> For the complete documentation index, see [llms.txt](https://wiki.datadike.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://wiki.datadike.com/product-guide/configuracoes/pam/sysadmin/enviroment/dispositivos-de-rede-e-oob.md). # Dispositivos de Rede e Consoles OOB O **DataDike PAM** estende o controle de acessos privilegiados além de servidores e bancos de dados, alcançando toda a infraestrutura de **rede, storage e gerência remota**. Esta página descreve como cadastrar, descobrir, proteger e auditar o acesso a switches, roteadores, firewalls, balanceadores, sistemas de armazenamento e **consoles Out-of-Band (OOB)** como DRAC, iLO, IPMI e BMC. A gestão é feita a partir do módulo **Sysadmin > Environment**, onde os dispositivos são organizados como **Assets** (ativos), agrupados por tipo, localidade e criticidade, e onde o **Discover** (descoberta) localiza automaticamente equipamentos que utilizam credenciais privilegiadas. {% hint style="info" %} Os equipamentos de rede e OOB compartilham o mesmo modelo de governança dos demais ativos do DataDike PAM: toda credencial privilegiada vive no cofre, todo acesso passa por intermediação (proxy) e toda sessão é gravada e auditável. {% endhint %} ## Descoberta de Dispositivos A descoberta permite mapear, de forma **automática ou assistida**, os equipamentos da infraestrutura que utilizam credenciais privilegiadas. O DataDike PAM varre faixas de rede (sub-redes, listas de IPs ou intervalos CIDR) e identifica dispositivos por meio dos protocolos de gerência mais comuns. Protocolos suportados na descoberta e na coleta de inventário: * **SSH** — varredura de hosts com serviço SSH ativo, coleta de banner e fingerprint de chave de host. * **Telnet** — identificação de equipamentos legados que ainda expõem CLI por Telnet. * **HTTPS / WebGUI** — detecção de interfaces de administração web (painéis de firewall, controladoras de storage, consoles de gerência). * **SNMP** — leitura de `sysDescr`, `sysObjectID` e demais OIDs padrão para classificar fabricante, modelo e função do equipamento. * **CLI** — reconhecimento do tipo de prompt e do sistema operacional de rede para ajustar o parser de comandos. ### Modos de descoberta * **Automática (agendada):** o operador define faixas de rede, credenciais de leitura e uma janela de varredura. O DataDike PAM executa a descoberta periodicamente e atualiza o inventário em **Sysadmin > Environment > Discover**, sinalizando ativos novos, alterados ou desaparecidos. * **Assistida (sob demanda):** o administrador dispara uma varredura pontual de um intervalo específico e revisa os candidatos antes de promovê-los a ativos gerenciados, decidindo quais credenciais devem ser importadas para o cofre. {% hint style="warning" %} Recomenda-se utilizar credenciais de **somente leitura** (por exemplo, comunidade SNMP `read-only` ou usuário de inventário) na fase de descoberta. A promoção para acesso privilegiado completo deve ocorrer apenas após a classificação do ativo. {% endhint %} Cada dispositivo descoberto é classificado por **tipo** (switch, roteador, firewall, balanceador, storage, console OOB), **fabricante**, **localidade** e **protocolos disponíveis**, facilitando a aplicação de políticas em lote. ## Fabricantes e Equipamentos Suportados O DataDike PAM oferece suporte aos **principais fabricantes do mercado**, com perfis de conexão e parsers de comando pré-configurados que reconhecem a sintaxe específica de cada plataforma. Novos modelos podem ser acomodados por meio de perfis genéricos de SSH/Telnet/HTTPS. | Fabricante | Tipos de equipamento | Protocolos típicos | | ------------- | ------------------------------------------------------------------------------------------------ | ----------------------------- | | **Cisco** | Switches, roteadores, firewalls (ASA/Firepower) | SSH, Telnet, HTTPS, SNMP | | **Dell** | Switches, storages, consoles iDRAC | SSH, HTTPS, SNMP, IPMI | | **HPE** | Switches (Aruba), storages, consoles iLO | SSH, HTTPS, SNMP, IPMI | | **Fortinet** | Firewalls (FortiGate), switches | SSH, HTTPS, SNMP | | **Palo Alto** | Firewalls de próxima geração | SSH, HTTPS (WebGUI), SNMP | | **Huawei** | Switches, roteadores, storages | SSH, Telnet, HTTPS, SNMP | | **Juniper** | Switches, roteadores, firewalls (SRX) | SSH, HTTPS, SNMP | | **Outros** | Balanceadores de carga, controladoras de storage e equipamentos compatíveis com perfis genéricos | SSH, Telnet, HTTPS, SNMP, CLI | {% hint style="info" %} Cada perfil de fabricante traz a configuração adequada de prompt de CLI, sequência de elevação de privilégio (por exemplo, modo `enable`) e dicionário de comandos, garantindo que a auditoria e o bloqueio de comandos funcionem corretamente para cada plataforma. {% endhint %} ### Categorias de ativos * **Switches e roteadores** — acesso via CLI (SSH/Telnet) com auditoria de comandos de configuração. * **Firewalls** — acesso via CLI e WebGUI, com controle reforçado por se tratar de ativos de segurança. * **Balanceadores de carga** — gestão de credenciais administrativas e de API. * **Storages** — controladoras de armazenamento via CLI e interfaces web de administração. * **Consoles OOB** — gerência remota independente do sistema operacional do host. ## Integração com Consoles de Gerência Remota (OOB) Os **consoles Out-of-Band** permitem administrar servidores e equipamentos mesmo quando o sistema operacional está indisponível, oferecendo acesso a nível de firmware/hardware. Por concentrarem privilégio máximo, são alvos críticos e ficam sob governança integral do DataDike PAM. Tecnologias OOB suportadas: | Tecnologia | Fabricante / Padrão | Forma de acesso | | ---------------- | ------------------------------------------ | ------------------------- | | **DRAC / iDRAC** | Dell | HTTPS (WebGUI), SSH, IPMI | | **iLO** | HPE | HTTPS (WebGUI), SSH, IPMI | | **IPMI** | Padrão aberto multivendor | IPMI sobre LAN, SSH | | **BMC** | Baseboard Management Controller (genérico) | HTTPS, SSH, IPMI/Redfish | Para esses consoles, o DataDike PAM: * Armazena as credenciais administrativas (por exemplo, `root`, `Administrator`, `admin`) no **cofre**, removendo-as do conhecimento direto dos operadores. * Intermedeia o acesso via **proxy**, abrindo a sessão HTTPS/SSH/IPMI sem expor a senha. * **Grava a sessão**, incluindo o vídeo da interface web do console e os comandos executados via CLI. {% hint style="danger" %} Consoles OOB concedem poder equivalente a acesso físico ao equipamento (ligar/desligar, montar mídia virtual, redefinir firmware). Restrinja esses ativos aos perfis de maior confiança e exija aprovação para check-out sempre que possível. {% endhint %} ## Cofre de Credenciais, Rotação e Acesso Temporário Todas as credenciais privilegiadas dos dispositivos de rede e OOB residem no **cofre criptografado** do DataDike PAM. O operador nunca precisa conhecer a senha real: o sistema injeta a credencial diretamente na sessão intermediada. ### Rotação automática * **Rotação agendada** — senhas trocadas em intervalos definidos por política (diária, semanal, mensal). * **Rotação por evento** — rotação imediata após o **check-in** de uma sessão ou após desligamento de um usuário. * **Suporte a credenciais de rede e OOB** — rotação compatível com usuários locais de switches/roteadores, contas de firewall, usuários de controladoras de storage e contas administrativas de DRAC/iLO/BMC. * **Verificação de reconciliação** — após cada rotação, o DataDike PAM valida que a nova senha funciona, evitando bloqueio de acesso. ### Acesso temporário (check-out / check-in) O acesso a dispositivos segue o modelo de **check-out / check-in**, garantindo privilégio mínimo e janelas de tempo limitadas: * **Check-out** — o usuário solicita o uso de uma credencial; mediante política, o acesso pode exigir **aprovação** e justificativa, sendo concedido por um período determinado. * **Janela de uso** — durante o check-out, a credencial fica reservada ao solicitante (ou disponível em modo concorrente, conforme política). * **Check-in** — ao final, o acesso é encerrado e, quando configurado, a senha é **rotacionada imediatamente**, invalidando qualquer credencial eventualmente memorizada. {% hint style="info" %} O modelo de acesso temporário transforma cada uso privilegiado em um evento rastreável, com início, fim, responsável e justificativa registrados. {% endhint %} ## Gravação e Armazenamento de Sessões Toda sessão privilegiada em dispositivos de rede e OOB é **gravada de forma completa**, permitindo reconstruir exatamente o que foi feito. * **Vídeo da sessão** — captura visual de sessões gráficas/WebGUI (painéis de firewall, consoles iLO/iDRAC, interfaces de storage). * **Log de comandos** — registro textual de todos os comandos digitados e respostas em sessões CLI (SSH/Telnet), com data, hora e usuário. * **Armazenamento seguro** — gravações cifradas em repouso, protegidas contra adulteração e alteração. * **Indexação e busca** — sessões indexadas por equipamento, usuário, data e comando, permitindo localizar rapidamente um evento específico. * **Reprodução** — replay sincronizado de vídeo e log de comandos a partir do painel. {% hint style="info" %} A indexação por comando permite responder a perguntas de auditoria do tipo "quem executou `reload` neste roteador na última semana?" sem assistir a todas as gravações. {% endhint %} ## Auditoria e Bloqueio de Comandos CLI Em sessões de linha de comando, o DataDike PAM analisa em tempo real cada comando enviado ao equipamento, aplicando políticas de **auditoria** e **bloqueio**. * **Auditoria de comandos** — todo comando é registrado e classificado; é possível **filtrar** por usuário, equipamento, período ou padrão de comando. * **Bloqueio de comandos sensíveis** — listas de comandos pré-definidas impedem a execução de operações de alto risco, interrompendo o comando antes que chegue ao dispositivo. * **Listas por tipo de equipamento** — conjuntos de comandos proibidos podem ser específicos por fabricante/plataforma (por exemplo, comandos de reinicialização, apagamento de configuração ou alteração de credenciais). * **Ação configurável** — um comando sensível pode ser **bloqueado**, **bloqueado com alerta** ou apenas **registrado para revisão**, conforme a política. Exemplos de comandos comumente incluídos em listas de bloqueio: | Comando (exemplo) | Risco | Ação típica | | ------------------------------ | ----------------------------------------- | ------------------- | | `erase startup-config` | Perda de configuração | Bloquear | | `reload` / `reboot` | Indisponibilidade do equipamento | Bloquear com alerta | | `delete` em volumes de storage | Perda de dados | Bloquear | | `username ... privilege 15` | Criação de conta privilegiada fora do PAM | Bloquear com alerta | | `factory-reset` em console OOB | Reset de hardware/firmware | Bloquear | {% hint style="warning" %} As listas de bloqueio devem ser revisadas periodicamente em conjunto com as equipes de rede e segurança, equilibrando proteção e necessidade operacional. {% endhint %} ## Controle de Acesso por Perfil, Equipamento, Horário e Localização O DataDike PAM aplica **controle de acesso granular** combinando múltiplas dimensões antes de autorizar uma sessão: * **Perfil de usuário** — papéis e grupos determinam quais ativos e quais credenciais cada usuário pode utilizar. * **Tipo de equipamento** — políticas distintas para switches, firewalls, storages e consoles OOB, refletindo a criticidade de cada categoria. * **Horário** — janelas de acesso permitidas (por exemplo, horário comercial ou janelas de manutenção), bloqueando conexões fora do período autorizado. * **Localização** — restrição por origem da conexão (faixas de IP, redes confiáveis, segmentos de administração), impedindo acessos de origens não autorizadas. Essas regras são combináveis: por exemplo, "operadores de rede júnior só acessam switches do site SP, em horário comercial, a partir da rede de administração". ## Integração com Autenticação Centralizada A autenticação dos usuários do DataDike PAM integra-se aos provedores de identidade corporativos, evitando bases de credenciais paralelas e centralizando o ciclo de vida de contas. * **LDAP** — autenticação e busca de grupos em diretórios compatíveis. * **Active Directory (AD)** — integração nativa para autenticação e mapeamento de grupos a perfis do PAM. * **SAML** — federação com provedores de identidade (IdP) para **Single Sign-On (SSO)**. A configuração é realizada em **Sysadmin > Environment** (e nas definições de autenticação do produto), permitindo que a inclusão ou exclusão de um usuário no diretório corporativo reflita automaticamente em seus acessos privilegiados. {% hint style="info" %} A integração com autenticação centralizada complementa o modelo de menor privilégio: o acesso aos dispositivos passa pelo cofre, mas a identidade do solicitante é validada na fonte corporativa de verdade. {% endhint %} ## Detecção de Anomalias e Acessos Fora da Política O DataDike PAM monitora continuamente o comportamento de acesso aos dispositivos e sinaliza desvios. * **Tentativas fora da política** — acessos em horário não autorizado, a partir de localização proibida ou a equipamentos sem permissão são bloqueados e registrados como eventos de segurança. * **Anomalias operacionais** — padrões incomuns (volume atípico de sessões, execução de comandos sensíveis em sequência, acessos em horários atípicos para o perfil) geram alertas. * **Respostas automáticas** — conforme a política, é possível encerrar a sessão, exigir reautenticação ou notificar a equipe de segurança. Os alertas alimentam tanto o painel quanto as integrações externas (SIEM/GRC), permitindo resposta coordenada a incidentes. ## Relatórios O DataDike PAM oferece **relatórios completos** sobre o uso privilegiado dos dispositivos, com filtros flexíveis e exportação. * **Por equipamento** — histórico de acessos, sessões gravadas e comandos executados em um ativo específico. * **Por usuário** — todas as sessões e ações de um operador em todos os ativos a que tem acesso. * **Por período** — recortes temporais (diário, semanal, mensal ou intervalo personalizado) para análises e auditorias. * **Relatórios de conformidade** — visões consolidadas de check-outs, rotações de senha, bloqueios de comando e tentativas fora da política. Os relatórios podem ser exportados para formatos padrão e agendados para envio periódico aos responsáveis. ## APIs e Integração com SIEM, GRC e ITSM O DataDike PAM expõe **APIs** e mecanismos de entrega de eventos para integrar a gestão de acessos privilegiados ao ecossistema corporativo de segurança e operações. * **Envio de logs e eventos** — exportação de logs de sessão, eventos de auditoria, alertas e registros de rotação. * **SIEM** — encaminhamento de eventos para correlação e monitoramento de segurança. * **GRC** — fornecimento de evidências de conformidade e controles de acesso para plataformas de governança, risco e conformidade. * **ITSM** — integração com fluxos de mudança e chamados, vinculando acessos privilegiados a solicitações aprovadas. As integrações utilizam formatos e protocolos padronizados, permitindo a entrega de eventos em tempo real ou em lote, conforme a capacidade do destino. ## Painel Web Unificado Toda a gestão descrita nesta página é operada a partir de um **painel web unificado**, que reúne descoberta, cofre, sessões, auditoria e relatórios em uma única interface. * **Segregação de funções** — papéis distintos para administradores, auditores e operadores, garantindo que nenhuma pessoa concentre poder excessivo. * **Rastreabilidade completa** — toda ação administrativa no próprio PAM (criação de ativos, alteração de políticas, concessão de acessos) é registrada e auditável. * **Visão consolidada** — estado dos dispositivos, sessões em andamento, alertas e pendências de aprovação acessíveis em um só lugar. {% hint style="info" %} A combinação de segregação de funções e rastreabilidade total assegura que o próprio PAM seja auditável — atendendo ao princípio de que quem controla os acessos também é controlado. {% endhint %} --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.datadike.com/product-guide/configuracoes/pam/sysadmin/enviroment/dispositivos-de-rede-e-oob.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.