privilegizált hozzáférés-kezelés
a privilegizált hozzáférés-kezelés (privilegizált hozzáférés-kezelés) a kritikus eszközökhöz való privilegizált hozzáférés biztosítását, ellenőrzését, kezelését és felügyeletét segítő megoldások osztályára utal.
elérni ezeket a célokat, PAM megoldások rendszerint hogy a hitelesítő adatok bizalmas számlák – azaz az admin számlák–, majd tegye be őket egy biztonságos adattár (egy páncélterem) leválasztó használata bizalmas számlák kockázatának csökkentése érdekében azokat az adatokat, hogy lopott. Miután belépett a tárolóba, a rendszergazdáknak át kell menniük a Pam rendszeren, hogy hozzáférjenek hitelesítő adataikhoz, ekkor hitelesítik őket, és hozzáférésük naplózásra kerül. Amikor egy hitelesítő adatokat vissza, akkor vissza kell állítani, hogy a rendszergazdák, hogy menjen át a Pam rendszer legközelebb akarják használni a hitelesítő adatok.
Által központosítása kiváltságos hitelesítő adatok egy helyen, PAM rendszerek biztosítják a magas szintű biztonsági őket irányítani, aki hozzáfér őket, jelentkezzen be minden hozzáfér, illetve monitor minden gyanús tevékenység.
Kiváltságos Hozzáférés Menedzsment által Gartner a következő alkategóriák:
- Megosztott access password manager (SAPM)
- Root password manager (SUPM)
- Kiváltságos munkamenet-kezelő (PSM)
- Alkalmazás access password manager (AAPM)
PAM jelszó boltívek (SAPM) rendelkezik egy plusz réteg felett adminok, illetve jelszó politikák, valamint a felügyeleti pályák kiváltságos hozzáférést kritikus rendszerek .
A jelszavak a jelszópolitikák verabilitását követhetik, sőt eldobható is lehetnek. Session brokers, vagy PSMs, hogy PAM egy másik szintre, annak biztosítása, hogy a rendszergazdák soha nem látja a jelszavakat, a megkeményedett proxy szerverek, mint a jump szerverek is figyelemmel kíséri az aktív ülés, és lehetővé teszi a bírálók megállítani admin ülés, ha látnak valami rosszat. Hasonlóképpen, az AAPMs csak időben bocsáthatja ki a hitelesítő adatokat az alkalmazás-alkalmazás kommunikációhoz, sőt módosíthatja az indítási szkripteket is, hogy a kódolt jelszavakat API-hívásokkal helyettesítse a jelszó-tárolóba.
Tudjon meg többet a Pam-felhasználók védelméről
CyberArk, a privilegizált Fiókkezelés piacvezetője kijelenti, hogy 7 típusú Pam-fiók van egy vállalkozásban:
- vészhelyzeti fiókok : rendszergazdai hozzáférést biztosít a biztonságos rendszerekhez vészhelyzet esetén. Ezekhez a fiókokhoz való hozzáférés biztonsági okokból informatikai menedzsment jóváhagyást igényel, ez általában egy kézi folyamat, amely nem rendelkezik biztonsági intézkedésekkel.
- helyi adminisztrációs fiókok: olyan megosztott fiókok, amelyek rendszergazdai hozzáférést biztosítanak a helyi gazdagéphez vagy munkamenethez. Ezeket a helyi fiókokat az informatikai személyzet rendszeresen használja munkaállomások karbantartására, valamint szerverek, hálózati eszközök, szerverek mainframe-ek és egyéb belső rendszerek. A múltban bebizonyosodott, hogy az informatikai szakemberek sátorban használják a jelszavakat egy szervezeten keresztül a könnyű használat érdekében. Ezt a megosztott jelszót valamikor több ezer szerveren és szolgáltatáson keresztül használják, és olyan célpont, amelyről ismert, hogy a fejlett, állandó fenyegetések kihasználhatók.
- Alkalmazásfiókok : Ezeket a fiókokat az alkalmazások használják adatbázisok elérésére, cron feladatok vagy szkriptek futtatására, vagy más alkalmazásokhoz való hozzáférés biztosítására. Ezek a privilegizált fiókok általában olyan érzékeny kritikus információkhoz férnek hozzá, amelyek alkalmazásokban és adatbázisokban, például Zapier integrált fiókokban találhatók. Jelszavak ezek a beszámolók gyakran beágyazott tárolt egyszerű szöveges fájlok, egy rés csak másolt több csatornán keresztül, valamint a szerverek biztosítása, örökölt hibám, alkalmazások. Ezt a sebezhetőséget jól ismerik, és az előzetes állandó fenyegetések (APT) célozzák meg .
- Active Directory vagy Windows domain service account: egy kihívás, hogy biztosítsa, hogy mondjuk a legkevésbé, jelszó változások lehet még nagyobb kihívást jelent, mivel szükség szinkronizálás több ökoszisztémák és alkalmazások . Ez a kihívás gyakran vezet a gyakorlatban ritkán változó alkalmazás fiók jelszavakat, hogy elkerüljék a könyvtár elterjedése, amely létrehoz egy pont a hiba egy kritikus rendszer, mint például az Active Directory.
- szolgáltatási fiókok: olyan helyi vagy domain fiókok, amelyeket egy alkalmazás vagy szolgáltatás használ az operációs rendszerrel való interakcióhoz. Bizonyos esetekben ezek a szolgáltatási fiókok adminisztrációs jogosultságokkal rendelkeznek a domaineken, az általuk használt alkalmazás követelményei alapján.
- Domain Rendszergazdai Fiókok : Super adminok, akik kiváltságos hozzáférés az összes munkaállomások, szerverek a szervezeten belül domain, valamint rendelkezik a legszélesebb körű hozzáférést a hálózaton keresztül. A teljes ellenőrzést az összes domain vezérlők, valamint a képesség, hogy módosítsa a tagság minden adminisztratív számla a tartományon belül, ezek állandó veszélyt jelentenek a szervezetek, valamint széles körben célzott hackerek.
- privilegizált Felhasználói fiókok: olyan felhasználók, akik rendszergazdai jogosultságokat kapnak a rendszerekhez. A privilegizált Felhasználói fiókok a vállalati domainen nyújtott Fiókhozzáférés egyik leggyakoribb formája, amely lehetővé teszi a felhasználók számára, hogy rendszergazdai jogokkal rendelkezzenek például a helyi asztali számítógépeken vagy az általuk kezelt rendszereken. Ezek a fiókok gyakran egyedi és összetett jelszavakkal rendelkeznek, de legtöbbször csak jelszavak védik őket.
Tudjon meg többet a Pam-felhasználók védelméről
Pam Multi Factor Authentication
A Pam-megoldást futtató vállalatok számára eljött az idő, hogy kiválassza a megfelelő platformot ahhoz a megoldáshoz, amely a privilegizált fiókokat biztonságban tartja.
A Multi factor Authentication (MFA) megoldás elengedhetetlen. Amint egy nemrégiben készült Gartner kutatási cikk megállapította: “a CISOs-nak legalább kötelező többfaktoros hitelesítést (MFA) kell indítania minden rendszergazda számára.”
a jelszómentes nagy megbízhatósági megoldás kiválasztása több, mint a biztonságos hitelesítési rendszerek. Ezenkívül kiküszöböli a jelszavakkal, például a help desk hívásokkal és a jelszó visszaállításával kapcsolatos költségeket. Továbbá, megy passwordless hozza felhasználói élmény (UX) egy új szintre, egyszerűsítésével a hitelesítési folyamat. Nincs több hitelesítő adatok tárolása és megjegyzése, és nincs több kiegészítő eszköz az ellenőrzéshez.
olvassa el a teljes cikket-a kiváltságos felhasználók privilegizált célok
titkos kettős polip CyberArk hitelesítési megoldás
privilegizált hozzáférés, olyan rendszerhez való hozzáférésre utal (helyszíni vagy felhő), amely a referenciaérték felett van, rendszeres felhasználói bejelentkezés is. A szervezetek különböző szintű rendszerekkel rendelkeznek a rendszer megsértésével/visszaélésével kapcsolatos kockázat szintje szerint.
a privilegizált hozzáférési fiókok olyan felhasználók, akik hozzáférnek a rendszerkritikus erőforrásokhoz, ezért védeni és ellenőrizni kell őket.
A Pam segít az ügyfeleknek a privilégium felhasználói fiókok biztosításában és ellenőrzésében a jobb biztonság és irányítás biztosítása érdekében, valamint bizonyos szabályok betartásában.
Kiváltságos identitás kezelése (PIM), valamint a kiváltságos hozzáférés menedzsment (PAM) gyakran használják szinonimaként pedig ugyanazt jelenti – biztosítása, ellenőrzése, irányítása, illetve monitor kiváltságos hozzáférést kritikus eszközök.
A Pam solutions a privilegizált fiók hitelesítő adatait – azaz az adminisztrátori fiókokat – veszi figyelembe, majd egy biztonságos tárolóba – egy boltozatba helyezi őket. A vault belsejében a rendszergazdáknak át kell menniük a Pam rendszeren, hogy hozzáférjenek a hitelesítő adatokhoz, ekkor hitelesítik őket, és hozzáférésük naplózásra kerül. Amikor a hitelesítő adatok be vannak jelölve, visszaállításra kerül annak biztosítása érdekében, hogy a rendszergazdáknak legközelebb a Pam rendszeren keresztül kell menniük, amikor hitelesítő adatokat akarnak használni.
Általánosságban elmondható, hogy a PAM – nek nincs szüksége AD DS-re. Amikor telepített AD, PAM célja, hogy visszaállítsa az irányítást a veszélyeztetett Active Directory környezet fenntartásával egy elszigetelt,erősen biztonságos környezetben kiváltságos fiók hitelesítő.
A Pam integrálható az AD DS-be a domain-fiók hitelesítéséhez és engedélyezéséhez.
A PAM egy elszigetelt, rendkívül biztonságos és szigorúan ellenőrzött környezetet hoz létre a privilegizált hitelesítő adatok tárolására és a hozzájuk való hozzáférés ellenőrzésére. Azt is biztosítja, szemcsés használat nyomon követését privilegizált számlák (azaz. admin fiókok), amelyek általában megosztott fiókok.
Privilegizált felhasználói munkamenetek, védi célzott rendszereken keresztül történő hozzáférés nélkül kiteszik érzékeny hitelesítő kihasználva egy biztonságos ugrás server (biztosított közigazgatási fogadó), Monitor felvétel kiváltságos ülések találkozni ellenőrzési követelmények ne gyanús kiváltságos ülés a real-time.