Articles

Zarządzanie uprzywilejowanym dostępem

Zarządzanie uprzywilejowanym dostępem (Pam) odnosi się do klasy rozwiązań, które pomagają zabezpieczyć, kontrolować, zarządzać i monitorować uprzywilejowany dostęp do krytycznych zasobów.

aby osiągnąć te cele, rozwiązania PAM zazwyczaj pobierają poświadczenia kont uprzywilejowanych – tj. kont administratora – i umieszczają je w bezpiecznym repozytorium (skarbcu) izolując korzystanie z kont uprzywilejowanych w celu zmniejszenia ryzyka kradzieży tych poświadczeń. Po wejściu do repozytorium administratorzy systemu muszą przejść przez system PAM, aby uzyskać dostęp do swoich poświadczeń, w którym to momencie są uwierzytelnieni i ich dostęp jest rejestrowany. Gdy poświadczenie jest ponownie sprawdzane, jest ono resetowane, aby upewnić się, że administratorzy muszą przejść przez system PAM następnym razem, gdy będą chcieli użyć poświadczenia.

centralizując uprzywilejowane poświadczenia w jednym miejscu, systemy PAM mogą zapewnić im wysoki poziom bezpieczeństwa, kontrolować, kto ma do nich dostęp, rejestrować wszystkie dostępy i monitorować podejrzaną aktywność.

Zarządzanie dostępem uprzywilejowanym przez firmę Gartner ma następujące podkategorie:

  • Menedżer haseł dostępu Współdzielonego (SAPM)
  • Menedżer haseł superużytkownika (SUPM)
  • Menedżer sesji uprzywilejowanej (PSM)
  • Menedżer haseł dostępu do aplikacji (AAPM)

Pam password vaults (SAPM) zapewnia dodatkową warstwę kontroli nad administratorami i zasadami haseł, a także monitorowanie ścieżek uprzywilejowanego dostępu do krytycznych systemów.

hasła mogą być zgodne z zasadami haseł, a nawet mogą być jednorazowe. Brokerzy sesji lub PSMs przenoszą PAM na inny poziom, zapewniając, że administratorzy nigdy nie widzą haseł, ich utwardzone Serwery proxy, takie jak serwery skokowe, również monitorują aktywne sesje i umożliwiają recenzentom zatrzymanie sesji administracyjnych, jeśli zobaczą coś złego. Podobnie AAPMs może udostępniać poświadczenia just-in-time do komunikacji między aplikacjami, a nawet modyfikować skrypty startowe w celu zastąpienia zakodowanych haseł wywołaniami API do magazynu haseł.

Dowiedz się więcej o tym, jak chronić użytkowników PAM

CyberArk, lider na rynku w dziedzinie zarządzania kontami uprzywilejowanymi, twierdzi, że są to 7 typów kont Pam w przedsiębiorstwie:

  1. konta awaryjne : Zapewnij użytkownikom dostęp administratora do bezpiecznych systemów w przypadku awarii. Dostęp do tych kont wymaga zatwierdzenia zarządzania IT ze względów bezpieczeństwa, zwykle jest to proces ręczny, w którym nie ma żadnych środków bezpieczeństwa.
  2. lokalne konta administracyjne: są to konta współdzielone, które zapewniają dostęp administratora tylko do lokalnego hosta lub sesji. Te lokalne konta są rutynowo używane przez personel IT do konserwacji stacji roboczych, a także serwerów, urządzeń sieciowych, serwerów mainframe i innych systemów wewnętrznych. W przeszłości udowodniono, że specjaliści IT często używają haseł w całej organizacji w celu ułatwienia korzystania z nich. To wspólne hasło jest czasami używane na tysiącach serwerów i usług i jest celem, który znane są zaawansowane trwałe zagrożenia.
  3. konta aplikacyjne : Konta te są używane przez aplikacje do uzyskiwania dostępu do baz danych, uruchamiania zadań cron lub skryptów lub zapewniania dostępu do innych aplikacji. Te konta uprzywilejowane zwykle mają dostęp do poufnych krytycznych informacji, które znajdują się w aplikacjach i bazach danych, na przykład Zapier integrated accounts. Hasła do tych kont są często osadzane i przechowywane w plikach tekstowych, luka, która jest kopiowana przez wiele kanałów i serwerów, aby zapewnić dziedziczną usterkę dla aplikacji. Ta luka jest dobrze znana i jest celowana przez advance persistent threats (APT) .
  4. Active Directory lub Windows domain service account : są wyzwaniem do zabezpieczenia, delikatnie mówiąc, zmiany haseł mogą być jeszcze trudniejsze, ponieważ wymagają synchronizacji w wielu ekosystemach i aplikacjach . To wyzwanie często prowadzi do praktyki rzadko zmieniających się haseł kont aplikacji, aby uniknąć rozrastania się katalogów, co tworzy pojedynczy punkt awarii w krytycznym systemie, takim jak Active Directory.
  5. konta usług : to konta lokalne lub domenowe używane przez aplikację lub usługę do interakcji z systemem operacyjnym. W niektórych przypadkach konta te mają uprawnienia administracyjne dla domen w zależności od wymagań aplikacji, do której są używane.
  6. konta administracyjne domeny: Super administratorzy, którzy mają uprzywilejowany dostęp na wszystkich stacjach roboczych i serwerach w domenie organizacji i zapewniają najbardziej rozległy dostęp w całej sieci. Dzięki pełnej kontroli nad wszystkimi kontrolerami domeny i możliwości modyfikowania członkostwa każdego konta administracyjnego w domenie, są one stałym zagrożeniem dla organizacji i są szeroko atakowane przez hakerów.
  7. uprzywilejowane konta użytkowników : to użytkownicy, którym przyznano uprawnienia administracyjne do systemów. Uprzywilejowane konta użytkowników to jedna z najczęstszych form dostępu do kont przyznawanych w domenie korporacyjnej, pozwalająca użytkownikom mieć uprawnienia administratora na przykład na swoich lokalnych pulpitach lub w systemach, którymi zarządzają. Często konta te mają unikalne i złożone hasła, ale w większości przypadków są chronione przez same hasła.

Dowiedz się więcej o tym, jak chronić użytkowników PAM

Pam Multi Factor Authentication

w przypadku firm korzystających z rozwiązania PAM nadszedł czas, aby wybrać odpowiednią platformę dostępu do tego rozwiązania, która zapewni bezpieczeństwo kont uprzywilejowanych.

rozwiązanie Multi factor Authentication (MFA) jest koniecznością. Jak wynika z niedawnego artykułu badawczego firmy Gartner: „przynajmniej CISOs powinien wprowadzić obowiązkowe uwierzytelnianie wieloczynnikowe (MFA) dla wszystkich administratorów.”

wybór bez hasła rozwiązania high assurance to coś więcej niż bezpieczne systemy uwierzytelniania. Eliminuje również koszty związane z hasłami, takimi jak połączenia z help desk i resetowanie hasła. Co więcej, przejście bez hasła przenosi doświadczenie użytkownika (UX) na nowy poziom, usprawniając proces uwierzytelniania. Koniec z przechowywaniem i zapamiętywaniem poświadczeń oraz z przenoszeniem dodatkowych urządzeń do weryfikacji.

Przeczytaj cały artykuł-użytkownicy uprzywilejowani są uprzywilejowanymi celami

tajne rozwiązanie do uwierzytelniania CyberArk Double Octopus

co oznacza dostęp uprzywilejowany?

dostęp uprzywilejowany, odnosi się do dostępu do systemu (On-premise lub cloud), który jest powyżej poziomu referencyjnego zwykłego logowania użytkownika. Organizacje mają różne poziomy systemów w zależności od poziomu ryzyka związanego z naruszeniem / niewłaściwym użyciem systemu.
konta uprzywilejowane to użytkownicy, którzy mają dostęp do krytycznych zasobów systemu, dlatego muszą być chronione i monitorowane.

jakie problemy rozwiązuje PAM?

Pam pomaga klientom zabezpieczyć i kontrolować swoje konta użytkowników, aby zapewnić lepsze bezpieczeństwo i zarządzanie, a także przestrzegać niektórych przepisów.

Jaka jest różnica między zarządzaniem tożsamością uprzywilejowaną a zarządzaniem dostępem uprzywilejowanym?

zarządzanie tożsamością uprzywilejowaną (Pim) i zarządzanie dostępem uprzywilejowanym (Pam) są często używane zamiennie i oznaczają to samo – zabezpieczanie, kontrolowanie, Zarządzanie i monitorowanie uprzywilejowanego dostępu do krytycznych zasobów.

jak działa PAM?

rozwiązania PAM przyjmują poświadczenia konta uprzywilejowanego – tj. konta administratora – i umieszczają je w bezpiecznym repozytorium – skarbcu. Po wejściu do skarbca administratorzy systemu muszą przejść przez system PAM, aby uzyskać dostęp do poświadczeń, w którym to momencie są one uwierzytelniane, a ich dostęp jest rejestrowany. Gdy poświadczenie jest ponownie sprawdzane, jest ono resetowane, aby upewnić się, że administratorzy muszą przejść przez system PAM następnym razem, gdy będą chcieli użyć poświadczenia.

czy PAM wykorzystuje możliwości w AD DS?

Ogólnie Rzecz Biorąc, PAM nie potrzebuje AD DS. Po wdrożeniu z AD celem PAM jest przywrócenie kontroli nad zagrożonym środowiskiem Active Directory poprzez utrzymywanie izolowanego, wysoce zabezpieczonego środowiska dla poświadczeń konta uprzywilejowanego.

PAM można zintegrować z AD DS w celu uwierzytelnienia i autoryzacji konta domeny.

jakie zalety oferuje PAM?

Pam tworzy odizolowane, wysoce zabezpieczone i ściśle kontrolowane środowisko do przechowywania uprzywilejowanych poświadczeń i kontrolowania dostępu do nich. Zapewnia również szczegółowe śledzenie użycia kont uprzywilejowanych (np. konta administratora), które zazwyczaj są kontami współdzielonymi.

co to jest Menedżer sesji uprzywilejowanych?

uprzywilejowane sesje użytkowników, chroni ukierunkowane systemy poprzez umożliwienie dostępu bez ujawniania poufnych poświadczeń, wykorzystując bezpieczny serwer skoku (Bezpieczny host administracyjny), monitoruj i nagrywaj uprzywilejowane sesje, aby spełnić wymagania audytu i zatrzymać podejrzane uprzywilejowane sesje w czasie rzeczywistym.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *