeperPAM lässt sich mandantenfähig betreiben. MSPs und große Unternehmen mit delegierten IT-Units erhalten getrennte Verwaltungsbereiche, Richtlinienbereiche und Vault-Strukturen. Die Administration erfolgt zentral über das Webportal oder eine installierbare App. Multi-Region-Gateways lassen sich geografisch getrennt betreiben, Failover und Redundanz sind über separate Komponenten möglich. Die Vault- und Gateway-Zuordnung folgt einer regelbasierende Regionenlogik. KeeperPAM erkennt dabei automatisch, welche Vaults und Zugriffssitzungen einem Standort oder Mandanten zugeordnet sind, und leitet Verbindungen stets über das korrekte Gateway. Dadurch entstehen konsistente Richtlinienstrukturen und niedrigere Latenzen. Hochverfügbarkeit ist technisch möglich, Load-Balancing erfordert allerdings gesonderte Konfiguration. Das neue Gateway-Modul bietet eine spürbar schnellere Initialverbindung und geringere Latenz, insbesondere bei gleichzeitig laufenden Remote-Sitzungen. Vault-Richtlinien lassen sich auf einzelne Deployment-Gruppen anwenden. Dies erlaubt unterschiedliche Regelwerke für getrennte Mandanten, Organisationseinheiten oder Infrastrukturbereiche.Gerade bei verteilt arbeitenden IT-Teams mit geteilten Aufgabenfeldern zeigt die Lösung ihre Stärken. Zugriffsrechte lassen sich rollenbasierend delegieren, Alerts bei Richtlinienverstößen auslösen, Eskalationspfade definieren und Zugänge temporär freigeben. Änderungen werden sofort sichtbar und lassen sich über SIEM oder API erfassen. Für alle freigegebenen Sessions lassen sich granulare Protokolle erzeugen, unabhängig davon, ob der Zugriff über Webinterface, Terminal-Client oder CLI erfolgt. Ein geclusterter Betrieb von Gateways mit Load-Balancing ist für künftige Releases vorgesehen. Bereits jetzt lassen sich einzelne Gateways per Konfigurationsschlüssel ersetzen oder durch CLI wiederherstellen.
- Cloud-native PAM-Plattform mit Zero-Trust-Architektur für Firmen
- Secrets Management, DevOps und Infrastrukturzugang
- Kommunikation, Testphase, Erweiterbarkeit
Lesen Sie mehr zum Thema
