Contents
Что такое управление привилегированным доступом?
Управление привилегированным доступом (PAM) — это набор стратегий и технологий кибербезопасности для осуществления контроля над повышенным («привилегированным») доступом и разрешениями для пользователей, учетных записей, процессов и систем в ИТ-среде.
Определяя соответствующий уровень управления привилегированным доступом, PAM помогает организациям уменьшить количество поверхностей для атак и предотвратить (или, по крайней мере, смягчить) ущерб от внешних атак, а также внутренних попыток саботажа или действий по небрежности.
Хотя управление привилегиями включает в себя множество стратегий, главной целью является применение наименьших привилегий, определяемых как ограничение прав доступа и разрешений до абсолютного минимума, необходимого пользователям, учетным записям, приложениям и устройствам для выполнения их рутинных авторизованных действий.
Многие аналитики и технологи считают PAM одной из наиболее важных инициатив в области безопасности для снижения киберриска и достижения высокой отдачи от инвестиций в безопасность.
Как работает управление привилегированным доступом (PAM)?
Управление привилегированным доступом работает по принципу наименьших привилегий, поэтому даже самые привилегированные пользователи могут получить доступ только к тому, что им нужно. Инструменты управления привилегированным доступом обычно являются частью более широких решений PAM, предназначенных для решения различных задач, связанных с мониторингом, защитой и управлением привилегированными учетными записями.
Решение, разработанное для управления привилегированным доступом, должно предоставлять возможность отслеживать и регистрировать все действия привилегированного доступа, а затем сообщать об этом администратору. Администратор может отслеживать привилегированный доступ и обнаруживать, в каких ситуациях он может быть использован не по назначению.
Решение должно упростить для системных администраторов выявление аномалий и потенциальных угроз для принятия немедленных мер и ограничения ущерба. Основные функции решения по управлению привилегированным доступом должны включать:
- Идентифицируйте, управляйте и отслеживайте привилегированные учетные записи во всех системах и приложениях в сети.
- Управляйте доступом к привилегированным учетным записям, включая доступ, который может быть общим или доступным в чрезвычайных ситуациях.
- Создавайте рандомизированные и безопасные учетные данные для привилегированных учетных записей, включая пароли, имена пользователей и ключи.
- Обеспечьте многофакторную аутентификацию.
- Ограничивайте и контролируйте привилегированные команды, задачи и действия.
- Управляйте обменом учетными данными между службами, чтобы ограничить уязвимость.
PAM vs. IAM
Управление привилегированным доступом (PAM) и управление доступом к идентификационным данным (IAM) — это распространенные способы поддержания высокого уровня безопасности и предоставления пользователям доступа к ИТ-активам независимо от местоположения и устройства.
Для бизнеса и ИТ-персонала важно понимать разницу между этими двумя подходами и их роль в их использовании для защиты доступа к частной и конфиденциальной информации.
IAM — это более общий термин. Он в основном используется для идентификации и авторизации пользователей во всей организации. С другой стороны, PAM — это подмножество IAM, предназначенное для привилегированных пользователей, т. е. тех, кому требуется разрешение на доступ к наиболее конфиденциальным данным.
IAM относится к идентификации, аутентификации и авторизации профилей пользователей, использующих уникальные цифровые идентификаторы. Решения IAM предоставляют предприятиям комбинацию функций, совместимых с подходом к кибербезопасности с нулевым доверием , который требует от пользователей подтверждать свою личность всякий раз, когда они запрашивают доступ к серверу, приложению, службе или другому ИТ-ресурсу.
Следующий обзор ведущих доступных решений PAM, как в виде облачных, так и локально установленных локальных систем.
StrongDM
StrongDM предоставляет платформу доступа к инфраструктуре, которая исключает решения для конечных точек и охватывает все протоколы. Это прокси, который сочетает методы аутентификации , авторизации, работы в сети и наблюдения на одной платформе.
Вместо того, чтобы усложнять доступ, механизмы назначения разрешений StrongDM ускоряют доступ, мгновенно предоставляя и отзывая детализированный доступ с минимальными привилегиями, используя управление доступом на основе ролей (RBAC), управление доступом на основе атрибутов (ABAC) или утверждения конечных точек для всех ресурсов.
Регистрация и увольнение сотрудников выполняются одним щелчком мыши, что позволяет временно утвердить повышенные привилегии для важных операций с помощью Slack, Microsoft Teams и PagerDuty.
StrongDM позволяет подключать каждого конечного пользователя или службу к тем ресурсам, которые им необходимы, независимо от их местоположения. Кроме того, он заменяет VPN -доступ и узлы-бастионы на сети с нулевым доверием.
StrongDM предлагает множество вариантов автоматизации , включая интеграцию рабочих процессов доступа в существующий конвейер развертывания, потоковую передачу журналов в вашу SIEM и сбор данных для различных сертификационных аудитов, включая SOC 2, SOX, ISO 27001 и HIPAA.
Управление двигателем PAM360
PAM360 — это комплексное решение для компаний, которые хотят внедрить PAM в свои операции по обеспечению безопасности. Благодаря возможностям контекстной интеграции PAM360 вы можете создать центральную консоль, в которой различные части вашей системы управления ИТ связаны между собой для более глубокой корреляции данных привилегированного доступа и общих сетевых данных, что облегчает получение значимых выводов и более быстрое исправление.
PAM360 гарантирует, что ни один путь привилегированного доступа к вашим критически важным ресурсам не останется неуправляемым, неизвестным или неконтролируемым. Чтобы сделать это возможным, он предоставляет хранилище учетных данных, где вы можете хранить привилегированные учетные записи. Это хранилище предлагает централизованное управление, права доступа на основе ролей и шифрование AES-256.
Благодаря оперативному управлению учетными записями домена PAM360 предоставляет повышенные привилегии только тогда, когда они нужны пользователям. По истечении определенного периода разрешения автоматически отзываются, а пароли сбрасываются.
Помимо управления привилегированным доступом, PAM360 позволяет привилегированным пользователям легко подключаться к удаленным узлам одним щелчком мыши без подключаемых модулей браузера или агентов конечных точек. Эта функциональность обеспечивает туннель соединений через зашифрованные шлюзы без пароля, которые обеспечивают максимальную защиту.
Teleport
Стратегия Teleport заключается в объединении всех аспектов доступа к инфраструктуре на единой платформе для инженеров-программистов и разрабатываемых ими приложений. Эта унифицированная платформа направлена на сокращение поверхности атаки и накладных расходов на эксплуатацию при одновременном повышении производительности и обеспечении соответствия стандартам.
Teleport Access Plane — это решение с открытым исходным кодом, которое заменяет общие учетные данные, VPN и устаревшие технологии управления привилегированным доступом. Он был специально разработан, чтобы обеспечить необходимый доступ к инфраструктуре, не мешая работе и не снижая производительности ИТ-персонала.
Специалисты и инженеры по безопасности могут получить доступ к серверам Linux и Windows, кластерам Kubernetes , базам данных и приложениям DevOps , таким как CI/CD, контроль версий и панели мониторинга, с помощью единого инструмента.
Teleport Server Access использует открытые стандарты, такие как сертификаты X.509, SAML, HTTPS и OpenID Connect, среди прочих. Его создатели сосредоточились на простоте установки и использования, так как это столпы хорошего пользовательского опыта и надежной стратегии безопасности. Поэтому он состоит всего из двух двоичных файлов: клиента, который позволяет пользователям входить в систему для получения краткосрочных сертификатов, и агента Teleport, устанавливаемого на любой сервер или кластер Kubernetes с помощью одной команды.
Окта
Okta — компания, специализирующаяся на решениях для аутентификации, каталогов и единого входа. Он также предоставляет решения PAM через партнеров, которые интегрируются с его продуктами, чтобы обеспечить централизованную идентификацию, настраиваемые и адаптивные политики доступа, отчеты о событиях в реальном времени и сокращение направлений атак.
С помощью интегрированных решений Okta предприятия могут автоматически предоставлять/отменять привилегированные пользователи и административные учетные записи, обеспечивая при этом прямой доступ к критически важным активам. ИТ-администраторы могут обнаруживать аномальную активность за счет интеграции с решениями для аналитики безопасности, предупреждать и принимать меры для предотвращения рисков.
Boundary
HashiCorp предлагает свое решение Boundary для обеспечения управления доступом на основе идентификации для динамических инфраструктур. Он также обеспечивает простое и безопасное управление сеансами и удаленный доступ к любой надежной системе, основанной на идентификации.
Интегрируя решение HashiCorp Vault, можно защищать, хранить и структурно контролировать доступ к токенам, паролям, сертификатам и ключам шифрования для защиты секретов и других конфиденциальных данных через пользовательский интерфейс, сеанс CLI или HTTP API.
С помощью Boundary можно получить доступ к важным хостам и системам через нескольких поставщиков по отдельности, без необходимости управлять отдельными учетными данными для каждой системы. Его можно интегрировать с поставщиками удостоверений, что избавляет от необходимости открывать инфраструктуру для общественности.
Boundary — это независимое от платформы решение с открытым исходным кодом. Являясь частью портфолио HashiCorp, он, естественно, обеспечивает возможность простой интеграции в рабочие процессы безопасности, что делает его легко развертываемым на большинстве общедоступных облачных платформ. Необходимый код уже есть на GitHub и готов к использованию.
Delinea
Решения Delinea по управлению привилегированным доступом направлены на то, чтобы максимально упростить установку и использование инструмента. Компания делает свои решения интуитивно понятными, облегчая определение границ доступа. Будь то облачная или локальная среда, решения Delinea PAM просты в развертывании, настройке и управлении без ущерба для функциональности.
Delinea предлагает облачное решение, которое позволяет развертывать его на сотнях тысяч компьютеров. Это решение состоит из Privilege Manager для рабочих станций и Cloud Suite для серверов.
Privilege Manager позволяет обнаруживать компьютеры, учетные записи и приложения с правами администратора, будь то на рабочих станциях или серверах, размещенных в облаке. Он даже работает на машинах, принадлежащих к разным доменам. Определяя правила, он может автоматически применять политики для управления привилегиями, постоянно определяя членство в локальной группе и автоматически меняя нечеловеческие привилегированные учетные данные.
Мастер политик позволяет повышать права, запрещать и ограничивать приложения всего несколькими щелчками мыши. Наконец, инструмент отчетности Delinea предоставляет полезную информацию о приложениях, заблокированных вредоносными программами, и о наименее привилегированных требованиях. Он также предлагает интеграцию Privileged Behavior Analytics с Privilege Manager Cloud.
BeyondTrust
BeyondTrust Privilege Management позволяет легко повышать привилегии для известных и доверенных приложений, которым они требуются, контролируя использование приложений, а также регистрируя и сообщая о привилегированных действиях. Для этого используются инструменты безопасности, уже имеющиеся в вашей инфраструктуре.
С помощью диспетчера привилегий вы можете предоставить пользователям именно те привилегии, которые им необходимы для выполнения их задач, без риска чрезмерной привилегии. Вы также можете определить политики и распределение привилегий, настраивая и определяя уровень доступа, доступный во всей организации. Таким образом, вы избежите атак вредоносного ПО из-за превышения привилегий.
Вы можете использовать подробные политики для повышения привилегий приложений для обычных пользователей Windows или Mac, предоставляя достаточный доступ для выполнения каждой задачи. BeyondTrust Privilege Manager интегрируется с надежными приложениями службы поддержки, сканерами управления уязвимостями и инструментами SIEM через встроенные в инструмент соединители.
Аналитика безопасности конечных точек BeyondTrust позволяет сопоставлять поведение пользователей с данными безопасности. Это также дает вам доступ к полному журналу аудита всех действий пользователей, что позволяет ускорить судебный анализ и упростить соответствие требованиям предприятия.
One Identity
Решения One Identity для управления привилегированным доступом (PAM) снижают риски безопасности и обеспечивают соответствие требованиям предприятия. Продукт предлагается в режиме SaaS или локально. Любой вариант позволяет защищать, контролировать, отслеживать, анализировать и управлять привилегированным доступом в различных средах и платформах.
Кроме того, он обеспечивает гибкость предоставления полных привилегий пользователям и приложениям только при необходимости, применяя операционную модель с нулевым доверием и минимальными привилегиями во всех других ситуациях.
CyberArk
С помощью CyberArk Privileged Access Manager вы можете автоматически обнаруживать и включать привилегированные учетные данные и секреты, используемые людьми или нечеловеческими существами. Благодаря централизованному управлению политиками решение CyberArk позволяет системным администраторам определять политики ротации паролей, сложности паролей, назначения хранилищ для каждого пользователя и т. д.
Решение можно развернуть как услугу (режим SaaS) или установить на свои серверы (самостоятельно).
Centrify
Служба Centrify Privilege Threat Analytics выявляет злоупотребления привилегированным доступом, добавляя уровень безопасности к вашей облачной и локальной инфраструктуре. Это достигается за счет расширенного поведенческого анализа и адаптивной многофакторной аутентификации. С помощью инструментов Centrify можно получать оповещения почти в режиме реального времени об аномальном поведении всех пользователей в сети.
Centrify Vault Suite позволяет назначать привилегированный доступ к общим учетным записям и учетным данным, контролировать пароли и секреты приложений и защищать удаленные сеансы. В свою очередь, с помощью Centrify Cloud Suite ваша организация, независимо от размера, может глобально управлять привилегированным доступом с помощью централизованно управляемых политик, динамически применяемых на сервере.
Вывод
На сегодняшний день неправомерное использование привилегий является одной из главных угроз кибербезопасности , часто приводящей к дорогостоящим потерям и даже наносящим ущерб бизнесу. Это также один из самых популярных векторов атак среди киберпреступников, потому что при успешном выполнении он обеспечивает свободный доступ к внутренним органам компании, часто не вызывая никакой тревоги, пока ущерб не будет нанесен. Использование соответствующего решения для управления доступом к привилегиям необходимо всякий раз, когда становится трудно контролировать риски злоупотребления привилегиями учетной записи.
эта статья является переводом geekflare.com
