Správa privilegovaného přístupu
Správa privilegovaného přístupu (Pam) označuje třídu řešení, která pomáhají zabezpečit, řídit, spravovat a monitorovat privilegovaný přístup ke kritickým aktivům.
K dosažení těchto cílů, PAM řešení obvykle pověření privilegované účty – tj. admin účty a dát je uvnitř bezpečné úložiště (trezoru) oddělovací použití privilegovaných účtů, aby se snížilo riziko těchto pověření ukradené. Jakmile je uvnitř úložiště, správce systému, je třeba jít přes PAM systému, aby přístup k jejich pověření, na kterém místě oni jsou ověřené a jejich přístup je zaznamenána. Když je pověření zkontrolováno zpět, je resetováno, aby se zajistilo, že správci budou muset příště projít systémem PAM, když budou chtít pověření použít.
centralizací privilegovaných pověření na jednom místě mohou systémy PAM zajistit vysokou úroveň zabezpečení, kontrolovat, kdo k nim přistupuje, zaznamenávat všechny přístupy a sledovat jakoukoli podezřelou aktivitu.
Privilegovaný Přístup Řízení podle Gartner má následující podkategorie:
- Sdílený přístup password manager (SAPM)
- Superuser password manager (SUPM)
- Privilegované session manager (PSM)
- přístup k Aplikaci správce hesel (AAPM)
PAM heslo klenby (SAPM) poskytuje další vrstvu kontroly nad administrátory a hesel, stejně jako sledování trasy privilegovaný přístup ke kritickým systémům .
hesla mohou sledovat věrohodnost zásad hesel a mohou být dokonce jednorázová. Zasedání makléřů, nebo PSMs, paminy na další úroveň , zajistí, aby správci nikdy vidět hesla, jejich tvrzené proxy servery, jako jsou jump servery také sledovat aktivní sezení, a umožnit recenzentům zastavit admin sezení, když vidí něco špatného. Podobně, AAPMs může vydat pověření just-in-time pro aplikace-na-aplikaci komunikace, a dokonce i upravit spouštěcí skripty nahradit pevně hesla s volání API password vault.
Dozvědět se více o tom, jak chránit své PAM uživatelů
CyberArk, lídrem na trhu v oblasti Privilegované Account Management státy, které jsou 7 typů PAM účetnictví v podniku:
- Nouzové účty : Poskytnout uživatelům s admin přístup na zabezpečené systémy v případě nouze. Přístup k těmto účtům vyžaduje schválení správy IT z bezpečnostních důvodů, obvykle se jedná o ruční proces, který postrádá bezpečnostní opatření.
- místní administrativní účty: jsou sdílené účty, které poskytují administrátorovi přístup pouze k místnímu hostiteli nebo relaci. Tyto místní účty běžně používají IT pracovníci pro účely údržby na pracovních stanicích a také servery, síťová zařízení, servery mainframy a další interní systémy. V minulosti bylo prokázáno, že IT profesionálové stan znovu používají hesla v celé organizaci pro snadné použití. Toto sdílené heslo se někdy používá na tisících serverů a služeb a je cílem, o kterém je známo, že pokročilé trvalé hrozby využívají.
- aplikační účty : Tyto účty používají aplikace k přístupu k databázím, spouštění úloh nebo skriptů cron nebo k poskytování přístupu k jiným aplikacím. Tyto privilegované účty mají obvykle přístup k citlivým kritické informace, které spočívá v aplikací a databází například Zapier integrované účty. Hesla pro tyto účty jsou často vloženy a uloženy v textové soubory, zranitelnost, která je zkopírován přes více kanálů a serverů poskytnout zdědit chyba aplikace. Tato chyba zabezpečení je dobře známa a je zaměřena na předběžné trvalé hrozby (APT) .
- Active Directory nebo Windows domény účtu služby : Jsou výzvou zajistit, aby přinejmenším, změny hesla může být ještě náročnější, protože vyžadují synchronizaci napříč různými ekosystémy a aplikací . Tato výzva často vede k praxi zřídka se měnících hesel aplikačních účtů, aby se zabránilo rozrůstání adresářů, které vytváří jediný bod selhání v kritickém systému, jako je Active Directory.
- servisní účty : jsou místní nebo doménové účty, které aplikace nebo služba používá k interakci s operačním systémem. V některých případech mají tyto účty služeb oprávnění správce domén v závislosti na požadavcích aplikace, pro kterou se používají.
- účty pro správu domény: Super administrátoři, kteří mají privilegovaný přístup na všech pracovních stanicích a serverech v doméně organizace a poskytují nejrozsáhlejší přístup v síti. S úplnou kontrolou nad všemi řadiči domén a schopností upravit členství každého správního účtu v doméně jsou pro organizace neustálou hrozbou a hackeři jsou široce terčem.
- privilegované Uživatelské účty : jsou uživatelé, kterým jsou systémům udělena oprávnění správce. Privilegované Uživatelské Účty jsou jednou z nejčastějších forem účty umožněn přístup na podnikové domény, který umožňuje uživatelům mít admin práva, například jejich místních počítačích nebo celé systémy, které spravují. Tyto účty mají často jedinečná a složitá hesla, ale většinou jsou chráněna pouze hesly.
Dozvědět se více o tom, jak chránit své PAM uživatelů
PAM Multi Faktor Autentizace
Pro firmy běží PAM řešení, přišel čas vybrat si správnou platformu pro přístup, že řešení, které bude mít privilegované účty bezpečné.
řešení Vícefaktorové autentizace (MFA) je nutností. Jak dospěla nedávná výzkumná práce společnosti Gartner k závěru: „minimálně by CISO měly zavést povinnou multifaktorovou autentizaci (MFA) pro všechny správce.“
výběr řešení s vysokou jistotou bez hesla dělá více než zabezpečené ověřovací systémy. To také eliminuje náklady spojené s hesly, jako jsou help desk volání a resetování hesla. Kromě toho going passwordless přináší uživatelský komfort (UX) na novou úroveň tím, že zjednoduší proces ověřování. Žádné další ukládání a zapamatování pověření a žádné další přenášení dalších zařízení pro ověření.
číst celý článek-privilegovaní uživatelé jsou privilegovanými cíli
tajné řešení ověřování CyberArk s dvojitou chobotnicí
privilegovaný přístup, odkazuje na přístup k systému (on-premise nebo cloud), který je nad benchmarkem pravidelné přihlášení uživatele příliš. Organizace mají různé úrovně systémů podle úrovně rizika spojeného s porušením / zneužitím systému.
privilegované přístupové účty jsou uživatelé, kteří mají přístup k systémovým kritickým prostředkům, a proto je třeba je chránit a monitorovat.
PAM pomáhá zákazníkům zabezpečit a ovládat své uživatelské účty privilege, aby zajistila lepší bezpečnost a správu a také dodržovala některé předpisy.
privilegovaná správa identit (Pim) a správa privilegovaného přístupu (Pam) se často používají zaměnitelně a znamenají totéž-zabezpečení – řízení, správu a monitorování privilegovaného přístupu ke kritickým aktivům.
PAM řešení vzít privilegované pověření účtu-tj admin účty – a dát je do zabezpečeného úložiště-trezoru. Jakmile je uvnitř trezoru, správci systému, je třeba jít přes PAM systému pro přístup k pověření, na kterém místě oni jsou ověřené a jejich přístup je zaznamenána. Když je pověření zkontrolováno zpět, je resetováno, aby se zajistilo, že správci budou muset příště projít systémem PAM, když budou chtít použít pověření.
obecně řečeno, PAM nepotřebuje AD DS. Při nasazení AD, PAM cílem je obnovit kontrolu nad ohrožena Active Directory prostředí tím, že udržuje ojedinělý, vysoce zabezpečené prostředí pro privilegovaného pověření účtu.
PAM lze integrovat s AD DS pro ověření a autorizaci účtu domény.
PAM vytváří izolované, vysoce zabezpečené a přísně kontrolované prostředí pro ukládání privilegovaných pověření a kontrolu přístupu k nim. Zajišťuje také granulární sledování využití privilegovaných účtů (tj. admin účty), které jsou obvykle sdílené účty.
Privilegovaných uživatelských relací, chrání cílené systémů tím, že umožňuje přístup bez odhalení citlivých pověření využití bezpečné skok server (zajištěné administrativní host), Sledovat a zaznamenávat privilegovaných sezení splnit požadavky auditu a zastavit podezřelé privilegovaných relací v reálném čase.