Mis on privileged access management (PAM)?

Kaitske oma asutust küberrünnete eest, jälgides, tuvastades ja tõkestades volitamata eelispääsu kriitilistele ressurssidele.

Mis on privileged access management (PAM)?

Privileged access management (PAM) on identiteediturbelahendus, mis aitab kaitsta asutusi küberrünnete eest, jälgides, tuvastades ja tõkestades volitamata eelispääsu kriitilistele ressurssidele. PAM töötab inimeste, protsesside ja tehnoloogia kombinatsiooni kaudu ning annab teile ülevaate sellest, kes kasutab eelispääsuga kontosid ja mida nad sisselogimisel teevad. Haldusfunktsioonidele juurdepääsu omavate kasutajate arvu piiramine suurendab süsteemi turvalisust, samas kui täiendavad kaitsekihid leevendavad ründajate toime pandud andmeturbemurdeid.

Kuidas privileged access management toimib?

PAM-i lahendus tuvastab eelispääsu nõudvad inimesed, protsessid ja tehnoloogia ning määrab neile kehtivad poliitikad. Teie PAM-i lahendus peab suutma toetada teie kehtestatud poliitikaid (nt automatiseeritud paroolihaldus ja mitmikautentimine) ning administraatorid peaksid saama automatiseerida kontode loomise, muutmise ja kustutamise protsessi. Teie PAM-i lahendus peaks pidevalt jälgima seansse, et saaksite anomaaliate tuvastamiseks ja uurimiseks aruandeid genereerida.

 

Kaks peamist privileged access managementi kasutusjuhtu takistavad identimisteabe vargust ja nõuetelevastavust.

 

Identimisteabe vargus on see, kui küberohustaja varastab kasutaja kontole juurdepääsu saamiseks sisselogimisteavet. Pärast sisselogimist pääseb ta juurde organisatsiooni andmetele, paigaldab ründevara erinevatesse seadmetesse ja pääseb juurde kõrgema taseme süsteemidele. PAM-i lahendus aitab seda riski leevendada, tagades kõigi administraatoriidentiteetide ja -kontode jaoks täppisajastatud ja piisava juurdepääsu ning mitmikautentimise.

 

Ükskõik, millised vastavusstandardid teie organisatsioonile kehtivad, on delikaatsete andmete (nt makse- või isiklike terviseandmete) kaitsmiseks tõenäoliselt vaja kõige väiksemate õiguste poliitikat. PAM-i lahendus võimaldab teil ka oma nõuetelevastavust tõestada, koostades aruandeid eelispääsuga kasutajategevuse kohta – kes millistele andmetele juurde pääseb ja miks.

 

Täiendavad kasutusjuhud on kasutaja elutsükli automatiseerimine (nt konto loomine, ettevalmistus ja eemaldamine), õigustega kontode jälgimine ja salvestamine, kaugjuurdepääsu tagamine ja kolmanda osapoole juurdepääsu reguleerimine. PAM-i lahendusi saab rakendada ka seadmetele (asjade Internet), pilvkeskkondadele ja DevOps-projektidele.

 

Eelispääsu väärkasutus on küberturbeoht, mis võib põhjustada mis tahes organisatsioonile tõsist ja ulatuslikku kahju. PAM-i lahendus pakub töökindlaid funktsioone, mis aitavad teil selle riski ees sammu võrra ees püsida.

  • Pakkuge kriitilistele ressurssidele õigeaegset juurdepääsu
  • Lubage turvaline kaugjuurdepääs, kasutades paroolide asemel krüpteeritud lüüsi
  • Jälgige eelispääsuga seansse uurimisauditite toetamiseks
  • Analüüsige teie asutust kahjustada võivat ebatavalist eelispääsuga tegevust
  • Jäädvustage eelispääsuga kontosündmused vastavusaudititeks
  • Looge aruandeid eelispääsu ja -tegevuse kohta
  • Kaitske DevOpsi integreeritud parooliturbega

Eelispääsuga kontode tüübid

Superkasutajakontod on eelispääsuga kontod, mida kasutavad administraatorid, kellel on piiramatu juurdepääs failidele, kataloogidele ja ressurssidele. Nad saavad installida tarkvara, muuta konfiguratsioone ja sätteid ning kustutada kasutajaid ja andmeid.

  • Eelispääsuga kontod

    Eelispääsuga kontod pakuvad juurdepääsu ja õigusi lisaks mitte-eelispääsuga kontodele (nt tavakasutajakontod ja külaliskasutajakontod).

  • Domeeniadministraatori kontod

    Domeeniadministraatori kontod on süsteemi kõrgeim kontrollitase. Nendel kontodel on juurdepääs kõigile teie domeeni tööjaamadele ja serveritele ning nad juhivad süsteemikonfiguratsioone, administraatorikontosid ja rühma liikmestaatusi.

  • Kohalikud administraatorikontod

    Kohalikel administraatorikontodel on administraatori kontroll teatud serverite või tööjaamade üle. Need kontod luuakse sageli hooldustoimingute jaoks.

  • Rakenduseadministraatori kontod

    Rakenduseadministraatori kontodel on täielik juurdepääs kindlatele rakendustele ja neis talletatud andmetele.

  • Teenusekontod

    Teenusekontod aitavad rakendustel operatsioonisüsteemiga turvalisemalt suhelda.

  • Ärikasutaja eelispääsuga kasutajakontod

    Ärikasutaja eelispääsuga kasutajakontodel on kõrgetasemelised õigused, mis põhinevad tööülesannetel.

  • Hädaabikontod

    Avarii- või katkestuste korral annavad hädaabikontod kasutajatele administraatori juurdepääsu turvalistele süsteemidele.

PAM vs. PIM

Eelispääsu haldus aitab organisatsioonidel hallata identiteete ja muudab küberründajatele võrgule juurdepääsu ja eelispääsu hankimise raskemaks. See lisab kaitse eelisõigustega rühmadele, mis kontrollivad juurdepääsu domeeniga liidetud arvutitele ja nende arvutite rakendustele. PAM pakub ka jälgimist, nähtavust ja täpseid juhtelemente, et saaksite näha, kes on teie eelisõigusega administraatorid ja kuidas nende kontosid kasutatakse.

 

Eelispääsuga identiteetide haldus (PIM) pakub aja- ja kinnituspõhist rolliaktiveerimist, et leevendada liigse, ebavajaliku või väärkasutatud juurdepääsu ohtu delikaatsetele ressurssidele oma asutuses, jõustades nende kontode jaoks täppisajastatud ja piisavat juurdepääsu. Nende eelispääsuga kontode veelgi turvalisemaks muutmiseks võimaldab PIM teil jõustada poliitikasuvandeid, näiteks mitmikautentimine.

 

Kuigi PAM-il ja PIM-il on palju sarnasusi, kasutab PAM teie ressurssidele juurdepääsu kontrollimiseks ja jälgimiseks tööriistu ja tehnoloogiat ning töötab minimaalsete eelispääsude põhimõttel (tagades, et töötajatel oleks oma töö tegemiseks piisav juurdepääs), samas kui PIM kontrollib administraatoreid ja superkasutajaid, kellel on ajaliselt piiratud juurdepääs, ja turvab neid eelispääsuga kontosid.

Privileged access managementi head tavad

PAM-i lahenduse kavandamisel ja juurutamisel tuleb silmas pidada häid tavasid, mis aitavad teie asutuses turvalisust parandada ja riske leevendada.

  • Nõudke mitmikautentimist

    Lisage mitmikautentimise abil sisselogimisprotsessile kaitsekiht. Kontodele või rakendustele juurdepääsul peavad kasutajad lisaidentiteeti tõendama mõne muu kinnitatud seadme kaudu.

  • Turvalisuse automatiseerimine

    Turbekeskkonna automatiseerimise abil saate vähendada inimeksimustest tekkivaid ohte ja suurendada tõhusust. Näiteks saate automaatselt piirata õigusi ja takistada ohu tuvastamisel ebaturvalisi või volitamata toiminguid.

  • Lõpp-punkti kasutajate eemaldamine

    Tuvastage ja eemaldage IT Windowsi tööjaamades kohalike administraatorite rühmast mittevajalikud lõpp-punkti kasutajad. Küberründajad saavad kasutada administraatorikontot, et liikuda ühest tööjaamast teise, varastada muud identimisteavet ja suurendada oma õigusi võrgus liikumiseks.

  • Lähtejoonte loomine ja kõrvalekallete jälgimine

    Auditeerige eelispääsutegevusi, et näha, kes mida süsteemis teeb ja kuidas kasutatakse eelisõigustega paroole. Kui teate, mis on aktsepteeritava tegevuse lähtejoon, aitab see teil märgata kõrvalekaldeid, mis võivad teie süsteemi ohustada.

  • Pakkuge täppisajastatud juurdepääsu

    Rakendage kõigele ja kõigile vähimate õiguste poliitikat ja seejärel suurendage vajaduse korral õigusi. See aitab teil segmentida süsteeme ja võrke kasutajatele ning protsessidele, võttes aluseks usaldustasemed, vajadused ja õigused.

  • Vältige pidevat eelispääsu

    Kaaluge pideva eelispääsu asemel ajutist täppisajastatud ja piisavat juurdepääsu. See aitab tagada, et kasutajatel on selliseks juurdepääsuks mõjuv põhjus ja ainult vajaliku aja jooksul.

  • Kasutage tegevusepõhist juurdepääsu reguleerimist

    Andke õigused ainult neile ressurssidele, mida isik oma varasema tegevuse ja kasutuse põhjal tegelikult kasutab. Seadke eesmärgiks sulgeda antud õiguste ja kasutatavate õiguste vahemik.

Privileged access managementi tähtsus

Inimesed on süsteemiturbe osas nõrgim lüli ning eelispääsuga kontod kujutavad teie asutusele märkimisväärset ohtu. PAM võimaldab turbemeeskondadel tuvastada õiguste väärkasutusega seotud ründetegevusi ja võtta kohe kasutusele meetmed riskide tuvastamiseks. PAM-i lahendus tagab, et töötajatel on töö tegemiseks vaid vajalikud juurdepääsutasemed.

 

Lisaks õiguste väärkasutusega seotud pahatahtlike tegevuste tuvastamisele aitab PAM-i lahendus teie organisatsioonil teha järgmist.

  • Saate vähendada turbemurde võimalikkust. Turbemurde korral aitab PAM-i lahendus piirata selle ulatust teie süsteemis.
  • Saate vähendada küberründajate sissepääsuvõimalusi ja teid. Inimeste, protsesside ja rakenduste piiratud õigused kaitsevad sise- ja välisohtude eest.
  • Ründevararünnete vältimine. Kui ründevara saab jalad alla ja hoo sisse, võib liigsete õiguste eemaldamine aidata selle levimist pidurdada.
  • Saate luua auditisõbralikuma keskkonna. Tegevuslogid aitavad teil jälgida ja tuvastada kahtlast tegevust, et saavutada põhjalik turbe- ja riskihaldusstrateegia.

PAM-i turbe rakendamine

Privileged access managementi kasutamise alustamiseks vajate plaani, et teha järgmist.

  1. Saate tagada kõigi eelispääsuga kontode ja identiteetide täieliku nähtavuse. Teie PAM-i lahendus peaks võimaldama teil näha kõiki õigusi, mida kasutavad inimesed ja töökoormused. Kui vastav nähtavus on olemas, eemaldage vaikeadministraatorikontod ja rakendage vähimad õigused.
  2. Saate reguleerida ja juhtida eelispääsu. Peate olema kursis eelispääsuga ja säilitama kontrolli õiguste suurendamise üle, et nende kasutamine kontrolli alt ei väljuks ega seaks ohtu teie organisatsiooni küberturvet.
  3. Saate jälgida ja auditeerida eelispääsuga tegevusi. Saate määrata poliitikaid, mis määratlevad eelispääsuga kasutajate õiguspärase käitumise ja tuvastavad toimingud, mis neid poliitikaid rikuvad.
  4. Saate automatiseerida PAM-i lahendused. Turvalisuse ja nõuetelevastavuse edendamiseks on võimalik skaleerida miljonite privilegeeritud kontode, kasutajate ja varade vahel. Saate automatiseerida tuvastamist, haldamist ja jälgimist, et vähendada haldusülesandeid ja töö keerukust.

Olenevalt teie IT-osakonnast saate oma PAM-i lahendust valmisvariandina kasutada kohe ja järk-järgult lisada mooduleid, et toetada suuremat ja paremat funktsionaalsust. Nõuetelevastavuse eeskirjade täitmiseks peaksite kaaluma ka turbekontrolli soovitusi.

 

Samuti on võimalik integreerida oma PAM-i lahendus oma turbeteabe ja -sündmuste halduse (SIEM) lahendusega.

Privileged access managementi lahendused

Tehnoloogiast üksi ei piisa, et kaitsta teie organisatsiooni küberrünnete eest. See nõuab lahendust, mis võtab arvesse teie inimesi, protsesse ja tehnoloogiat.

 

Lugege täpsemalt, kuidas Microsofti turbeteenuse identiteedi ja juurdepääsu lahendused aitavad kaitsta oma ettevõtet, tagades kõigile oma kasutajatele, nutiseadmetele ja teenustele juurdepääsu ühendatud maailmale.

Korduma kippuvad küsimused

|

Kasutaja- ja juurdepääsuhaldus (IAM) koosneb reeglitest ja poliitikatest, mis määravad, kes, millal, kus ja kuidas ressurssidele juurde pääseb. Nende hulka kuuluvad paroolihaldus, mitmikautentimine, ühekordne sisselogimine (SSO)ja kasutaja elutsükli haldus.

 

Privileged access management (PAM) on seotud eelispääsuga kontode turvamiseks vajalike toimingute ja tehnoloogiatega. See on IAM-i alamhulk, mis võimaldab teil juhtida ja jälgida eelispääsuga kasutajate tegevust (kellel on suurem juurdepääs kui tavakasutajatel), kui nad on süsteemi sisse logitud.

Töökindel seansihaldus on PAM-i turbetööriist, mis võimaldab teil pärast sisselogimist vaadata, mida teevad eelisõigustega kasutajad (teie asutuse töötajad, kellel on juurdepääs süsteemidele ja seadmetele). Tulemuseks olevad kontrolljäljed hoiatavad teid eelispääsu juhusliku või tahtliku väärkasutuse eest.

Privileged access managementi (PAM) saab kasutada teie organisatsiooni turbeseisundi tugevdamiseks. See võimaldab teil reguleerida juurdepääsu oma taristule ja andmetele, konfigureerida süsteeme ning otsida nõrkusi.

PAM-i lahenduse eelised hõlmavad turberiskide leevendamist, tegevuskulude ja keerukuse vähendamist, nähtavuse ja olukorrateadlikkuse suurendamist kogu organisatsioonis ning normatiivse nõuetelevastavuse parandamist.

Kui otsustate oma organisatsioonis kasutusele võtta PAM-i lahendus, veenduge, et see sisaldaks mitmikautentimist, seansihaldust ja täppisajastatud juurdepääsufunktsioone, rollipõhist turvet, reaalajas teavitusi, automatiseerimist ning auditeerimis- ja aruandlusfunktsioone.