De 6 belangrijkste PAM-functies die u echt nodig hebt

Gepubliceerd op februari 19, 2025

Geprivilegieerd toegangsbeheer (PAM) is een subset van identiteits- en toegangsbeheer (IAM) die specifiek is gericht op het controleren van de toegang voor gebruikers die met de meest gevoelige systemen en gegevens binnen een organisatie werken, zoals de afdelingen voor IT, informatiebeveiliging en DevOps. Naast andere taken past PAM het principe van minimale privileges toe, waardoor gebruikers het minimale niveau van systemen en gegevenstoegang krijgen die ze nodig hebben om hun werk te doen.

Aangezien cyberaanvallen steeds frequenter en intenser worden en meer financiële gevolgen hebben, zijn er steeds meer organisaties die PAM-oplossingen aan hun beveiligingstechnologie toevoegen. Het beoordelen en selecteren van de juiste oplossing kan echter een uitdaging zijn omdat er momenteel zoveel verschillende concurrerende PAM-producten beschikbaar zijn.

Laten we de zes belangrijkste functies voor geprivilegieerd toegangsbeheer bekijken die u daadwerkelijk nodig hebt om uw organisatie te beveiligen.

1. Cloudgebaseerde, zero-trust en zero-knowledge beveiliging

Hoewel de hedendaagse organisatorische gegevensomgevingen sterk of zelfs volledig cloudgebaseerd zijn, zijn veel ‘moderne’ PAM-producten oorspronkelijk ontwikkeld voor de lokale infrastructuur, waarbij de cloudfuncties op een later moment zijn aangepast aan de beveiliging. PAM-producten die niet in de cloud zijn ontwikkeld, maken niet volledig gebruik van cloudfuncties, zoals de mogelijkheid om cloudbronnen automatisch omhoog of omlaag te schalen wanneer dat nodig is (automatische schaling), zero-trust beveiliging en zero-knowledge encryptie.

Producten die niet zero-knowledge zijn, zijn van nature minder veilig, omdat de serviceprovider toegang heeft tot gevoelige gebruikersgegevens. Providers die geen gebruik maken van zero-knowledge slaan gegevens op in een leesbaar formaat of hebben de mogelijkheid om gebruikersgegevens te ontsleutelen. Als hun systemen worden gehackt, hebben aanvallers mogelijk toegang tot deze gevoelige gegevens. Omgekeerd kunnen zero-knowledge providers de gebruikersgegevens niet lezen, zelfs niet als er een inbreuk plaatsvindt, omdat de gegevens zijn versleuteld en alleen de gebruiker in bezit is van de sleutels.

Naast het voorkomen van inbreuken op gevoelige gebruikersgegevens door externe bedreigers of kwaadaardige insiders, houdt zero-knowledge encryptie gevoelige gegevens uit handen van overheidsinstanties. Gegevens die door de provider zijn opgeslagen, zijn onderworpen aan de lokale regelgeving en kunnen zonder de toestemming van de gebruiker worden geopend of gecontroleerd. Overheden of regelgevende instanties kunnen om toegang tot gebruikersgegevens vragen. Een bedrijf dat geen zero-knowledge encryptie gebruikt, kan wettelijk worden gedwongen om gebruikersgegevens te verstrekken bij een dergelijk verzoek. Als een organisatie zero-knowledge encryptie gebruikt, kan deze niet aan zulke verzoeken voldoen, omdat ze de gebruikersgegevens gewoon niet kunnen ontsleutelen.

Tot slot zorgt zero-knowledge ervoor dat het vertrouwen tussen serviceproviders en hun klanten wordt versterkt. Organisaties moeten erop kunnen vertrouwen dat hun serviceprovider hun gegevens op verantwoorde wijze verwerkt en beschermt.

In een zero-knowledge omgeving is dit vertrouwen gemakkelijker te geven, omdat de serviceprovider geen toegang heeft tot gevoelige gebruikersgegevens, wat er ook gebeurt.

KeeperPAM®: zero-knowledge beveiliging ingebouwd in de cloud, voor de cloud

In tegenstelling tot veel van onze concurrenten, is KeeperPAM geen lokaal product met cloudfuncties die op een later moment worden toegevoegd. KeeperPAM is gebouwd in de cloud, voor de cloud, met behulp van de zero-knowledge beveiligingsarchitectuur van Keeper. Dit betekent dat alleen de eindgebruiker de wachtwoorden, bestanden of andere gegevens die in zijn Keeper Vault zijn opgeslagen, kan bekijken. Dus niet uw lokale beheerder of zelfs de eigen werknemers van Keeper. De infrastructuur van Keeper bemiddelt verbindingen en er worden end-to-end versleutelde peer-to-peer-verbindingen gemaakt van de browser van de gebruiker naar de doelinfrastructuur.

2. Gedetailleerde toegangscontrole en beleidshandhaving

Een gedetailleerde toegangscontrole zorgt ervoor dat organisaties een veilige, efficiënte omgeving kunnen creëren en aan de voorschriften kunnen voldoen door de toegang te beperken die exact is afgestemd op wat gebruikers of systemen nodig hebben. Het wordt meestal gekoppeld met een op rollen gebaseerde toegangscontrole (RBAC) en toegang met minimale privileges (ook wel ‘just enough privilege’ genoemd, of JEP), waarbij de machtigingen voor toegang tot systemen en gegevens zijn gebaseerd op de functie van een werknemer, met als einddoel ervoor te zorgen dat gebruikers alleen toegang hebben tot de bronnen die ze nodig hebben om hun werk uit te voeren, en niet meer. Aangezien gedetailleerde toegangscontrole, RBAC en minimale privileges/JEP de hoekstenen zijn van moderne zero-trust beveiligingsomgevingen, is het absoluut noodzakelijk dat uw PAM-oplossing deze ondersteunt.

Just-in-Time (JIT)-toegang is een andere belangrijke functie om veilige geprivilegieerde toegang te waarborgen. JIT verleent gebruikers of systemen alleen tijdelijke en tijdsbepaalde toegang tot bronnen wanneer ze ze deze nodig hebben om specifieke taken uit te voeren. Dit houdt in dat de toegang:

Op verzoek wordt geleverd: geactiveerd op verzoek of geactiveerd door een specifieke gebeurtenis.
Tijdgebonden is: automatisch ingetrokken na een vooraf gedefinieerde periode of zodra de taak is voltooid.
Contextbewust is: het bevat eventueel specifieke voorwaarden zoals de rol van de gebruiker, locatie, apparaat of beveiligingshouding.

Zo vereenvoudigt KeeperPAM gedetailleerde toegangscontrole en beleidshandhaving

KeeperPAM kan JIT-toegang bieden naar elke doelinfrastructuur of -systeem zonder inloggegevens bloot te stellen. Zodra de toegang is verlopen, kunnen de inloggegevens automatisch worden gerouleerd. Door de principes van JIT en minimale privileges/JEP te implementeren, vermindert KeeperPAM de staande privileges, beperkt de kwetsbaarheden in de beveiliging en vermindert het risico op buitensporige machtigingen.

3. Sessiebeheer, -bewaking en -registratie

In de context van geprivilegieerd toegangsbeheer zijn sessiebeheer, bewaking en registratie kritieke functies die toezicht, controle en aansprakelijkheid bieden over de activiteiten van geprivilegieerde gebruikers. Deze functies zorgen ervoor dat de acties die door privileged accounts worden uitgevoerd, zorgvuldig worden gevolgd, geregistreerd en gecontroleerd om de risico’s te beperken die worden veroorzaakt door hun verhoogde toegang.

Sessiebeheer omvat het controleren van geprivilegieerde gebruikerssessies, inclusief het starten, onderhouden en beëindigen van de toegang tot gevoelige systemen. Zorg ervoor dat uw PAM-oplossing de volgende mogelijkheden heeft:

Sessie-initiatie: vergemakkelijking van veilige, tijdgebonden verbindingen met doelsystemen.
Toegangscontrole: het handhaven van een beleid zoals tijdslimieten of specifiek apparaatgebruik tijdens sessies.
Sessie-beëindiging: sessies worden automatisch beëindigd op basis van inactiviteit of beleidsschendingen.
Sessiebewaking: realtime volgen van gebruikersactiviteiten tijdens geprivilegieerde sessies, waardoor IT- en beveiligingspersoneel kunnen zien welke acties worden uitgevoerd, vaak via live dashboards of mechanismen voor het delen van schermen.
Sessie-opname: het vastleggen en opslaan van gedetailleerde logboeken en vaak een video-achtige weergave van geprivilegieerde sessies. Opnames omvatten meestal toetsaanslagen, uitgevoerde opdrachten, bekeken schermen en meer.

Sessiebeheer, bewaking en registratie helpen schadelijke activiteiten te voorkomen door beveiligingsteams in staat te stellen om in te grijpen als verdachte of ongeautoriseerde acties worden gedetecteerd tijdens een geprivilegieerde sessie. Ze verminderen bedreigingen van binnenuit door misbruik van privileges te ontmoedigen en bewijs te leveren voor forensisch onderzoek als zich incidenten voordoen. Sessiebeheer, met name sessie-opnames, is ook cruciaal voor naleving. Veel industriestandaarden en regelgevingskaders (bijv. HIPAA, PCI DSS en GDPR) vereisen het volgen, documenteren en rapporteren van de activiteiten van geprivilegieerde gebruikers om gevoelige gegevens te beschermen.

Zorg ervoor dat u een PAM-oplossing selecteert die tunneling en Bring Your Own Tools (BYOT) ondersteunt. Tunneling verwijst naar de mogelijkheid om communicatie of interacties met externe systemen veilig te routeren en te beheren via een tussenpersoon of proxy zonder directe toegang tot het doelsysteem te vereisen. Dit is vooral belangrijk in PAM-oplossingen, omdat het een veilige, versleutelde communicatie tussen het apparaat van de gebruiker en het doelsysteem mogelijk maakt. Alle communicatie wordt via een PAM-gateway of proxy routeerd, die RBAC afdwingt en sessiebeheer mogelijk maakt. Het ondersteunt ook meerdere protocollen (bijv. SSH, RDP, HTTPS) om gebruikers in staat te stellen verschillende omgevingen veilig te beheren.

BYOT is een functie in uitgebreide PAM-oplossingen waarmee gebruikers hun favoriete tools en applicaties veilig kunnen gebruiken om met systemen te communiceren, in plaats van uitsluitend te vertrouwen op de tools die door het PAM-platform worden geleverd. Systeembeheerders kunnen hiermee bijvoorbeeld hun favoriete SSH-client gebruiken, zoals PuTTY of Terminal, om verbinding te maken met een server via het PAM-platform. Dit is geschikt voor workflows die gespecialiseerde tools of gebruikersvoorkeuren vereisen, met behoud van de beveiliging en bestuur.

Zo verbetert KeeperPAM sessiebeheer, -bewaking en -registratie

De tools voor geprivilegieerd sessiebeheer (PSM) van KeeperPAM gebruiken geheimenkluizen, JIT/JEP en het opnemen en afspelen van externe sessies om ervoor te zorgen dat kritieke inloggegevens en infrastructuur worden beschermd. Via sessie-opnames en toetsaanslagregistratie kunnen de gebruikersactiviteiten tijdens verbindingen en op beschermde websites worden geregistreerd voor controle-, nalevings- of beveiligingsdoeleinden. Dit zorgt voor de juiste interacties en vermindert zowel fraude als bedreigingen van binnenuit.

De gebruikersacties in de Keeper Vault worden ook geregistreerd en de geavanceerde rapportage- en waarschuwingsmodule van Keeper (ARAM) is een tool waarmee organisaties waarschuwingen kunnen instellen voor verdachte activiteiten, zoals mislukte inlogpogingen, wijzigingen in het administratieve beleid, het delen van records en wijzigingen in de levenscyclus van gebruikers. ARAM kan ook rapporten genereren die specifiek zijn om aan een nalevingskader te voldoen, zoals FedRAMP, SOC 2, ISO 27001 en HIPAA.

Organisaties kunnen Keeper integreren met hun bestaande tool voor beveiligingsinformatie en evenementenbeheer (SIEM) voor een meer geavanceerde analyse. Keeper kan worden geïntegreerd met elke SIEM die syslog-push ondersteunt en biedt verschillende kant-en-klare integraties, waaronder, maar niet beperkt tot Splunk, Datadog, Azure en LogRhythm.

KeeperPAM geeft ontwikkelaars de keuze om toegang te krijgen tot systemen. Ze kunnen de visuele interface van Keeper Connection Manager gebruiken om toegang te krijgen tot bronnen, of ze maken versleutelde TCP-tunnels aan om toegang te krijgen tot systemen met behulp van hun favoriete tools, zoals databases of terminalemulators.

KeeperPAM biedt ook Remote Browser Isolation (RBI), die de webbrowseractiviteiten van een gebruiker isoleert van hun lokale apparaat door deze op een externe server in een geïsoleerde virtuele omgeving uit te voeren, zoals een sandbox of virtuele machine. De webinhoud wordt op de externe server weergegeven, zodat schadelijke scripts, malware of exploits het apparaat van de gebruiker niet kunnen bereiken.

4. Ondersteuning voor passkeys

Passkeys zijn een moderne, phishing-bestendige authenticatiemethode die is ontworpen om traditionele wachtwoorden te vervangen. Ze zijn een soort wachtwoordloos inlogsysteem dat cryptografie met openbare sleutels gebruikt om de beveiliging en het gebruiksgemak te verbeteren. Passkeys worden steeds vaker gebruikt door grote tech-bedrijven, waaronder Apple, Google en Microsoft, en worden ondersteund door de FIDO Alliance. Naarmate ze steeds vaker worden gebruikt, wordt van ze verwacht dat ze het aantal wachtwoordgerelateerde cyberaanvallen drastisch verminderen, de online ervaringen veiliger en gebruikersvriendelijker maken en de digitale identiteitsverificatie transformeren door veilige, eenvoudig te gebruiken methoden te standaardiseren.

Door passkeys te integreren, kunnen organisaties de beveiliging aanzienlijk verbeteren en tegelijkertijd de complexiteiten verminderen die vaak gepaard gaan met traditioneel wachtwoordbeheer. Zorg er dus voor dat uw PAM-oplossing deze passkeys ondersteunt.

KeeperPAM maakt het eenvoudig om passkeys veilig op te slaan en te gebruiken

KeeperPAM is de eenvoudige en veilige manier voor uw organisatie om wachtwoorden, passkeys en bestanden voor elke werknemer op elk apparaat op te slaan. In combinatie met SSO-integratie kunnen uw gebruikers met KeeperPAM genieten van een naadloze, wachtwoordloze ervaring.

5. Wachtwoordkluizen en -beheer met geautomatiseerde rotatie

Geautomatiseerde wachtwoordroulatie en kluisopslag zijn functies van moderne PAM-oplossingen die de beveiliging en het beheer van privileged accounts verbeteren door de verwerking van wachtwoorden te automatiseren en ze veilig op te slaan.

Geautomatiseerde wachtwoordroulatie wijzigt de wachtwoorden voor geprivilegieerde accounts automatisch met gedefinieerde intervallen of na elk gebruik. Het proces wordt bestuurd door een vooraf gedefinieerd beleid en vereist geen handmatige tussenkomst. Geautomatiseerde wachtwoordrotatie vermindert het risico op ongeautoriseerde toegang door gecompromitteerde of verouderde inloggegevens, zorgt ervoor dat geen enkele gebruiker permanente toegang heeft tot privileged accounts en de wettelijke vereisten naleeft, zoals PCI DSS en HIPAA die wachtwoordroulatie verplichten.

Kluisopslag van wachtwoord verwijst naar het veilig opslaan van inloggegevens voor geprivilegieerde accounts in een versleutelde en gecentraliseerde opslag (de ‘kluis’). Gebruikers of systemen moeten zich authenticeren met de PAM-oplossing om wachtwoorden op te halen voor toegang tot bronnen. De toegang tot de kluis is beperkt op basis van een beleid zoals RBAC. Inloggegevens kunnen voor specifieke sessies worden opgehaald en worden voor de gebruiker verborgen. Dit elimineert de verspreide opslag van gevoelige inloggegevens op verschillende systemen of persoonlijke apparaten, integreert met het beleid voor toegangscontrole om te beperken wie specifieke wachtwoorden kan ophalen of gebruiken, en registreert elke toegang tot de kluis, waardoor het gebruik van inloggegevens inzichtelijk is.

Bij het handhaven van de beste gewoonten voor cybersecurity wordt het afgeraden om wachtwoorden te delen. Idealiter hebben alle gebruikers unieke logins voor elk systeem en elke applicatie. In de praktijk is dit echter niet altijd realistisch, dus het is belangrijk om ervoor te zorgen dat uw gebruikers in staat worden gesteld om wachtwoorden veilig te delen aan de hand van uw PAM-oplossing. Zoek naast gedeelde accounts naar functies zoals tijdelijk delen (tijdbeperkte toegang), eenmalige delen en zelfvernietiging na delen.

Zo beveiligt KeeperPAM kluisopslag en automatiseert de roulatie van wachtwoorden

Met KeeperPAM kunnen gebruikers de accounttoegang veilig delen zonder inloggegevens bloot te stellen. Gedeelde toegang kan onbeperkt of tijdbeperkt zijn, met inbegrip van eenmalig delen en zelfvernietiging na een gedefinieerde periode. Zodra de toegang is verlopen, kunnen de inloggegevens automatisch worden gerouleerd. KeeperPAM geeft IT- en beveiligingsteams volledige controle over welke gebruikers inloggegevens en bestanden kunnen delen. Door ervoor te zorgen dat alleen geautoriseerde gebruikers kunnen delen, kunnen organisaties gegevensverlies voorkomen en zich gemakkelijker aan de nalevingsvoorschriften houden.

De zero-knowledge beveiligingsarchitectuur van KeeperPAM zorgt voor de volledig veilige kluisopslag van wachtwoorden. Keeper heeft geen toegang tot alles in de kluizen van gebruikers en er wordt geen verkeer via het netwerk van Keeper geleid, waardoor totale gegevensprivacy is gegarandeerd. Niemand, zelfs niet de werknemers van Keeper, heeft toegang tot de gegevens in de kluis van gebruikers; en niemand kan deze ontsleutelen.

De geautomatiseerde wachtwoordroulatie van KeeperPAM stelt beheerders in staat om inloggegevens voor service- of beheerdersaccounts in hun hele bedrijfsomgeving op te sporen, te beheren en te rouleren. De functie voor gecentraliseerde kluisopslag en wachtwoordroulatie van Keeper sluit aan bij het zero-trust model door ervoor te zorgen dat inloggegevens niet permanent toegankelijk zijn en dat alle toegang wordt geverifieerd en gecontroleerd.

6. Beschermt uw hele organisatie, niet alleen IT

Sommige PAM-producten die momenteel op de markt zijn, zijn uitsluitend ontworpen om IT-beheerders, DevOps-personeel en andere geprivilegieerde gebruikers te beschermen. Het is echter van cruciaal belang om alle gebruikers in uw organisatie te beveiligen, niet alleen de gebruikers met geprivilegieerde toegang. Dit betekent dat u zowel een PAM-oplossing als een algemene IAM-oplossing moet implementeren, en vervolgens beide producten moet beheren en onderhouden. Dit creëert meer werk voor uw IT- en beveiligingsteams en maakt het moeilijker om ervoor te zorgen dat het interne beleid en de interne controles consistent worden toegepast op uw hele gebruikersbestand.

KeeperPAM is gemaakt om uw hele gebruikersbestand te beveiligen

Met KeeperPAM hoeven organisaties alleen de Keeper Vault te implementeren voor al hun gebruikers om volledige dekking te kunnen garanderen. KeeperPAM biedt een op rollen gebaseerde toegangscontrole met minimale privileges die is afgestemd op specifieke functies. Hierdoor kunnen organisaties de gebruikerstoegang stroomlijnen met behoud van een robuust beveiligingsbeleid, wat zorgt voor minder administratieve taken voor IT-teams en een naadlozere ervaring voor eindgebruikers.

KeeperPAM is voor iedereen in uw organisatie eenvoudig te gebruiken. Het vereist geen directe toegang van gebruikers tot de infrastructuur of de Keeper-gateway. Implementeer de webkluis van Keeper voor uw gebruikers, en alles is volledig geïntegreerd, zonder de noodzaak voor desktopinstallatie of agenten.

Kies KeeperPAM als de PAM-oplossing voor uw organisatie

KeeperPAM is de allereerste oplossing ooit die kritieke PAM-functionaliteit integreert in een cloudkluis voor het bieden van veilige toegang tot uw hele gebruikersbestand, niet alleen voor uw IT-afdeling. Als een volledig cloud-native platform bundelt KeeperPAM kluisopslag, geheimenbeheer, verbindingsbeheer, zero-trust toegang en de isolatie van externe browsers in een uniforme interface.

Plan een KeeperPAM-demo voor meer informatie over de proactieve aanpak van Keeper bij het beveiligen van de toegang en het uniform beheer voor al uw kritieke bronnen.

Vraag een demo aan

Teresa Rothaar

Door Teresa Rothaar

Teresa Rothaar is a governance, risk, and compliance (GRC) analyst at Keeper Security. In this role, she spearheads employee cybersecurity awareness training; maintains the company’s RFP response library; creates and maintains internal security policies; develops automated GRC processes to achieve robust risk management and compliance results; performs external vendor risk assessments; and facilitates third-party certification audits. Prior to joining Keeper, she spent six years as a cybersecurity copywriter, where she produced hundreds of blogs and ghostwritten articles, dozens of whitepapers and case studies, and other thought leadership content for cybersecurity firms ranging from small startups to multinational corporations. She is a CISSP, holds an MBA and an M.S. in management information systems from Wilmington University, and received a B.S. in mathematics and computer science from Temple University.