Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
ASG vs. Thycotic Secret Server Plugin | Massive Logs & Performance Probleme
#1
Hallo Zusammen, 

Produktinformation ASG-RD: Version 12.0.6504.1 (ASG-RD 2019 - Patch 6)

Produktinformation Thycotic Secret Server: 10.7.00000059
Architektur-Applikation: Windows Server 2019, 8 CPU á 2,2 Ghz, 32 GB RAM
Architektur-Applikation: Windows Server 2019, 4 CPU á 2,2 Ghz, 32 GB Ram. MSSQL Server 2017 - Standard


Sachverhalt: 
Unserer Kollegen verwenden ASG-RG und synchronisieren sich mit dem Plugin Thycotic Secret Server. Beim Sync. werden immer alle Ordner und verfügbaren Secrets gemäß Userberechtigung von ASG ausgelesen. Da die Kollegen am Tag arbeiten und immer wieder frische (neu angelegte) Secrets brauchen und an neu aufgebaute Server/Verbindungen im ASG konfigurieren, läuft bei vielen Kollegen der Thycotic-Sync via Aufgabenplanung stündlich.

Jetzt hat sich herausgestellt, dass der Thycotic-Applikationsserver täglich auf nahezu Volllast läuft und der RAM nach nur wenigen Tagen (zwischen 3 und 7 Tagen) voll läuft. Nur durch einen App Restart ist Thycotic noch zu verwenden. Währenddessen langweilt sich die Datenbank. Zudem ist die Thycotic Datenbank in den letzten 4-6 Wochen von 20 auf 120GB angewachsen, ohne das merklich mehr Secrets hinterlegt wurden.

In den Logs von Thycotic sehe ich, dass am 16.12.2019 in der Zeit von 6:00 und 17:00 Uhr insg. 215.000 (von insg. 230.000) Einträge protokolliert wurden. Via SQL der SecretAudits habe ich auf die Action "WEBSERVICEVIEW" & "WEBSERVICE PASSWORD DISPLAYED" gefiltert. Diese beiden Actionen werden beim Synchronisieren simultan für jedes Secret geloggt. 
-> Da mehrere User auf die Secrets zugriffsberechtigt sind, treibt dieses Sync-Verhalten unsere Auditlogs ad absurdum und die Performance wird dadurch beeinträchtigt. 

Fragen: 
1) Warum muss ASG die Passwörter überhaupt einsehen beim Sync. // Gibt der Thycotic Webservice das nicht anders her oder ist das die ASG-RD Plugin Logik? -> Jedenfalls würde sich dadurch das Log-Aufkommen halbieren.
2) Mir ist aufgefallen, dass ASG-RD die Credentials/Secrets irgendwie zwischenspeichert? Ich kann zwar nicht sagen wie lange und wann, aber es werden bspw. beim Verbinden mit einem Server keine weiteren Webservice Calls abgesetzt (gemäß Log).
3) Haben auch andere ein ähnliches Setup und haben schon einen Weg gefunden, wie mit diesem Thycotic Performance Problem umgegangen werden kann?

Wunsch:
Ich würde mir wünschen, dass das ASG-RD Thycotic Plugin lediglich die Thycotic Ordnerstruktur und die Secret Namen synchronisiert. Diese geladenen Objekte kann ich an meine Verbindungen hängen und ggf. innerhalb meiner ASG-RD Datenbank für alle verfügbar machen. Erst sobald eine Verbindung mit Thycotic Credentials aufgerufen wird, sollten die Webservice Calls "Get Passwort" aufgerufen werden. Grob umfasst, möchte ich gerne, dass unsere AuditLogs so geführt werden, dass nur tatsächliche Passwort-Aufrufe protokolliert werden und allgemein die Request Anzahl auf ein Minimum reduziert wird.
Reply
#2
Ich habe es mir gerade mal angesehen - und es wird auch bei der Option das nur die Namen synchronisiert werden sollen jeweils ein Zugriff mit "GetSecret" gemacht, aber dann das Password nicht gespeichert... Da ist Optimierungsbedarf :-) Wir werden für die nächste Version das Auslesen der Secrets bei entsprechender Sync-Option (Nur Namen synchronisieren) unterlassen und nur bei Bedarf den Zugriff machen...
Regards/Gruss
Oliver
Reply
#3
(17-12-2019, 03:15 PM)DevOma Wrote: Ich habe es mir gerade mal angesehen - und es wird auch bei der Option das nur die Namen synchronisiert werden sollen jeweils ein Zugriff mit "GetSecret" gemacht, aber dann das Password nicht gespeichert... Da ist Optimierungsbedarf :-) Wir werden für die nächste Version das Auslesen der Secrets bei entsprechender Sync-Option (Nur Namen synchronisieren) unterlassen und nur bei Bedarf den Zugriff machen...

Hallo DevOma,

vielen Dank für deine schnelle & vielversprechende Antwort.

Eine Anmerkung habe ich noch. Mir ist nämlich ein weiteres Verhalten aufgefallen, dass Logs produziert. Bei dem Sync. mit Thycotic wird sich für jedes Secret sich authentifiziert -> Eintrag im Syslog.
Export für ein ASG-RD Secret:
[color=var(--font-color-1)]17.12.2019 14:04:51 [color=var(--font-color-1)]A valid user was matched for "Goldsteina" using integrated authentication. [/color][color=var(--font-color-1)]Information[/color]
[color=var(--font-color-1)]17.12.2019 14:04:51 [/color][color=var(--font-color-1)]Attempting to login as "Goldstein" using integrated authentication. [/color][color=var(--font-color-1)]Information[/color]
[/color]

Die verschiedenen Thycotic APIs erlauben es, sich bspw. einmalig ein Bearer Token mit den Windows Credentials zu holen. Dieser ist dann für einen gewisse Zeit gültig und kann bei jedem "GetSecret" übergeben werden. Dadurch müsste sich doch auch dieses Log Verhalten verringern oder? Ich habe das bisher nur manuell via SOAPUI ausgeführt.

Besten Dank
André
Reply
#4
Ich nehme es mal auf und wir schauen uns das nochmal an :-)
Regards/Gruss
Oliver
Reply




Users browsing this thread: 1 Guest(s)