Zarządzanie dostępem uprzywilejowanym

Systemy klasy PAM (Zarządzanie dostępem uprzywilejowanym) stanowią jeden z najistotniejszych elementów ochrony infrastruktury IT. Stosowane są przede wszystkim do ochrony poświadczeń kont nieimiennych (konta współdzielone i konta techniczne), zwłaszcza dla krytycznych elementów środowiska informatycznego. Stosowanie odpowiednich polityk dla zachowania bezpieczeństwa haseł kont takich jak root, admin, sys, dba itd. bardzo często jest utrudnione i wymaga ręcznej pracy zespołów IT i bezpieczeństwa. Automatyzacja procesu zarządzania poświadczeniami (w tym rotacji i szyfrowania haseł) oraz zabezpieczenie i weryfikacja dostępu do kont o wysokich uprawnieniach, jest podstawową inicjatywą projektową.

  • Obszar PIM/PAM (Privilege Identity Management, Privilege Access Management) jest wskazywany przez Gartner jako jedna z najistotniejszych inwestycji w obszarze bezpieczeństwa IT.
  • Systemy PAM adresują trzy podstawowe potrzeby – zarządzanie hasłami kont uprzywilejowanych, organizacja dostępu i rozliczalność użycia kont z wysokimi uprawnieniami, nagrywanie sesji zdalnych.
  • Naturalnym rozwinięciem systemów PAM są rozwiązania PEDM (Privilege Elevation and Delegation Management) pozwalające na precyzyjne ustawienie uprawnień konta.
  • Podstawowym założeniem dla systemów PAM jest zarządzanie kontami współdzielonymi i technicznymi, ale wskazana jest także obsługa kont uprzywilejowanych imiennych.
  • Poprawne wdrożenie systemu PAM to proces, który trwa średnio od 4 do 8 tygodni.
  • Gartner zalicza do grona liderów obszaru PAM m.in. rozwiązania BeyondTrust, CyberArk, Wallix.
  • Systemem promowanym przez EMS Partner jest BeyondTrust Password Safe.

Warto przeczytać

Nie tylko nagrywanie sesji

Rozwiązania PIM/PAM (Privilege Identity Management, Privilege Access Management) bardzo często są postrzegane jako systemy nagrywające sesje zdalne administratorów IT oraz kontraktorów. Naturalnie, rejestracja sesji jest jedną z kluczowych funkcji tej klasy narzędzi, jednak warto mieć na uwadze, że istota zarządzania dostępem uprzywilejowanym (czy też zarządzanie tożsamością uprzywilejowaną) nie sprowadza się wyłącznie do generowania nagrań. Równie istotną kwestią, szczególnie z perspektywy ochrony krytycznych kont, jest wdrożenie mechanizmów pozwalających na ograniczenie i rozliczenie użycia kont uprzywilejowanych.

Równie istotnym aspektem projektowym jest, z perspektywy bezpieczeństwa, możliwość odseparowania użytkowników od haseł. Prawidłowo wdrożony system PIM/PAM pozwala administratorom wykonywać pracę, bez ograniczania ich produktywności, poprzez nawiązanie sesji z wykorzystaniem konta uprzywilejowanego i automatycznym podstawieniem poświadczeń tego konta. Administrator tym samym może wykonywać działania z wykorzystaniem kont krytycznych, ale nie jest obciążony odpowiedzialnością związaną ze znajomością hasła. Za proces zmiany haseł – czy to cyklicznie, czy po każdym użyciu konta – odpowiada już system PAM.

System PAM i kontraktorzy

Jednym z motorów napędowych dla projektów związanych z ochroną kont o wysokich uprawnieniach jest chęć kontroli na kontraktorami, którzy w ramach umów serwisowych mają dostęp do krytycznej infrastruktury informatycznej. Niezależnie od tego, czy dotyczy to urządzeń sieciowych, serwerów, czy też środowisk OT/SCADA – brak kontroli nad działaniami przedstawicieli firm trzecich stanowi źródło niepokoju dla zespołów IT oraz bezpieczeństwa. Gdy świadomość ryzyka oraz potrzeba zaadresowania tego obszaru jest wysoka, organizacje zaczynają rozważać mechanizmy zabezpieczające. W takich sytuacjach system PIM/PAM jest pierwszym wyborem. Naturalnie, systemy zarządzania dostępem uprzywilejowanym, z uwagi na zaawansowane mechanizmy kontroli dostępu, podstawiania poświadczeń i nagrywania sesji, z nawiązką pokryją potrzeby związane z takim przypadkiem użycia. Warto jednak mieć na uwadze, że są to systemy zbudowane głównie z myślą o infrastrukturze wewnętrznej, a ich przeznaczeniem to przede wszystkim ochrona środowisk IT przed zagrożeniami wewnątrz organizacji.

Dlatego też, gdy zidentyfikowana potrzeba wskazuje na zabezpieczenie dostępu podmiotów zewnętrznych, kierujemy naszych klientów na rozwiązania dedykowane do obsługi takiego właśnie przypadku użycia. Wskazujemy systemy, które podobnie jak tradycyjny system PAM, i nagrywają sesje z użyciem kont uprzywilejowanych i pozwalają na zdefiniowanie magazynu haseł dla każdego z kontraktorów. Jednak ich architektura i możliwości implementacyjne są dostosowane do interakcji z firmami trzecimi. Więcej informacji na ten temat – tutaj.