Podstawy

Privileged Access Management – PAM

0 Comment095

Privileged Access Management (PAM) odnosi się do klasy rozwiązań, które pomagają zabezpieczać, kontrolować, zarządzać i monitorować uprzywilejowany dostęp do krytycznych zasobów.

Aby osiągnąć te cele, rozwiązania PAM zazwyczaj pobierają poświadczenia kont uprzywilejowanych – tj. kont administratorów. Umieszczają je w bezpiecznym repozytorium (skarbcu), izolując korzystanie z kont uprzywilejowanych, aby zmniejszyć ryzyko kradzieży tych poświadczeń. Po wejściu do repozytorium administratorzy systemu muszą przejść przez system PAM, aby uzyskać dostęp do swoich poświadczeń. Następnie są uwierzytelniani, a ich dostęp jest rejestrowany. Po ponownym wpisaniu poświadczenia jest ono resetowane. Robione jest to aby upewnić się, że administratorzy muszą przejść przez system PAM następnym razem, gdy będą chcieli użyć poświadczenia.

Centralizując uprzywilejowane dane uwierzytelniające w jednym miejscu, systemy PAM mogą zapewnić im wysoki poziom bezpieczeństwa. Mogą kontrolować, kto ma do nich dostęp, rejestrować wszystkie dostępy i monitorować wszelkie podejrzane działania.

Privileged Access Management może mieć następujące podkategorie:

  • Menedżer haseł dostępu współdzielonego (SAPM)
  • Menedżer haseł superużytkownika (SUPM)
  • Uprzywilejowany menedżer sesji (PSM)
  • Menedżer haseł dostępu do aplikacji (AAPM)

Skarbce haseł Privileged Access Management (SAPM) zapewniają dodatkową warstwę kontroli nad administratorami i politykami haseł. Mogą także monitorowanie ścieżek uprzywilejowanego dostępu do krytycznych systemów.

Hasła mogą być zgodne z różnymi zasadami dotyczącymi haseł, a nawet mogą być jednorazowe. Brokerzy sesji lub PSM przenoszą PAM na inny poziom, zapewniając, że administratorzy nigdy nie zobaczą haseł. Ich hardenowane serwery proxy, takie jak jump serwery, również monitorują aktywne sesje i umożliwiają obserwowanie oraz zatrzymanie sesji administracyjnych, jeśli coś będzie nie tak. Podobnie, AAPM mogą udostępniać poświadczenia natychmiastowo, do komunikacji między aplikacjami. Mogą nawet modyfikować skrypty startowe, aby zastąpić hasła zakodowane na stałe wywołaniami API do magazynu haseł.

CyberArk, lider rynku w dziedzinie Privileged Account Management, twierdzi, że jest 7 typów kont PAM w przedsiębiorstwie:

  • Konta emergency: Zapewniają użytkownikom dostęp administracyjny do bezpiecznych systemów w sytuacjach awaryjnych. Dostęp do tych kont wymaga zgody kierownictwa IT ze względów bezpieczeństwa. Zwykle jest to proces ręczny, w którym brakuje jakichkolwiek środków bezpieczeństwa.
  • Lokalne konta administracyjne: Są to konta współdzielone, które zapewniają dostęp administratora tylko do lokalnego hosta lub sesji. Te konta lokalne są rutynowo używane przez personel IT do konserwacji stacji roboczych, a także serwerów, urządzeń sieciowych, serwerów mainframe i innych systemów wewnętrznych. W przeszłości udowodniono, że specjaliści IT często używają tych samych haseł w całej organizacji w celu ułatwienia sobie pracy. To wspólne hasło jest czasami używane na tysiącach serwerów i usług i stanowi cel, dla którego znane są zaawansowane, trwałe zagrożenia.
  • Konta aplikacji: Te konta są używane przez aplikacje do uzyskiwania dostępu do baz danych. Używane są również do uruchamiania zadań cron lub skryptów lub zapewniania dostępu do innych aplikacji. Te uprzywilejowane konta zwykle mają dostęp do poufnych, krytycznych informacji, które znajdują się w aplikacjach i bazach danych, na przykład na kontach zintegrowanych. Hasła do tych kont są często wbudowane i przechowywane w plikach tekstowych. Stanowi to lukę w zabezpieczeniach, która jest kopiowana przez wiele kanałów i serwerów. Taka luka jest dobrze znana i jest celem zagrożeń typu APT .
  • Konto usługi Active Directory lub domeny Windows: Jest co najmniej wyzwaniem, aby zapewnić bezpieczeństwo AD. Zmiany haseł mogą być jeszcze trudniejsze, ponieważ wymagają synchronizacji między wieloma ekosystemami i aplikacjami. To wyzwanie często prowadzi do praktyki rzadkiej zmiany haseł kont aplikacji w celu uniknięcia rozrostu katalogów, który tworzy pojedynczy punkt awarii w krytycznym systemie, takim jak Active Directory.
  • Konta usług: To konta lokalne lub konta domeny używane przez aplikację lub usługę do interakcji z systemem operacyjnym. W niektórych przypadkach te konta usług mają uprawnienia administracyjne w domenach w zależności od wymagań aplikacji, do której są używane.
  • Konta administracyjne domeny. Superadministratorzy, którzy mają uprzywilejowany dostęp do wszystkich stacji roboczych i serwerów w domenie organizacji. Zapewniają najszerszy dostęp w całej sieci. Dzięki pełnej kontroli nad wszystkimi kontrolerami domeny i możliwości modyfikowania członkostwa każdego konta administracyjnego w domenie, są one stałym zagrożeniem dla organizacji i są szeroko atakowane przez hakerów.
  • Konta użytkowników uprzywilejowanych: To użytkownicy, którym nadano uprawnienia administracyjne do systemów. Konta użytkowników uprzywilejowanych to jedna z najczęstszych form dostępu do kont przyznawanych w domenie przedsiębiorstwa. Umożliwia ona użytkownikom posiadanie uprawnień administratora na przykład na ich lokalnych komputerach stacjonarnych lub w zarządzanych przez nich systemach. Często konta te mają unikalne i złożone hasła, ale w większości przypadków są one chronione samymi hasłami.

Uwierzytelnianie wieloskładnikowe Privileged Access Management

Dla firm korzystających z rozwiązania Privileged Access Management nadszedł czas, aby wybrać odpowiednią platformę, aby uzyskać dostęp do tego rozwiązania, które zapewni bezpieczeństwo kont uprzywilejowanych.
Rozwiązanie Multi factor Authentication (MFA) jest koniecznością. Jak stwierdzono w artykule badawczym firmy Gartner: „CISO powinni co najmniej wprowadzić obowiązkowe uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich administratorów”.

Wybór rozwiązania zapewniającego wysoki poziom bezpieczeństwa bez hasła, to coś więcej niż tylko bezpieczne systemy uwierzytelniania. Eliminuje również koszty związane z hasłami, takie jak rozmowy telefoniczne z pomocą techniczną i resetowanie haseł. Co więcej, przejście na rozwiązania bez hasła przenosi komfort użytkowania na nowy poziom, usprawniając proces uwierzytelniania. Koniec z przechowywaniem i zapamiętywaniem danych uwierzytelniających oraz noszeniem ze sobą dodatkowych urządzeń do weryfikacji.

CO OZNACZA DOSTĘP UPRZYWILEJOWANY?

Uprzywilejowany dostęp, odnosi się do dostępu do systemu (lokalnego lub w chmurze), który jest lepszy niż zwykłe logowanie użytkownika. Organizacje mają różne poziomy systemów w zależności od poziomu ryzyka związanego z naruszeniem/niewłaściwym użyciem systemu.
Konta dostępu uprzywilejowanego to użytkownicy, którzy mają dostęp do krytycznych zasobów systemu, dlatego muszą być chronieni i monitorowani.

JAKIE PROBLEMY POMAGA ROZWIĄZAĆ PAM?

PAM pomaga klientom zabezpieczyć i kontrolować ich konta użytkowników uprzywilejowanych, aby zapewnić lepsze bezpieczeństwo i zarządzanie, a także przestrzegać niektórych przepisów.

JAKA JEST RÓŻNICA MIĘDZY ZARZĄDZANIEM TOŻSAMOŚCIĄ UPRZYWILEJOWANĄ A ZARZĄDZANIEM DOSTĘPEM UPRZYWILEJOWANYM?

Zarządzanie tożsamością uprzywilejowaną (PIM) i zarządzanie dostępem uprzywilejowanym (PAM) są często używane zamiennie i oznaczają to samo. Zabezpieczanie, kontrolowanie, zarządzanie uprzywilejowanym dostępem do zasobów o znaczeniu krytycznym i monitorowanie go.

JAK DZIAŁA Privileged Access Management?

Rozwiązania Privileged Access Management pobierają dane uwierzytelniające konta uprzywilejowanego – tj. konta administratora – i umieszczają je w bezpiecznym repozytorium – skarbcu. Po wejściu do skarbca administratorzy systemu muszą przejść przez system PAM, aby uzyskać dostęp do poświadczeń, w którym to momencie są uwierzytelniani, a ich dostęp jest rejestrowany. Po ponownym wpisaniu poświadczenia jest ono resetowane, aby upewnić się, że administratorzy muszą przejść przez system PAM następnym razem, gdy będą chcieli użyć poświadczenia.

CZY PAM WYKORZYSTUJE MOŻLIWOŚCI USŁUG AD DS?

Ogólnie rzecz biorąc, PAM nie wymaga AD DS. Po wdrożeniu z usługą AD, celem PAM jest przywrócenie kontroli nad skompromitowanym środowiskiem Active Directory poprzez utrzymanie izolowanego, wysoce bezpiecznego środowiska dla poświadczeń kont uprzywilejowanych.

PAM można zintegrować z usługami AD DS w celu uwierzytelniania i autoryzacji kont domeny.

JAKIE KORZYŚCI OFERUJE PAM?

PAM tworzy izolowane, wysoce zabezpieczone i ściśle kontrolowane środowisko do przechowywania uprzywilejowanych poświadczeń i kontrolowania dostępu do nich. Zapewnia również szczegółowe śledzenie użycia kont uprzywilejowanych (tj. kont administracyjnych), które są zazwyczaj kontami współdzielonymi.

CO TO JEST UPRZYWILEJOWANY MENEDŻER SESJI?

Uprzywilejowane sesje użytkowników chronią docelowe systemy poprzez umożliwienie dostępu bez ujawniania poufnych danych uwierzytelniających. Wykorzystują bezpieczny jump serwer (zabezpieczony host administracyjny). Monitoruje i rejestruje uprzywilejowane sesje w celu spełnienia wymagań audytu i zatrzymywania podejrzanych uprzywilejowanych sesji w czasie rzeczywistym.

Poprzedni wpis Step Up Authentication - Uwierzytelnianie Podwyższające

Step Up Authentication

Active Directory

Powiązane artykuły

chmury stanowe
Podstawy 0

Chmury Stanowe – Stateful Cloud

Protokoły stanowe służą do rejestrowania aktywności sesji. Chmury stanowe…

Uwierzytelnianie bezstanowe
Podstawy 0

Uwierzytelnianie bezstanowe

Uwierzytelnianie oparte na tokenie umożliwia użytkownikom uzyskanie tokena, który umożliwia im dostęp…

Zero Trust
Podstawy 0

Co to jest Zero Trust?

„Zero Trust”, „Zero Trust Network” i „Zero Trust Architecture” to koncepcje związane…

0 0 votes
Ocena artykułu
Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments
0
Zależy mi na Twojej opinii poniżej 😀x