Mi a Privileged Access Management (PAM)?
A kritikus erőforrásokhoz való jogosulatlan emelt szintű hozzáférés figyelésével, észlelésével és megelőzésével megvédheti a szervezetét a kiberfenyegetésektől.
Mi a Privileged Access Management (PAM)?
A Privileged Access Management (PAM) egy olyan identitásbiztonsági megoldás, amely a kritikus fontosságú erőforrásokhoz való jogosulatlan emelt szintű hozzáférés figyelésével, észlelésével és megelőzésével segít a szervezetek kibertámadások elleni védelmében. A PAM különböző embereket, folyamatokat és technológiákat kombinálva működik, és betekintést nyújt abba, hogy kik használják a jogosultságot igénylő fiókokat, és milyen tevékenységeket végeznek, miközben be vannak jelentkezve. A rendszergazdai funkciókhoz hozzáférő felhasználók számának korlátozásával növelhető a rendszer biztonsága, a további védelmi rétegek pedig mérséklik az adatokkal való visszaéléseket.
Hogyan működik az emelt szintű hozzáférés kezelése?
A PAM-megoldások azonosítják az emelt szintű hozzáférést igénylő személyeket, folyamatokat és technológiákat, és meghatározzák a rájuk vonatkozó házirendeket. A PAM-megoldásnak rendelkeznie kell olyan funkciókkal, amelyek támogatják az Ön által lefektetett házirendeket (például automatizált jelszókezelés és többtényezős hitelesítés), a rendszergazdáknak pedig képesnek kell lenniük arra, hogy automatizálják a fiókok létrehozását, módosítását és törlését. A PAM-megoldásnak ezenkívül folyamatosan figyelnie kell a munkameneteket, hogy jelentéseket készíthessen az anomáliák azonosítása és kivizsgálása érdekében.
Az emelt szintű hozzáférés kezelése két elsődleges használati esete megakadályozza a hitelesítő adatok ellopását, és hozzájárul a megfelelőség eléréséhez.
Hitelesítőadat-lopásról akkor beszélünk, ha egy fenyegetést jelentő szereplő bejelentkezési adatokat tulajdonít el, hogy hozzáférést nyerjen egy felhasználói fiókhoz. Miután bejelentkeztek, hozzáférhetnek a szervezeti adatokhoz, kártevőket telepíthetnek különböző eszközökre, és magasabb szintű rendszerekhez nyerhetnek hozzáférést. A PAM-megoldások úgy csökkenthetik ezt a kockázatot, hogy minden rendszergazdai identitás és fiók számára csak az adott időben érvényes és csak a kellő szintű hozzáférést biztosítják, és többtényezős hitelesítést tesznek lehetővé.
A szervezetre vonatkozó megfelelőségi szabványoktól függetlenül a bizalmas adatok, például a fizetési vagy a személyes egészségügyi adatok védelméhez valószínűleg szükség van egy minimális jogosultságot biztosító házirendre. A PAM-megoldások azt is lehetővé teszik, hogy igazolja a megfelelőségét úgy, hogy jelentéseket készít a jogosultságot igénylő felhasználói tevékenységekről – arról, hogy kik és miért férnek hozzá az adatokhoz.
A további használati esetek közé tartozik a felhasználói életciklus (például a fiókok létrehozásának, kiépítésének és megszüntetésének) automatizálása, a jogosultságot igénylő fiókok figyelése és rögzítése, a távoli hozzáférés védelme és a külső hozzáférés szabályozása. A PAM-megoldások eszközökre (a eszközök internetes hálózatára), felhőkörnyezetekre és DevOps-projektekre is alkalmazhatók.
Az emelt szintű hozzáféréssel való visszaélés olyan kiberbiztonsági fenyegetés, amely súlyos és sok mindenre kiterjedő károkat okozhat a szervezeteknek. A PAM-megoldások olyan erőteljes funkciókat kínálnak, amelyek segítenek lépést tartani a kockázatokkal.
- Csak az adott időben érvényes hozzáférést biztosíthat a kritikus fontosságú erőforrásokhoz.
- Biztonságos távoli hozzáférést tehet lehetővé jelszavak helyett titkosított átjárók használatával.
- A kiemelt munkamenetek figyelésével támogathatja az auditvizsgálatokat.
- Elemezheti azokat a szokatlan, jogosultságot igénylő tevékenységeket, amelyek károsak lehetnek a szervezetére.
- Rögzítheti a jogosultságot igénylő fiókokkal kapcsolatos eseményeket a megfelelőségi auditokhoz.
- Jelentéseket készíthet az emelt szintű felhasználói hozzáférésről és tevékenységekről.
- Integrált jelszóvédelemmel gondoskodhat a DevOps védelméről
A jogosultságot igénylő fiókok típusai
A kiemelt felhasználói fiókok olyan jogosultságot igénylő fiókok, amelyeket azok a rendszergazdák használnak, akik korlátlan hozzáféréssel rendelkeznek a fájlokhoz, könyvtárakhoz és erőforrásokhoz. Szoftvereket telepíthetnek, módosíthatják a konfigurációkat és a beállításokat, és törölhetik a felhasználókat és az adatokat.
Jogosultságot igénylő fiókok
A jogosultságot igénylő fiókok a jogosultságot nem igénylő fiókokon (például az normál felhasználói fiókokon és a vendégfelhasználói fiókokon) túl is biztosítanak hozzáférést és jogosultságokat.
Tartományi rendszergazdafiókok
A tartományi rendszergazdafiókok a rendszer legmagasabb szintű irányítási szintjét biztosítják. Ezek a fiókok a tartomány összes munkaállomásához és kiszolgálójához hozzáférnek, és a rendszerkonfigurációk, a rendszergazdafiókok és a csoporttagságok szabályozásáért felelősek.
Helyi rendszergazdafiókok
A helyi rendszergazdafiókok rendszergazdai felügyelettel rendelkeznek adott kiszolgálók vagy munkaállomások fölött, és gyakran karbantartási feladatok ellátására hozták létre őket.
Alkalmazás-rendszergazdai fiókok
Az alkalmazás-rendszergazdai fiókok teljes hozzáféréssel rendelkeznek bizonyos alkalmazásokhoz és a bennük tárolt adatokhoz.
Szolgáltatásfiókok
A szolgáltatásfiókok segítségével az alkalmazások biztonságosabban tudnak kommunikálni az operációs rendszerrel.
Üzleti, jogosultságot igénylő felhasználói fiókok
Az üzleti, jogosultságot igénylő felhasználói fiókok a munkaköri feladatok alapján kapott, magas szintű jogosultságokkal rendelkeznek.
Vészhelyzeti fiókok
A vészhelyzeti fiókok rendszergazdai hozzáférést biztosítanak a jogosultsággal nem rendelkező felhasználóknak a biztonságos rendszerekhez vészhelyzet vagy szolgáltatáskimaradás esetén.
A PAM és a PIM
Az emelt szintű hozzáférés kezelése segít a szervezeteknek az identitások kezelésében, és megnehezíti a fenyegetést jelentő szereplők számára a hálózatba való behatolást és a jogosultságot igénylő fiókokhoz való hozzáférés megszerzését. Védelmet nyújt azoknak a jogosultsággal rendelkező csoportoknak, amelyek a tartományhoz csatlakoztatott számítógépekhez és az ezeken a számítógépeken futó alkalmazásokhoz való hozzáférést szabályozzák. A PAM ezenkívül figyelési, láthatósági és részletes vezérlőket is biztosít, így Ön láthatja, hogy kik az emelt szintű hozzáféréssel rendelkező rendszergazdák, és hogyan használják a fiókjukat.
A Privileged identity management (PIM) időalapú és jóváhagyáson alapuló szerepkör-aktiválást biztosít a szervezet bizalmas erőforrásaihoz való túlzott, szükségtelen vagy helytelenül alkalmazott hozzáférések kockázatának mérséklése érdekében azáltal, hogy csak az adott időpontban érvényes és csak a kellő szintű hozzáférést kényszerít ezekhez a fiókokhoz. Ezeknek a jogosultságot igénylő fiókoknak a további védelme érdekében a PIM lehetővé teszi különböző házirend-beállítások, például a többtényezős hitelesítés kényszerítését.
Bár a PAM és a PIM sok hasonlóságot mutat, a PAM különféle eszközök és technológiák használatával szabályozza és figyeli az erőforrásokhoz való hozzáférést, és a minimális jogosultság elve alapján működik (így gondoskodva arról, hogy az alkalmazottak éppen csak a munkájukhoz szükséges szintű hozzáféréssel rendelkezzenek), míg a PIM az időhöz kötött hozzáféréssel rendelkező rendszergazdákat és kiemelt felhasználókat szabályozza, és biztonságossá teszi ezeket a jogosultságot igénylő fiókokat.
Az emelt szintű hozzáférés kezelésével kapcsolatos ajánlott eljárások
Vannak olyan ajánlott eljárások, amelyeket érdemes szem előtt tartani a PAM-megoldás megtervezése és megvalósítása során. Ezek segítenek a biztonság fokozásában és a szervez kockázatainak csökkentésében.
Többtényezős hitelesítés megkövetelése
A többtényezős hitelesítéssel további védelmi réteggel láthatja el a bejelentkezési folyamatot. Fiókok vagy alkalmazások elérésekor a felhasználóknak további személyazonosság-ellenőrzést kell végezniük egy másik ellenőrzött eszközön keresztül.
A biztonság automatizálása
A biztonsági környezet automatizálásával csökkentheti az emberi hibák kockázatát, és növelheti a hatékonyságot. Automatikusan korlátozhatja például a jogosultságokat, és megakadályozhatja a nem biztonságos vagy jogosulatlan műveleteket egy veszélyforrás észlelésekor.
Végponti felhasználók eltávolítása
Azonosíthatja és eltávolíthatja a szükségtelen végponti felhasználókat a helyi rendszergazdák csoportjából az informatikai Windows-munkaállomásokon. A fenyegető szereplők arra használhatják a rendszergazdai fiókokat, hogy munkaállomásról munkaállomásra váltsanak, más hitelesítő adatokat lopjanak el, és emeljék a jogosultságaikat a hálózaton keresztüli mozgás megkönnyítése érdekében.
Az alapkövetelmények lefektetése és az eltérések figyelése
Az emelt szintű hozzáférést igénylő tevékenységek naplózásával nyomon követheti, hogy ki mit csinál a rendszerben, és ki hogyan használja az emelt szintű hozzáférést biztosító jelszavakat. Az elfogadható tevékenységek alapkövetelményeinek ismerete segít kiszúrni azokat az eltéréseket, amelyek veszélyeztethetik a rendszert.
Igény szerinti hozzáférés biztosítása
Mindenre és mindenkire a minimális jogosultságot biztosító házirendet alkalmazza, majd szükség szerint emelje a jogosultságokat. Így könnyebben tudja majd szegmentálni a rendszereket és a hálózatokat a felhasználók és folyamatok felé, a megbízhatóság, az igények és a jogosultságok alapján.
Az állandó emelt szintű hozzáférés elkerülése
Az állandó emelt szintű hozzáférés helyett fontolja meg az ideiglenes, csak az adott időpontban érvényes és csak a kellő szintű hozzáférés biztosítását. Így könnyebben gondoskodhat arról, hogy a felhasználóknak megalapozott indokkal, és csak a szükséges ideig legyen ilyen hozzáférésük.
Tevékenységalapú hozzáférés-vezérlés használata
Csak azokhoz az erőforrásokhoz adjon jogosultságokat, amelyeket az adott személy ténylegesen használni szokott a korábbi tevékenységei és használati adatai alapján. Törekedjen a megadott és a használt jogosultságok közötti rés megszüntetésére.
Az emelt szintű hozzáférés kezelésének jelentősége
A rendszerbiztonság szempontjából az emberek jelentik a leggyengébb láncszemet, a jogosultságot igénylő fiókok pedig jelentős kockázatot jelentenek a szervezet számára. A PAM jóvoltából a biztonsági csapatok azonosítani tudják a jogosultságokkal való visszaélés következtében előforduló káros tevékenységeket, és azonnali lépéseket tudnak tenni a kockázatok enyhítése érdekében. A PAM-megoldások biztosíthatják, hogy az alkalmazottak csak a munkájuk elvégzéséhez szükséges hozzáférési szintekkel rendelkezzenek.
A jogosultsággal való visszaéléshez kapcsolódó rosszindulatú tevékenységek azonosítása mellett a PAM-megoldás a következőkben is segíthet a szervezetének:
- Minimalizálhatja a biztonsági incidensek esélyét. Ha biztonsági incidens történik, a PAM-megoldás segít korlátozni a rendszerben való terjedését.
- Csökkentheti a fenyegetést jelentő szereplők megjelenésének és lehetséges útvonalainak számát. A személyek, folyamatok és alkalmazások korlátozott jogosultságai védelmet nyújtanak a belső és a külső fenyegetések ellen.
- Megelőzheti a kártevőtámadásokat. Ha a kártevők mégis megvetnék a lábukat, a túlzott jogosultságok eltávolítása segíthet a terjedés csökkentésében.
- Naplózásra alkalmasabb környezetet alakíthat ki. A gyanús tevékenységek figyelését és észlelését segítő tevékenységnaplókkal átfogó biztonsági és kockázatkezelési stratégiát alakíthat ki.
A PAM-biztonság megvalósítása
Az emelt szintű hozzáférés kezelésének első lépéseihez olyan tervre van szüksége, amely:
- Teljes láthatóságot biztosít az összes, jogosultságot igénylő fiók és identitás számára. A PAM-megoldásnak lehetővé kell tennie az emberi felhasználók és a számítási feladatok által használt összes jogosultság megtekintését. Miután megkapta ezt a láthatóságot, szüntesse meg az alapértelmezett rendszergazdafiókokat, és alkalmazza a minimális jogosultság elvét.
- Képes az emelt szintű hozzáférés irányítására és szabályozására. Naprakésznek kell maradnia az emelt szintű hozzáféréssel kapcsolatban, és fenn kell tartania a jogosultságiszint-emelés fölötti irányítást, hogy ne kerüljön ki a kezei közül, és nehogy veszélybe kerüljön a szervezet kiberbiztonsága.
- Figyelni és naplózni tudja a jogosultságot igénylő tevékenységeket. Olyan házirendeket alkalmazhat, amelyek meghatározzák a szabályszerű viselkedést a jogosultsággal rendelkező felhasználók számára, és azonosítják azokat a műveleteket, amelyek sértik ezeket a házirendeket.
- Automatizálhatja a PAM-megoldásokat. A megoldás több millió, jogosultsággal rendelkező fiók, felhasználó és eszköz esetében is használható a biztonság és a megfelelőség javítása érdekében. A felderítést, a kezelést és a figyelést automatizálva csökkentheti a felügyeleti feladatok számát és az összetettséget.
Az IT-részlegtől függően előfordulhat, hogy azonnal használatba veheti a PAM-megoldását, és fokozatosan adhat hozzá modulokat a nagyobb méretekben is működő és hatékonyabb funkciók támogatásához. A megfelelőségi szabályozásoknak való megfelelés érdekében a biztonság szabályozásával kapcsolatos javaslatokat is figyelembe kell vennie.
A PAM-megoldás továbbá integrálható az Ön által használt biztonságiinformáció- és -esemény-kezelési (SIEM) megoldással is.
Az emelt szintű hozzáférés kezelésére épülő megoldások
A technológia önmagában nem elegendő ahhoz, hogy megvédje a szervezetét a kibertámadások ellen. Olyan megoldást kell használni, amely az embereket, a folyamatokat és a technológiát egyaránt szem előtt tartja.
Ismerje meg, hogy a Microsoft Biztonság identitás- és hozzáférés-kezelési megoldásai hogyan segítik a szervezet védelmét azáltal, hogy minden felhasználó, intelligens eszköz és szolgáltatás számára biztonságos hozzáférést biztosítanak az összekapcsolt világhoz.
További információ a Microsoft Biztonságról
Identitás- és hozzáférés-kezelési megoldások
A hozzáférést az összes felhasználója, intelligens eszköze és szolgáltatása számára biztonságossá téve hozzájárulhat a szervezete védelméhez.
Privileged Identity Management
A kritikus műveletekhez való hozzáférés korlátozásával biztonságba helyezheti a rendszergazdafiókokat.
Feltételes hozzáférés
A részletes hozzáférés-vezérlés valós idejű adaptív házirendekkel való kényszerítésével gondoskodhat a munkaerő biztonságáról.
Gyakori kérdések
-
Az identitás- és hozzáférés-kezelés (IAM) olyan szabályokból és házirendekből áll, amelyek azt határozzák meg, hogy ki vagy mi, mikor, hol és hogyan férhet hozzá az erőforrásokhoz. Idetartozik a jelszókezelés, a többtényezős hitelesítés, azegyszeri bejelentkezés (SSO) és a felhasználói életciklus-menedzsment.
A Privileged Access Management (PAM) a jogosultsággal rendelkező fiókok védelméhez szükséges folyamatokkal és technológiákkal foglalkozik. Az IAM egy olyan részhalmaza, amely lehetővé teszi a jogosultsággal (a normál felhasználókhoz képest magasabb szintű hozzáféréssel) rendelkező felhasználók tevékenységeinek szabályozását és nyomon követését, miután bejelentkeztek a rendszerbe.
-
A hatékony munkamenet-kezelés például egy olyan PAM-alapú biztonsági eszköz, amellyel láthatja, hogy mit tesznek a jogosultsággal rendelkező felhasználók (a szervezetben a rendszerekhez és eszközökhöz gyökérszintű hozzáféréssel bíró tagok), miután bejelentkeztek. Az eredményül kapott auditnaplók figyelmeztetik az emelt szintű hozzáféréssel való véletlen vagy szándékos visszaélésekre.
-
A Privileged Access Management (PAM) a szervezet biztonsági állapotának megerősítésére használható. Lehetővé teszi az infrastruktúrához és az adatokhoz való hozzáférés szabályozását, a rendszerek konfigurálását és a biztonsági rések megkeresését.
-
A PAM-megoldások előnyei közé tartozik a biztonsági kockázatok mérséklése, a működési költségek és az összetettség csökkentése, a láthatóság és a helyzetfelismerés fokozása a teljes szervezetben, illetve a jogszabályi megfelelőség javítása.
-
Amikor PAM-megoldást választ a szervezete számára, ügyeljen arra, hogy a megoldás többtényezős hitelesítést, munkamenet-kezelést és igény szerinti hozzáférési funkciókat, szerepköralapú biztonságot, valós idejű értesítéseket, automatizálást, illetve naplózási és jelentéskészítési funkciókat is tartalmazzon.
A Microsoft Biztonság követése