Privileged Identity Management (PIM) je efektivní způsob, jak spravovat přístupová oprávnění zaměstnanců za účelem zabezpečení dat a omezení jejich vystavení.
Ke krádežím dat a útokům nedochází vždy kvůli vnějším faktorům. Někdy to může být záměrně nebo neúmyslně práce jakéhokoli interního člena.
Vnitřní hrozba je skutečná!
Poskytnutí dalších oprávnění, než je požadováno, je může vést k přístupu k datům, ke kterým nemají. Někteří zaměstnanci mohou také zneužít zdroje a účty ve svůj prospěch, i když by to mohlo organizaci poškodit.
Existují mnoho případů když je interní člen týmu pachatelem útoku, který může ohrozit data.
Organizace proto musí svým zaměstnancům poskytnout pouze požadovanou úroveň přístupových práv ke svým zdrojům a datům, která jsou nezbytná k dokončení jejich práce, ne více než to.
To minimalizuje přístupová oprávnění a pomůže zabezpečit zdroje a informace. Eliminuje možnost neoprávněného přístupu, který může vážně ovlivnit citlivá data vaší organizace.
Zde je užitečná správa privilegovaných identit (PIM).
V tomto článku proberu, co je PIM, jeho výhody, jak funguje a rozdíl mezi PIM, PAM a IAM.
Pojďme začít!
Table of Contents
Co je PIM?
Privileged Identity Management (PIM) je technika pro správu, kontrolu, audit a monitorování úrovně přístupu zaměstnanců nebo privilegovaných identit podniku k jeho datům a zdrojům. Těmito daty mohou být databázové účty, servisní účty, digitální podpisy, klíče SSH, hesla a další.
Jinými slovy, PIM je praxe správy, monitorování a zabezpečení privilegovaných účtů.
Řešení PIM jsou navržena speciálně tak, aby pomáhala podnikům implementovat granulární kontroly a usnadňovat přísné řízení nad hrozbami privilegií. To pomáhá předcházet zneužívání a hrozbám zevnitř. Poskytuje také aktivaci rolí na základě schválení a času, aby se eliminovala rizika nechtěných, zneužitých nebo nadměrných přístupových oprávnění k informacím a zdrojům.
Příklady privilegovaných účtů identity jsou:
Tito uživatelé mají přístup ke kritickým systémům nebo citlivým datům. PIM poskytuje konsolidované řešení pro vytváření, správu, správu a sledování privilegovaných účtů, aby se snížila pravděpodobnost narušení dat a aby byla zachována shoda s průmyslovými standardy a předpisy.
Chcete-li implementovat PIM, musíte:
- Vytvořte bezpečnostní politiku, kde můžete zmínit, jak jsou spravovány uživatelské účty a co mohou a co nemohou držitelé účtů dělat.
- Vytvořte model, který umožní odpovědné straně kontrolovat, zda jsou zásady správně dodržovány.
- Zjistěte, jak rozsáhlá jsou oprávnění, a identifikujte je.
- Vytvořte různé nástroje a procesy pro správu identit, jako jsou nástroje pro poskytování a produkty PIM.
To umožňuje účtům superuživatelů využívat svůj privilegovaný přístup při přístupu k IT zdrojům.
Vlastnosti PIM
PIM poskytuje podnikům následující možnosti a funkce pro správu jejich privilegovaných identit.
- Zjištění privilegovaných účtů ve vaší organizaci bez ohledu na to, jakou aplikaci nebo platformu používáte.
- Centralizované úložiště a zajišťování všech privilegovaných účtů v jediném trezoru.
- Granulární a na rolích založené autorizační zásady pro všechny vaše privilegované účty, které vašim organizacím umožní vynutit si princip nejmenších oprávnění.
- Implementace silných hesel, jako je periodické nebo automatické střídání hesel.
- Dočasné přiřazení privilegovaných účtů a jejich zrušení, když to není potřeba. Tato funkce je výhodná, když uživatel potřebuje k provedení daného úkolu jednou přistoupit k systému.
- Monitorování a sledování všech aktivit souvisejících s privilegovanými účty, jako je kdo přistupoval k privilegovaným účtům, kdy přistupoval, co daná osoba dělala při přístupu k účtům atd.
- Auditování a hlášení událostí kritických pro zabezpečení, jako jsou požadavky na přístup, změny konfigurací a oprávnění, události přihlášení a odhlášení a další.
Jak PIM funguje?
Každá organizace rozděluje svou uživatelskou základnu na uživatele a superuživatele. Uvnitř organizace mají přístup pouze k relevantním datům podle jejich rolí a odpovědností. Lidé s více oprávněními mohou přistupovat k důležitým informacím, získávat více práv, měnit pracovní postupy a spravovat síť.
Řešení PIM poskytují oprávněným pracovníkům v případě potřeby přístup k citlivým informacím a zdrojům na základě rolí a časově omezený. Pojďme se ponořit do toho, jak funguje skutečný PIM systém.
Omezit oprávnění
Ne každý administrátor má privilegované přihlašovací údaje. PIM implementuje principy nejmenších oprávnění napříč všemi uživateli. Tento princip říká, že uživatelé musí mít minimální úroveň přístupových oprávnění, která postačují k plnění jejich povinností.
PIM vyžaduje, abyste zadali potřebná oprávnění k novým účtům superuživatelů spolu s důvody pro udělení oprávnění. Tím zabráníte tomu, aby nové účty porušovaly vaše zásady zabezpečení. Kromě toho rozšiřuje viditelnost vašich uživatelů tím, že vám pomáhá najít uživatelské účty, které se nepoužívají.
To vám pomůže zabránit napadení osiřelých účtů. PIM navíc monitoruje aktualizace, změny a další úpravy, takže uživatelé se zlými úmysly nemohou provádět žádné změny, aby získali vaše pracovní postupy nebo data.
Vynutit ověření
Hesla jednotlivě nestačí k ochraně moderních databází a uživatelů, když se zvyšuje počet incidentů s digitálními hrozbami. Hackeři mohou snadno uhodnout hesla nebo je prolomit pomocí nějakého kódování nebo nástrojů.
V jiném pohledu aktéři hrozeb využívají účty sociálních médií a hádají hesla pomocí dostupných informací nebo provádějí phishingové útoky.
Privileged Identity Management poskytuje sofistikované možnosti pro proces ověřování, obvykle funkci vícefaktorové autentizace (MFA). Funguje to účinným a jednoduchým způsobem, což zvyšuje obtížnost pro hackery. MFA nastavuje více úrovní autentizace mezi přístupem k datům a požadavky. To zahrnuje:
- Biometrické ověřování
- Rozpoznávání zařízení
- SMS zprávy
- Behaviorální biometrie
- Sledování polohy nebo geofencing
- Doba sledování požadavku
Navíc mnoho procesů MFA probíhá bez narušení pracovního postupu a přihlašování; pouze provádějí proces ověřování na pozadí.
Povolit zabezpečení
Kromě interních uživatelů mohou v síti způsobit zmatek také jiné než lidské entity, pokud mají zvláštní oprávnění, než jsou potřebná k provádění jejich funkcí. Aplikace, databáze, zařízení a další programy mohou přesouvat data a provádět změny ve vaší síti.
Proto jsou vyžadována správná omezení a monitorování, aby hackeři nedostali šanci vstoupit prostřednictvím těchto programů. Za tímto účelem PIM omezuje nelidské identity a identity třetích stran ve využívání principu nejmenšího privilegia.
Tato omezení také brání škodlivým aplikacím fungovat bez přístupu. Musíte vzít v úvahu třetí strany s nechtěnými privilegovanými účty. Pomocí PIM můžete tyto účty sledovat, aby hackeři nemohli najít žádnou cestu dovnitř.
Monitorování relací
Řešení správy privilegovaného přístupu nové generace nabízejí záznamy monitorování relací. Tyto nahrávky můžete třídit do různých skupin a snadno je všechny sledovat pomocí prohledávatelných metadat. Tím se minimalizuje úsilí o reakci na incidenty. Kromě toho funkce monitorování relací pomáhají automaticky identifikovat podezřelé relace.
Kromě toho si váš tým může snadno představit řetězec akcí. Mohou vyhodnocovat různé události a sledovat stopu během reakce na incident. PIM shromažďuje všechny privilegované účty v jediném trezoru. To centralizuje úsilí a zajišťuje základní pověření v celé síti.
Výhody PIM
Mezi výhody PIM patří:
Vylepšené zabezpečení
PIM vám pomůže sledovat, kdo má nedávný přístup ke konkrétnímu zdroji a kdo jej měl v minulosti. Můžete také sledovat, kdy přístup začal a kdy skončil. Tyto informace můžete použít ke strategickému plánování, kdo by měl získat přístup v budoucnu.
Soulad s předpisy
Vzhledem k rostoucím problémům s ochranou soukromí musíte dodržovat regulační standardy platné ve vašem regionu. Mezi oblíbené regulační standardy patří HIPAA, NERC-CIP, GDPR, SOX, PCI DSS a další. Pomocí PIM můžete vynutit dodržování těchto pokynů a vytvářet zprávy, abyste zachovali soulad.
Snížení nákladů na audit a IT
Již nebudete muset ručně sledovat přístupová oprávnění každého uživatele. S předdefinovanou strukturou PIM a sadou zásad přístupu můžete provádět audity a vytvářet zprávy během několika okamžiků.
Snadná dostupnost
PIM zjednodušuje proces poskytování práv a udělování přístupových oprávnění. To pomůže legitimně privilegovaným uživatelům snadno přistupovat ke zdrojům, i když si nepamatují své přihlašovací údaje.
Eliminované hrozby
Bez použití PIM ukazujete snadnou cestu špatným aktérům, kteří mohou kdykoli využít neoperativní účty. PIM vám pomůže sledovat a spravovat všechny aktivní a neoperativní účty. Zajišťuje, že všechny tyto účty nemají přístup k citlivým datům podniků.
Lepší viditelnost a kontrola
Všechny privilegované identity a účty můžete snadno vizualizovat a ovládat jejich bezpečným uložením do digitálního trezoru. Tento trezor bude chráněn a zašifrován několika faktory ověřování.
Nejlepší postupy pro implementaci PIM
Chcete-li povolit efektivní správu privilegovaných identit, musíte dodržovat některé osvědčené postupy:
- Objevte a uložte seznam uvolněných identit, včetně digitálních certifikátů, hesel a klíčů SSH, v zabezpečeném a opevněném online úložišti. Kdykoli objevíte nové identity, můžete seznam snadno automaticky aktualizovat.
- Vynucování přísných zásad, jako je přístup k privilegovaným zdrojům na základě rolí a času, automatické resetování přihlašovacích údajů po jediném použití, pravidelné resetování hesla a další bezpečnostní postupy.
- Implementujte přístup s nejmenšími oprávněními a zároveň poskytněte privilegovaný přístup třetím stranám a uživatelům bez oprávnění správce. Poskytněte jim minimální privilegia k plnění rolí a povinností, ne více.
- Auditujte a monitorujte vzdálené relace a aktivity s privilegovaným přístupem v reálném čase, abyste odhalili uživatele se zlými úmysly a okamžitě učinili bezpečnostní rozhodnutí.
PIM vs. PAM vs. IAM
V širším scénáři jsou jak správa privilegovaných identit (PIM), tak správa privilegovaného přístupu (PAM) podmnožinami správy identit a přístupu (IAM). IAM se zabývá zabezpečením, monitorováním a správou podnikových identit a přístupových oprávnění.
PIM a PAM však hrají zásadní roli, pokud jde o správu a zabezpečení privilegovaných identit a jejich dostupnosti. Pojďme pochopit rozdíly mezi IAM, PIM a PAM.
Správa privilegovaných identit (PIM) Správa privilegovaného přístupu (PAM) Správa identifikace a přístupu (IAM) PIM poskytuje bezpečnostní zásady a ovládací prvky pro ochranu a správu privilegovaných identit pro přístup ke kritickým systémům a citlivým informacím.PAM podporuje rámec řízení přístupu pro správu, monitorování, řídit a chránit aktivity a cesty privilegovaného přístupu ve vaší organizaci. IAM spravuje a kontroluje jak přístupová oprávnění, tak identity v organizaci. Například uživatelé, dílčí uživatelé, aktiva, sítě, systémy, aplikace a databáze. Zahrnuje správu toho, kdo získá zvýšený privilegovaný přístup ke zdrojům. Zahrnuje systémy, které mohou spravovat různé účty se zvýšenými oprávněními. Umožňuje přiřadit role, které je třeba přiřadit různým skupinám podle rolí uživatele a oddělení. Zahrnuje zásady zabezpečení pro správu privilegovaných identit, jako jsou servisní účty, hesla, digitální certifikáty, klíče SSH a uživatelská jména. Zabezpečuje úroveň přístupu a data, ke kterým má privilegovaná identita přístup. Nabízí bezpečnostní rámec, který se skládá z jedinečných opatření, přístupů a pravidel pro usnadnění správy digitální identity a přístupu.
Řešení PIM
Nyní si proberme některá spolehlivá řešení PIM, která můžete pro svou organizaci zvážit.
#1. Microsoft
Microsoft nabízí privilegovaná řešení správy identit pro váš podnik. To vám pomůže spravovat, monitorovat a řídit přístup v rámci Microsoft Entra. Můžete poskytnout přístup just-in-time a podle potřeby ke zdrojům Microsoft Entra, Azure a dalším online službám MS, jako je Microsoft Intune nebo Microsoft 365.
Microsoft Azure doporučuje některé úlohy pro PIM, které vám pomohou spravovat role Microsoft Entra. Úkoly jsou konfigurace nastavení rolí Entra, poskytnutí vhodných přiřazení a umožnění uživatelům aktivovat role Entra. Můžete také sledovat některé úkoly pro správu rolí Azure, jako je zjišťování prostředků Azure, konfigurace nastavení rolí Azure a další.
Jakmile je PIM nastaven, můžete přejít na úkoly:
- Moje role: Zobrazuje způsobilé a aktivní role, které jsou vám přiřazeny.
- Nevyřízené požadavky: Zobrazuje nevyřízené požadavky, které je třeba aktivovat pro přiřazení rolí.
- Schválit požadavky: Zobrazí sadu žádostí k aktivaci, které můžete schválit pouze vy.
- Přístup ke kontrole: Zobrazuje seznam recenzí s aktivním přístupem, které máte za úkol dokončit.
- Role Microsoft Entra: Zobrazuje nastavení a řídicí panel pro správce rolí, aby mohli sledovat a spravovat přiřazení rolí Entra.
- Prostředky Azure: Zobrazuje nastavení a řídicí panel pro správu přiřazení rolí prostředků Azure.
Abyste mohli používat PIM, potřebujete jednu z licencí:
- Zahrnuje cloudová předplatná Microsoftu, jako je Microsoft 365, Microsoft Azure a další.
- Microsoft Entra ID P1: Je k dispozici nebo je součástí Microsoft 365 E3 pro podniky a Microsoft 365 Premium pro SMB.
- Microsoft Entra ID P1: Je součástí Microsoft 365 E5 pro podniky.
- Microsoft Entra ID Governance: Má sadu funkcí pro správu identit pro uživatele Microsoft Entra ID P1 a P2.
#2. Aujas
Monitorujte účty správců a automatizujte a sledujte přístup k identitě superuživatele pomocí řešení PIM od Aujas. Jeho rychlá řešení přinášejí odpovědnost za administrativní a sdílený přístup a zároveň zvyšují provozní efektivitu.
Toto řešení umožňuje vašim bezpečnostním týmům, aby zůstaly v souladu s průmyslovými standardy a předpisy a podporovaly osvědčené postupy ve vaší organizaci.
Aujas si klade za cíl řídit administrativní přístup a předcházet narušení vnitřní bezpečnosti ze strany superuživatelů. Řeší potřeby malé serverové místnosti nebo velkého datového centra. Nabízí následující možnosti PIM:
- Vývoj postupů a zásad pro program PIM
- Nasazení PIM řešení
- Nasazení správy klíčů SSH
- Migrace řešení PIM na bázi agentů
- Správa a nasazení řešení pro řízení přístupu pomocí robotiky
Kromě toho Aujas nabízí ochranu proti krádeži pověření, správu pověření, správu relací, ochranu serveru, ochranu domény, správu tajemství pro pravidla a aplikace a další.
Platforma také spravuje sdílená ID napříč několika zařízeními v rozsáhlých sítích. Kromě toho zajišťuje odpovědnost za sdílená ID a eliminuje více ID i hesla.
#3. ManageEngine PAM360
Omezte neoprávněný přístup a chraňte používání svých kritických aktiv ManageEngine PAM360. Nabízí vám komplexní platformu, odkud získáte kontrolu a holistický přehled o veškerém privilegovaném přístupu.
Tento nástroj vám umožňuje snížit pravděpodobnost rostoucího rizika pomocí výkonného programu správy privilegovaného přístupu. To zajišťuje, že nebudou existovat žádné přístupové cesty ke kritickým systémům a citlivým datům, které zůstanou nespravované, nemonitorované nebo neznámé.
ManageEngine umožňuje správcům IT vyvinout centrální konzolu různých systémů pro usnadnění rychlejší nápravy. Získáte privilegované řízení přístupu, funkce řízení přístupu k podnikovým přihlašovacím údajům a úschovu, pracovní postup pro přístup pomocí hesla, vzdálený přístup a další.
Kromě toho ManageEngine nabízí správu certifikátů SSL/TLS a SSH KEY, zvýšená oprávnění just-in-time, audit a reporting, analýzy chování uživatelů a další. Pomáhá vám získat centrální kontrolu, zlepšit efektivitu a dosáhnout souladu s předpisy.
Závěr
Privileged Identity Management (PIM) je skvělá strategie pro zlepšení vašeho organizačního zabezpečení. Pomáhá vám prosazovat zásady zabezpečení a řídit přístupová oprávnění privilegovaných identit.
PIM tak může pomoci udržet špatné aktéry mimo a zabránit jim, aby způsobili jakékoli škody vaší organizaci. To chrání vaše data, umožňuje vám zůstat v souladu s předpisy a udržuje vaši pověst na trhu.
Můžete také prozkoumat některá nejlepší řešení správy privilegovaného přístupu (PAM) a řešení autorizace otevřeného zdroje (OAuth).