Privileged Access Management
Privileged Access Management (Pam) tarkoittaa ratkaisuluokkaa, joka auttaa turvaamaan, valvomaan, hallinnoimaan ja valvomaan etuoikeutettua pääsyä kriittisiin omaisuuseriin.
näiden tavoitteiden saavuttamiseksi PAM – ratkaisut ottavat tyypillisesti etuoikeutettujen tilien – eli ylläpitotilien-tunnukset ja laittavat ne suojattuun arkistoon (holviin) eristäen etuoikeutettujen tilien käytön vähentääkseen näiden tunnusten varastamisen riskiä. Kun järjestelmänvalvojat ovat sisällä arkistossa, heidän on käytävä läpi Pam-järjestelmä päästäkseen käsiksi heidän tunnuksiinsa, jolloin ne todennetaan ja heidän pääsynsä kirjataan. Kun hyvitys tarkistetaan takaisin, se nollataan sen varmistamiseksi, että järjestelmänvalvojat joutuvat käymään läpi PAM-järjestelmän seuraavan kerran, kun he haluavat käyttää tilitietoa.
keskittämällä etuoikeutetut tunnukset yhteen paikkaan PAM-järjestelmät voivat varmistaa heille korkean turvallisuustason, valvoa, kuka käyttää niitä, kirjata kaikki tunnukset ja valvoa epäilyttävää toimintaa.
Gartnerin etuoikeutettujen käyttöoikeuksien hallinnalla on seuraavat alaluokat:
- Shared access password manager (SAPM)
- Superuser password manager (SUPM)
- privileged session manager (PSM)
- Application access password manager (AAPM)
järjestelmät .
salasanat voivat noudattaa varsinaista salasanakäytäntöä ja ne voivat olla jopa kertakäyttöisiä. Session brokers eli PSMs vie PAMin toiselle tasolle varmistaen, että järjestelmänvalvojat eivät koskaan näe salasanoja, heidän kovettuneet välityspalvelimensa, kuten jump-palvelimet, valvovat myös aktiivisia istuntoja ja antavat arvostelijoille mahdollisuuden pysäyttää järjestelmänvalvojan istunnot, jos he näkevät jotain vikaa. Samoin AAPMs voi vapauttaa tunnistetiedot juuri-in-time for application-to-application, ja jopa muokata käynnistyskomentoja korvata kovakoodatut salasanat API puhelut salasanaholviin.
lisätietoja PAM-käyttäjien suojaamisesta
CyberArk, etuoikeutetun tilinhallinnan markkinajohtaja toteaa, että kyseessä on 7-tyyppinen PAM-tili yrityksessä:
- Hätätilit : tarjoa käyttäjille järjestelmänvalvojan pääsy suojattuihin järjestelmiin hätätilanteessa. Pääsy näihin tileihin edellyttää IT-johdon hyväksyntää turvallisuussyistä, se on yleensä manuaalinen prosessi, jolla ei ole mitään turvatoimia.
- paikalliset hallinnolliset tilit : ovat jaettuja tilejä, jotka tarjoavat hallinnollisen pääsyn vain paikalliseen isäntään tai istuntoon. IT-henkilöstö käyttää näitä paikallisia tilejä rutiininomaisesti työasemien ja myös palvelimien, verkkolaitteiden, palvelimien pääkehysten ja muiden sisäisten järjestelmien ylläpitoon. Aiemmin on todistettu, että IT-ammattilaiset teltan käyttää uudelleen salasanoja koko organisaation helppokäyttöisyys. Tätä jaettua salasanaa käytetään joskus tuhansissa palvelimissa ja palveluissa, ja se on kohde, jota kehittyneiden pysyvien uhkien tiedetään käyttävän hyväkseen.
- Sovellustilit : Sovellukset käyttävät näitä tilejä päästäkseen tietokantoihin, ajaakseen cron-töitä tai skriptejä tai tarjotakseen pääsyn muihin sovelluksiin. Näillä etuoikeutetuilla tileillä on yleensä pääsy arkaluonteisiin kriittisiin tietoihin, jotka sijaitsevat sovelluksissa ja tietokannoissa, esimerkiksi Zapier-integroiduissa tileissä. Näiden tilien salasanat on usein upotettu ja tallennettu tavallisiin tekstitiedostoihin, haavoittuvuus, joka kopioidaan useiden kanavien ja palvelimien kautta sovellusten perivian aikaansaamiseksi. Tämä haavoittuvuus on hyvin tiedossa ja se on suunnattu advance persistent threats (APT) .
- Active Directory tai Windows domain service account : ovat vähintäänkin haastavia, salasanamuutokset voivat olla vieläkin haastavampia, koska ne vaativat synkronointia useiden ekosysteemien ja sovellusten välillä . Tämä haaste johtaa usein käytäntöön, jossa harvoin vaihdetaan sovellustilien salasanoja, jotta vältytään hakemiston leviämiseltä, joka luo yhden vikapisteen kriittisessä järjestelmässä, kuten Active Directoryssa.
- Palvelutilit : ovat paikallisia tai toimialueen tilejä, joita sovellus tai palvelu käyttää vuorovaikutuksessa käyttöjärjestelmän kanssa. Joissakin tapauksissa näillä palvelutileillä on hallinnollisia oikeuksia verkkotunnuksissa riippuen sovelluksen vaatimuksista, joihin niitä käytetään.
- Domain Administrative Accounts : Super-järjestelmänvalvojat, joilla on etuoikeutettu pääsy kaikkiin organisaation toimialueen työasemiin ja palvelimiin ja jotka tarjoavat laajimman pääsyn koko verkkoon. Täysin hallita kaikkia verkkotunnuksen ohjaimet ja kyky muuttaa jäsenyyden jokaisen hallinnollisen tilin sisällä verkkotunnuksen, ne ovat jatkuva uhka organisaatioille ja ovat laajalti kohteena hakkerit.
- etuoikeutetut käyttäjätilit : ovat käyttäjiä, joille on myönnetty järjestelmien hallinnolliset oikeudet. Etuoikeutetut käyttäjätilit ovat yksi yleisimmistä yritystoimialueelle myönnetyistä tilien käyttöoikeusmuodoista, jolloin käyttäjillä on hallintaoikeuksia esimerkiksi paikallisilla työpöydillään tai hallinnoimissaan järjestelmissä. Usein näillä tileillä on ainutlaatuisia ja monimutkaisia salasanoja, mutta useimmiten ne on suojattu pelkillä salasanoilla.
lisätietoja siitä, miten suojata PAM-käyttäjät
Pam-Monitehotodennus
Pam-ratkaisua käyttävien yritysten on tullut aika valita oikea alusta käyttää kyseistä ratkaisua, joka pitää etuoikeutetut tilit turvassa.
Monitehotodennus (Multi factor Authentication, MFA) on välttämätön ratkaisu. Äskettäin julkaistussa Gartner research paper-julkaisussa todettiin: ”CISOs: n tulisi vähintään asettaa pakollinen monitekijätodentaminen (MFA) kaikille ylläpitäjille.”
salasanattoman korkean varmuuden ratkaisun valitseminen tekee muutakin kuin varmennusjärjestelmiä. Se poistaa myös salasanoihin liittyvät kustannukset, kuten help desk-puhelut ja salasanan nollaukset. Lisäksi salasanattomaksi meneminen nostaa käyttäjäkokemuksen (UX) uudelle tasolle tehostamalla todennusprosessia. Ei enää valtakirjojen tallentamista ja muistamista, eikä enää lisälaitteiden kantamista mukana varmennusta varten.
Lue koko artikkeli – etuoikeutetut käyttäjät ovat etuoikeutettuja kohteita
Secret Double Octopus CyberArk Authentication Solution
etuoikeutetulla pääsyllä tarkoitetaan pääsyä järjestelmään (on-premise tai cloud), joka on vertailuarvon yläpuolella myös säännöllinen käyttäjätunnus. Organisaatioilla on erilaisia järjestelmätasoja sen mukaan, kuinka suuri riski järjestelmän rikkomiseen/väärinkäyttöön liittyy.
etuoikeutetut käyttöoikeustilit ovat käyttäjiä, joilla on pääsy järjestelmän kriittisiin resursseihin, joten niitä on suojattava ja valvottava.
Pam auttaa asiakkaita turvaamaan ja valvomaan etuoikeutettuja käyttäjätilejään paremman turvallisuuden ja hallinnon varmistamiseksi sekä noudattamaan joitakin säännöksiä.
etuoikeutetun identiteetin hallintaa (Privileged identity management, Pim) ja etuoikeutetun käyttöoikeuden hallintaa (privileged access management, Pam) käytetään usein keskenään ja niillä tarkoitetaan samaa asiaa – kriittisten omaisuuserien etuoikeutetun käyttöoikeuden turvaamista, valvontaa, hallintaa ja valvontaa.
PAMin ratkaisuissa otetaan etuoikeutetut tilitiedot – eli hallintatilit – ja laitetaan ne suojattuun arkistoon eli holviin. Holvin sisälle päästyään järjestelmän ylläpitäjien on käytävä läpi Pam-järjestelmä päästäkseen käsiksi tunnuksiin, jolloin ne todennetaan ja niiden käyttö kirjaudutaan. Kun hyvitys tarkistetaan takaisin sisään, se nollataan, jotta järjestelmänvalvojat joutuvat käymään läpi PAM-järjestelmän seuraavan kerran, kun he haluavat käyttää tilitietoa.
yleisesti ottaen PAM ei tarvitse add: tä. Kun Pam otetaan käyttöön AD: n kanssa, sen tarkoituksena on palauttaa vaarannetun Active Directory-ympäristön hallinta ylläpitämällä eristettyä, erittäin suojattua ympäristöä etuoikeutetuille tilitunnuksille.
PAM voidaan integroida AD DS: ään domain-tilin todentamista ja valtuutusta varten.
PAM luo eristetyn, erittäin turvatun ja tiukasti valvotun ympäristön etuoikeutettujen tunnusten säilyttämiselle ja niiden käytön valvonnalle. Se varmistaa myös rakeisen käytön seurannan etuoikeutetuille tileille (ts. admin accounts), jotka ovat tyypillisesti jaettuja tilejä.
etuoikeutetut käyttäjäistunnukset suojaavat kohdennettuja järjestelmiä mahdollistamalla pääsyn paljastamatta arkaluonteisia valtuuksia hyödyntämällä suojattua jump-palvelinta (secured administrative host), valvomalla ja tallentamalla etuoikeutettuja istuntoja tarkastusvaatimusten täyttämiseksi ja pysäyttämällä epäilyttävät etuoikeutetut istunnot reaaliajassa.