Privileged Access Management
Privileged Access Management (PAM) refere-se a uma classe de soluções que ajudam a garantir, controlar, gerir e monitorizar o acesso privilegiado a activos críticos.
Para atingir estes objectivos, o PAM soluções tipicamente, as credenciais de contas privilegiadas – i.e. administração de contas de e colocá-los dentro de um repositório seguro (uma abóbada) isolar o uso de contas privilegiadas para reduzir o risco de essas credenciais sendo roubado. Uma vez dentro do repositório, os administradores de sistema precisam passar pelo sistema PAM para acessar suas credenciais, em que ponto eles são autenticados e seu acesso é registrado. Quando uma credencial é checada de volta, é reinicializado para garantir que os administradores têm que passar pelo sistema PAM da próxima vez que eles querem usar a credencial.ao centralizar credenciais privilegiadas em um só lugar, os sistemas PAM podem garantir um alto nível de segurança para eles, controlar quem está acessando, registrar todos os acessos e monitorar qualquer atividade suspeita.
o Acesso Privilegiado de Gestão do Gartner tem as seguintes subcategorias:
- acesso Compartilhado gestor de palavra-passe (SAPM)
- Superusuário gestor de palavra-passe (SUPM)
- Privilegiado gerenciador de sessão (PSM)
- o acesso do Aplicativo gerenciador de senha (AAPM)
PAM senha abóbadas (SAPM) fornece uma camada extra de controle sobre os administradores e políticas de palavra-passe, bem como o monitoramento de trilhas de acesso privilegiado aos sistemas críticos .
senhas podem seguir uma veracidade das políticas de senha e podem até ser descartáveis. Corretores de sessão, ou PSMs, levam o PAM para outro nível, garantindo que os administradores nunca vejam as senhas, seus servidores proxy endurecidos, como servidores de salto, também monitoram sessões ativas, e permitem que os revisores parem as sessões de Administração se virem algo errado. Da mesma forma, o AAPMs pode liberar credenciais apenas a tempo para a comunicação aplicação-a-aplicação, e até mesmo modificar scripts de inicialização para substituir senhas codificadas por chamadas de API para o cofre de senha.
Saiba mais sobre como proteger os seus utilizadores PAM
CyberArk, um líder de mercado no domínio da Gestão de contas privilegiadas afirma que são 7 tipos de contas PAM numa empresa:
- contas de emergência : fornecer aos utilizadores acesso administrativo a sistemas seguros em caso de emergência. O acesso a essas contas requer aprovação de gestão de TI por razões de segurança, geralmente é um processo manual que carece de quaisquer medidas de segurança.
- contas administrativas locais : são contas partilhadas que fornecem acesso administrativo apenas à máquina ou sessão local. Estas contas locais são usadas rotineiramente pela equipe de TI para manutenção em estações de trabalho e também servidores, dispositivos de rede, mainframes de servidores e outros sistemas internos. Já foi provado no passado que os profissionais de TI tent para reutilizar senhas em uma organização para facilidade de uso. Esta senha compartilhada é em algum momento usada em milhares de servidores e serviços e é um alvo que ameaças persistentes avançadas são conhecidas por explorar.contas de Aplicação : Estas contas são usadas por aplicativos para acessar bases de dados, executar trabalhos cron ou scripts, ou fornecer acesso a outras aplicações. Essas contas privilegiadas geralmente têm acesso a informações críticas sensíveis que residem em aplicações e bancos de dados, por exemplo, contas integradas Zapier. As senhas para estas contas são muitas vezes incorporadas e armazenadas em arquivos de texto simples, uma vulnerabilidade que é copiada através de vários canais e servidores para fornecer uma falha herdada para aplicações. Esta vulnerabilidade é bem conhecida e é alvo de ameaças persistentes avançadas (APT) .
- Active Directory ou Windows domain service account: Are a challenge to secure to say the least, password changes can be even more challenging as they require synchronization across multiple ecosystems and applications . Este Desafio muitas vezes leva a uma prática de raramente mudar senhas de conta de aplicação para evitar a expansão de diretórios que cria um único ponto de falha em um sistema crítico, como o Diretório Ativo.
- contas de Serviço : são contas locais ou de domínio que são usadas por uma aplicação ou serviço para interagir com o sistema operacional. Em alguns casos, estas contas de serviço têm privilégios administrativos em domínios, dependendo dos requisitos da aplicação para a qual são utilizadas.contas administrativas do domínio: super administradores que têm acesso privilegiado em todas as estações de trabalho e servidores dentro do domínio da organização e fornecem o acesso mais extenso em toda a rede. Com o controle completo sobre todos os controladores de domínio e a capacidade de modificar os membros de cada conta administrativa dentro do domínio, eles são uma ameaça constante para as organizações e são amplamente visados pelos hackers.
- contas de utilizador privilegiadas : são utilizadores a quem são concedidos privilégios administrativos aos sistemas. As contas de usuário privilegiadas são uma das formas mais comuns de acesso de contas concedidas em um domínio de empresa, permitindo que os usuários tenham direitos de administração em, por exemplo, seus desktops locais ou em todos os sistemas que gerem. Muitas vezes, essas contas têm senhas únicas e complexas, mas a maioria das vezes são protegidas apenas por senhas.
Saiba mais sobre como proteger os seus utilizadores PAM
PAM autenticação multi Factor
para as empresas que executam uma solução PAM, chegou o momento de escolher a plataforma correcta para aceder a essa solução que manterá as contas privilegiadas seguras.
uma solução de autenticação multi factor (MFA) é uma obrigação. Como um recente documento de pesquisa Gartner concluiu: “no mínimo, CISOs deve instituir autenticação multifactor obrigatória (MFA) para todos os administradores.”
escolher uma solução de alta segurança sem senha faz mais do que Sistemas de autenticação seguros. Ele também elimina o custo associado com senhas, tais como Chamadas de Help desk e resets de senha. Além disso, ir passwordless traz a experiência do usuário (UX) para um novo nível, simplificando o processo de autenticação. Chega de armazenar e lembrar credenciais, e chega de transportar dispositivos adicionais para verificação.leia o artigo completo. os utilizadores privilegiados são alvos privilegiados. solução secreta de autenticação do polvo Duplo.
acesso privilegiado, refere-se ao acesso a um sistema (on-premise ou cloud) que está acima do benchmark um login de usuário regular também. As organizações têm diferentes níveis de sistemas de acordo com o nível de risco associado à violação/abuso do sistema.as contas de acesso privilegiado são os usuários que têm acesso a recursos críticos do sistema, portanto, precisam ser protegidos e monitorados.que problemas o PAM ajuda a resolver?
PAM ajuda os clientes a proteger e controlar suas contas de usuário privilegiadas para garantir uma melhor segurança e governança, e também cumprir com alguns regulamentos.
PAM pode ser integrado com AD DS para autenticação e autorização de conta de domínio.que vantagens oferece a PAM? a PAM cria um ambiente isolado, altamente seguro e fortemente controlado para armazenar credenciais privilegiadas e controlar o acesso a elas. Ele também garante rastreamento de uso granular para contas privilegiadas (i.e. contas admin), que são normalmente contas compartilhadas.
sessões de utilizador privilegiadas, protege os sistemas visados, permitindo o acesso sem expor credenciais sensíveis, alavancando um servidor de salto seguro (servidor administrativo seguro), monitorando e gravando sessões privilegiadas para cumprir os requisitos de auditoria e parar as sessões privilegiadas suspeitas em tempo real.