Trace Id is missing
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu

Co je Privileged Access Management (PAM)?

Chraňte svou organizaci před kybernetickými hrozbami pomocí monitorování, zjišťování a prevence neoprávněného privilegovaného přístupu k důležitým prostředkům.

Co je Privileged Access Management (PAM)?

Privileged Access Management (PAM) je řešení zabezpečení identit, které pomáhá chránit organizace před kybernetickými hrozbami monitorováním, zjišťováním a prevencí neoprávněného privilegovaného přístupu k důležitým prostředkům. PAM funguje prostřednictvím kombinace lidí, procesů a technologií a poskytuje přehled o tom, kdo používá privilegované účty a co tito uživatelé dělají, když jsou přihlášeni. Omezení počtu uživatelů, kteří mají přístup k funkcím pro správu, zvyšuje zabezpečení systému a další vrstvy ochrany zmírňují úniky dat způsobené aktéry hrozeb.

Jak funguje Privileged Access Management?

Řešení PAM identifikuje osoby, procesy a technologie, které vyžadují privilegovaný přístup, a určuje zásady, které se na ně vztahují. Vaše řešení PAM musí mít možnosti pro podporu zásad, které vytvoříte (např. automatizovaná správa hesel a vícefaktorové ověřování), a správci by měli mít možnost automatizovat proces vytváření, změn a odstraňování účtů. Vaše řešení PAM by také mělo průběžně monitorovat relace, abyste mohli generovat sestavy a následně identifikovat a prošetřovat anomálie.

Dva primární případy použití funkce Privileged Access Management jsou bránění krádeži přihlašovacích údajů a dosahování řádné úrovně dodržování předpisů.

Krádež přihlašovacích údajů spočívá v tom, že aktér hrozby ukradne přihlašovací údaje, aby získal přístup k účtu uživatele. Po přihlášení bude mít přístup k datům organizace, bude moct instalovat malware na různá zařízení a získá přístup k systémům vyšší úrovně. Řešení PAM může toto riziko zmírnit zajištěním přístupu za běhu a přesně dostatečného přístupu spolu s vícefaktorovým ověřováním pro všechny identity a účty správy.

Bez ohledu na to, jaké standardy dodržování předpisů platí pro vaši organizaci, je pro ochranu citlivých dat, jako jsou platby nebo osobní zdravotní údaje, pravděpodobně vyžadována zásada s nejnižšími oprávněními. Řešení PAM také umožňuje prokázat dodržování předpisů generováním sestav aktivit privilegovaných uživatelů – kdo pracuje s jakými daty a proč.

Mezi další případy použití patří automatizace životního cyklu uživatelů (tj. vytvoření účtu, zřizování a zrušení zřízení), monitorování a záznam privilegovaných účtů, zabezpečení vzdáleného přístupu a řízení přístupu třetích stran. Řešení PAM je také možné použít na zařízení (internet věcí), cloudová prostředí a projekty DevOps.

Zneužití privilegovaného přístupu je kybernetická hrozba, která může jakékoli organizaci způsobit vážné a rozsáhlé škody. Řešení PAM nabízí robustní funkce, které vám pomůžou udržet si náskok před tímto rizikem.

  • Poskytnutí přístupu za běhu důležitým prostředkům
  • Povolení zabezpečeného vzdáleného přístupu pomocí šifrovaných bran místo hesel
  • Monitorování privilegovaných relací na podporu investigativních auditů
  • Analýzy neobvyklých privilegovaných aktivit, které by mohly být pro vaši organizaci škodlivé
  • Zachycování událostí privilegovaného účtu pro audity dodržování předpisů
  • Generování sestav o přístupu a aktivitách privilegovaných uživatelů
  • Ochrana DevOps pomocí integrovaného zabezpečení hesel

Typy privilegovaných účtů

Účty superuživatelů jsou privilegované účty používané správci, kteří mají neomezený přístup k souborům, adresářům a prostředkům. Mohou instalovat software, měnit konfigurace a nastavení a odstraňovat uživatele a data.

Privilegované účty

Privilegované účty poskytují přístup a oprávnění nad rámec oprávnění neprivilegovaných účtů (např. standardních uživatelských účtů a uživatelských účtů typu host).

Účty správce domény

Účty správce domény jsou nejvyšší úrovní řízení v systému. Tyto účty mají přístup ke všem pracovním stanicím a serverům ve vaší doméně a řídí konfigurace systému, účty správců a členství ve skupinách.

Místní účty správců

Místní účty správců mají správní kontrolu nad konkrétními servery nebo pracovními stanicemi a často se vytvářejí pro úlohy údržby.

Účty správců aplikací

Účty správců aplikací mají úplný přístup ke konkrétním aplikacím a datům, která jsou v nich uložená.

Účty služeb

Účty služeb pomáhají aplikacím pracovat s operačním systémem bezpečněji.

Obchodní privilegované uživatelské účty

Obchodní privilegované uživatelské účty mají vysoká oprávnění na základě náplně práce.

Tísňové účty

Tísňové účty poskytují neprivilegovaným uživatelům přístup správce k zabezpečeným systémům v případě havárie nebo výpadku.

PAM vs. PIM

Privileged Access Management pomáhá organizacím spravovat identity a znesnadňuje aktérům hrozeb proniknutí do sítě a získání přístupu přes privilegovaný účet. Přidává ochranu privilegovaným skupinám, které řídí přístup k počítačům připojeným k doméně a aplikacím v těchto počítačích. PAM také poskytuje monitorování, viditelnost a podrobné ovládací prvky, abyste viděli, kdo jsou vaši privilegovaní správci a jak se používají jejich účty.

Privileged Identity Management (PIM) umožňuje využívat aktivaci rolí, která podléhá časovým omezením a procesu schvalování. Pomáhá omezovat rizika související s příliš rozsáhlými přístupovými právy k citlivým prostředkům v organizaci, která nejsou nezbytná a dají se zneužít, a to tím, že k těmto účtům vynucuje přístup za běhu a přesně dostatečný přístup. Tyto privilegované účty umožňuje PIM ještě více zabezpečit díky tomu, že můžete vynucovat možnosti zásad, jako je vícefaktorové ověřování.

I když PAM a PIM mají hodně podobného, PAM používá nástroje a technologie k řízení a monitorování přístupu k vašim prostředkům a pracuje na principu nejnižších oprávnění (zajištění, že zaměstnanci mají přesně dostatečný přístup ke své práci), zatímco PIM řídí správce a superuživatele časově limitovaným přístupem a zabezpečuje tyto privilegované účty.

Osvědčené postupy pro Privileged Access Management

Při plánování a implementaci řešení PAM je dobré mít na paměti osvědčené postupy, které vám pomůžou zlepšit zabezpečení a zmírnit rizika ve vaší organizaci.

Vyžadujte vícefaktorové ověřování

S vícefaktorovým ověřováním přidáte do procesu přihlašování další vrstvu ochrany. Při přístupu k účtům nebo aplikacím musí uživatelé poskytovat další ověření identity prostřednictvím jiného ověřeného zařízení.

Automatizujte zabezpečení

Automatizací prostředí zabezpečení snížíte riziko lidské chyby a zvýšíte efektivitu. Můžete například automaticky omezit oprávnění a zabránit nebezpečným nebo neoprávněným akcím při zjištění hrozby.

Odeberte koncové uživatele

Identifikujte a odeberte nepotřebné koncové uživatele z místní skupiny správců na pracovních stanicích IT s Windows. Aktéři hrozeb můžou pomocí účtu správce přejít z pracovní stanice na pracovní stanici, ukrást další přihlašovací údaje a zvýšit svá oprávnění k pohybu po síti.

Stanovte základní úrovně a sledujte odchylky

Auditujte aktivitu privilegovaného přístupu, ať máte přehled, kdo v systému dělá co a jak se používají privilegovaná hesla. Znalost základní úrovně přijatelné aktivity vám pomáhá odhalovat odchylky, které by mohly ohrozit váš systém.

 

Poskytujte přístup za běhu

Použijte zásady s nejnižšími oprávněními na všechno a pro všechny a pak podle potřeby oprávnění zvyšujte. To vám pomůže vytvořit v systémech a sítích segmenty uživatelů a procesů na základě úrovní důvěryhodnosti, potřeb a oprávnění.

Vyhněte se časově neomezenému privilegovanému přístupu

Místo časově neomezeného privilegovaného přístupu zvažte dočasný přístup za běhu a přesně dostatečný přístup. Díky tomu zajistíte, aby uživatelé měli platný důvod pro takový přístup a pouze na potřebnou dobu.

Používejte řízení přístupu na základě aktivit

Udělujte oprávnění jenom prostředkům, které osoba skutečně používá, na základě její minulé aktivity a využití. Snažte se eliminovat mezeru mezi udělenými oprávněními a použitými oprávněními.

 

Důležitost služby Privileged Access Management

Lidé jsou nejslabším článkem v zabezpečení systému a privilegované účty představují pro vaši organizaci významné riziko. PAM poskytne bezpečnostním týmům nástroje k identifikaci škodlivých aktivit, které jsou důsledkem zneužití oprávnění, a k podniknutí okamžitých kroků k odstranění rizika. Řešení PAM může zajistit, aby zaměstnanci měli jenom potřebné úrovně přístupu pro práci.

Kromě identifikace škodlivých aktivit spojených se zneužitím oprávnění pomůže řešení PAM vaší organizaci s následujícími úkoly:

  • Minimalizace potenciálu porušení zabezpečení. Pokud dojde k porušení zabezpečení, řešení PAM pomáhá omezit jeho dosah ve vašem systému.
  • Omezení vstupů a cest pro aktéry hrozeb. Omezená oprávnění pro lidi, procesy a aplikace chrání před interními a externími hrozbami.
  • Prevence malwarových útoků. Pokud se malware prosadí, odebrání nadměrných oprávnění může pomoct omezit jeho šíření.
  • Vytvoření prostředí, kde se bude lépe auditovat. S využitím protokolů aktivit, které vám pomůžou monitorovat a rozpoznávat podezřelé aktivity, dosáhnete komplexní strategie zabezpečení a řízení rizik.

Jak implementovat zabezpečení pomocí služby PAM

Pokud chcete začít se službou Privileged Access Management, potřebujete plán k těmto akcím:

  1. Poskytnutí plné viditelnosti všem privilegovaným účtům a identitám. Vaše řešení PAM by vám mělo umožnit zobrazit všechna oprávnění používaná lidskými uživateli a úlohami. Jakmile budete mít tuto viditelnost, eliminujte výchozí účty správců a použijte princip nejnižší úrovně oprávnění.
  2. Ovládání a řízení privilegovaného přístupu. Budete muset mít aktuální informace o privilegovaném přístupu a mít kontrolu nad zvyšováním oprávnění, aby se nevymklo z rukou a neohrozilo kybernetickou bezpečnost vaší organizace.
  3. Monitorování a auditování privilegovaných aktivit. Zaveďte zásady, které definují legitimní chování privilegovaných uživatelů a identifikují akce, které tyto zásady porušují.
  4. Automatizace řešení PAM. Je možné škálovat miliony privilegovaných účtů, uživatelů a prostředků a zlepšit tak zabezpečení a dodržování předpisů. Automatizujte zjišťování, správu a monitorování, abyste omezili úlohy a složitost správy.

V závislosti na vašem IT oddělení můžete své řešení PAM okamžitě používat a postupně přidávat moduly pro podporu větších a lepších funkcí. Je také potřeba zvážit doporučení k řízení zabezpečení, aby splňovalo vaše nařízení ohledně dodržování předpisů.

Je také možné integrovat vaše řešení PAM s řešením Security Information and Event Management (SIEM).

Řešení Privileged Access Management

Samotná technologie nestačí k ochraně vaší organizace před kybernetickými útoky. Používá řešení, které bere v úvahu vaše lidi, procesy a technologie.

Zde se dozvíte, jak řešení zabezpečení pro identitu a přístup od Microsoftu pomáhají chránit vaši organizaci zabezpečením přístupu k propojenému světu pro všechny vaše uživatele, inteligentní zařízení a služby.

Další informace o zabezpečení od Microsoftu

Řešení pro identitu a přístup

Chraňte svou organizaci pomocí zabezpečeného přístupu pro všechny své uživatele, inteligentní zařízení a služby.

Další informace

Privileged Identity Management

Zabezpečte účty správců tím, že omezíte přístup k důležitým operacím.

Další informace

Podmíněný přístup

Pomocí podrobného řízení přístupu s adaptivními zásadami v reálném čase můžete pracovníkům zajistit lepší zabezpečení.

Další informace

Časté otázky

  • Správa identit a přístupu (Identity and access management, IAM) se skládá z pravidel a zásad, které řídí kdo, co, kdy, kde a jak ohledně přístupu k prostředkům. Patří sem správa hesel, vícefaktorové ověřování, jednotné přihlašování (SSO) a správa životního cyklu uživatelů.

    Privileged Access Management (PAM) se týká procesů a technologií nezbytných pro zabezpečení privilegovaných účtů. Je to podmnožina Správy identit a přístupu (IAM), která umožňuje řídit a monitorovat aktivitu privilegovaných uživatelů (kteří mají přístup nad rámec standardních uživatelů) po přihlášení k systému.

  • Robustní správa relací je nástroj zabezpečení PAM, který vám umožňuje vidět, co dělají privilegovaní uživatelé (lidé ve vaší organizaci, kteří mají kořenový přístup k systémům a zařízením) po přihlášení. Výsledné záznamy pro audit vás upozorní na náhodné nebo úmyslné zneužití privilegovaného přístupu.

  • Pomocí PAM můžete posílit stav zabezpečení vaší organizace. Umožňuje řídit přístup k infrastruktuře a datům, konfigurovat systémy a zjišťovat ohrožení zabezpečení.

  • Mezi výhody řešení PAM patří zmírnění bezpečnostních rizik, snížení provozních nákladů a složitosti, zvýšení viditelnosti a povědomí o situaci v celé organizaci a lepší dodržování legislativních předpisů.

  • Při rozhodování o řešení PAM pro vaši organizaci dbejte na to, aby obsahovalo vícefaktorové ověřování, správu relací a funkce přístupu za běhu, zabezpečení na základě rolí, oznámení v reálném čase, automatizaci a funkce auditování a generování sestav.

Sledujte zabezpečení od Microsoftu