PAM 
Do najczęstszych błędów związanych z zarządzaniem wpisami tajnymi należą twarde kodowanie wpisów tajnych, brak ich rotacji, nadmierne przyznawanie dostępu, brak scentralizowanego zarządzania oraz zaniedbanie cyklu życia ...
Zarządzanie uprzywilejowanym dostępem (PAM) to podzbiór zarządzania tożsamością i dostępem (IAM), który dotyczy w szczególności kontrolowania dostępu użytkowników, którzy pracują z najbardziej poufnymi systemami i danymi w organizacji, takich jak pracownicy działów IT, zespołów ds. bezpieczeństwa informacji oraz DevOps. Jednym z wielu zadań PAM jest egzekwowanie zasady niezbędnych minimalnych uprawnień, która zapewnia użytkownikom minimalny poziom dostępu do systemów i danych, którego potrzebują do wykonywania swoich obowiązków służbowych.
Wraz ze wzrostem częstotliwości, intensywności oraz wpływu finansowego cyberataków coraz więcej organizacji dodaje rozwiązania PAM do swoich stosów technologii bezpieczeństwa. Jednak ocena i wybór odpowiedniego rozwiązania może być wyzwaniem ze względu na dostępność wielu konkurencyjnych produktów PAM.
Przyjrzyjmy się sześciu najważniejszym funkcjom zarządzania uprzywilejowanym dostępem, których naprawdę potrzebujesz, aby zabezpieczyć organizację.
1. Bezpieczeństwo oparte na chmurze oraz podejściu zero-trust i zero-knowledge
Mimo że dzisiejsze środowiska danych w organizacjach są w dużej mierze lub nawet całkowicie oparte na chmurze, wiele „nowoczesnych” produktów PAM zostało pierwotnie opracowanych dla infrastruktur lokalnych, a funkcje chmury zostały dodane później. Produkty PAM, które nie zostały opracowane w chmurze, nie wykorzystują w pełni funkcji chmury, takich jak możliwość automatycznego zwiększania lub zmniejszania wykorzystania zasobów chmury w zależności od potrzeb (automatyczne skalowanie), bezpieczeństwo typu zero-trust oraz szyfrowanie zero-knowledge.
Produkty, które nie stosują podejścia zero-knowledge, są z natury mniej bezpieczne, ponieważ dostawca usługi ma dostęp do poufnych danych użytkowników. Dostawcy usług niezapewniający podejścia zero-knowledge przechowują dane w czytelnym formacie lub mają możliwość odszyfrowania danych użytkowników. Jeśli ich systemy zostaną naruszone, atakujący mogą potencjalnie uzyskać dostęp do tych danych poufnych. Z kolei dostawcy usług zero-knowledge nie mogą odczytać danych użytkowników – nawet jeśli dojdzie do naruszenia – ponieważ dane są zaszyfrowane, a tylko użytkownik ma możliwość ich odszyfrowania.
Oprócz zapobiegania naruszeniom poufnych danych użytkowników przez atakujących zewnętrznych lub złośliwych agentów wewnętrznych, szyfrowanie zero-knowledge chroni dane poufne przed przekazaniem w ręce regulacyjnych organów rządowych. Dane przechowywane przez dostawcę podlegają lokalnym przepisom i mogą być dostępne lub monitorowane bez zgody użytkownika, a rządy lub organy regulacyjne mogą zażądać do nich dostępu. Firma, która nie stosuje szyfrowania zero-knowledge, może być prawnie zmuszona do przekazania danych użytkowników w odpowiedzi na takie żądanie. Jeśli organizacja wykorzystuje szyfrowanie zero-knowledge, nie jest w stanie spełnić takich żądań, ponieważ po prostu nie może odszyfrować danych użytkowników.
Ponadto podejście zero-knowledge buduje zaufanie między dostawcami usług a ich klientami. Organizacje muszą ufać dostawcy usług, że będzie przetwarzał ich dane oraz je chronił w sposób odpowiedzialny.
W środowisku zero-knowledge wzbudzenie zaufania jest łatwiejsze, ponieważ dostawca usługi nie może uzyskać dostępu do poufnych informacji użytkowników – bez względu na okoliczności.
KeeperPAM®: bezpieczeństwo zero-knowledge wbudowane w chmurę dla chmury
W przeciwieństwie do wielu naszych konkurentów, KeeperPAM nie jest produktem lokalnym z dodanymi później funkcjami chmury. KeeperPAM został zbudowany w chmurze, dla chmury, przy użyciu architektury bezpieczeństwa zero-knowledge firmy Keeper.. Oznacza to, że nikt poza użytkownikiem końcowym nie może zobaczyć haseł, plików ani innych danych przechowywanych w jego Keeper Vault – ani lokalny administrator, ani nawet pracownicy Keeper. Połączenia brokerów infrastruktury Keeper oraz kompleksowo szyfrowane połączenia peer-to-peer są tworzone między przeglądarką użytkownika a infrastrukturą docelową.
2. Szczegółowa kontrola dostępu oraz egzekwowanie zasad
Szczegółowa kontrola dostępu pomaga organizacjom tworzyć bezpieczne, wydajne i zgodne środowisko poprzez ograniczenie dostępu do tego, czego użytkownicy lub systemy potrzebują. Zazwyczaj jest to połączone z kontrolą dostępu opartą na rolach (RBAC) oraz dostępem na zasadzie niezbędnych minimalnych uprawnień (znanym również jako wystarczające uprawnienia, lub JEP), gdzie uprawnienia dostępu do systemów i danych są przyznawane w zależności od funkcji stanowiska pracownika, a ostatecznym celem takiego działania jest zapewnienie, że użytkownicy mogą uzyskać dostęp tylko i wyłącznie do tych zasobów, których potrzebują do wykonywania swoich obowiązków. Szczegółowa kontrola dostępu, RBAC oraz zasada niezbędnych minimalnych uprawnień/JEP są kamieniami węgielnymi nowoczesnych środowisk bezpieczeństwa typu zero-trust, dlatego konieczne jest, aby Twoje rozwiązanie PAM je obsługiwało.
Dostęp just-in-time (JIT) to kolejna ważna funkcja zapewniająca bezpieczny uprzywilejowany dostęp. JIT zapewnia użytkownikom lub systemom tymczasowy, ograniczony czasowo dostęp do zasobów tylko wtedy, gdy jest on potrzebny do wykonania określonych zadań. Oznacza to, że dostęp jest:
- zapewniany na żądanie: aktywowany na żądanie lub wywołany określonym zdarzeniem;
- ograniczony czasowo: automatycznie cofany po upływie określonego czasu lub po zakończeniu zadania;
- świadomy kontekstu: może uwzględniać takie warunki, jak rola użytkownika, lokalizacja, urządzenie lub jego kondycja bezpieczeństwa.
Jak KeeperPAM upraszcza szczegółową kontrolę dostępu oraz egzekwowanie zasad?KeeperPAM może zapewnić dostęp JIT w dowolnej docelowej infrastrukturze lub systemie, bez ujawniania danych uwierzytelniających. Po wygaśnięciu dostępu dane uwierzytelniające mogą być automatycznie rotowane. Wdrażając JIT oraz zasady niezbędnych minimalnych uprawnień/JEP, KeeperPAM ogranicza stosowanie stałych uprawnień oraz zmniejsza luki w zabezpieczeniach i ryzyko nadawania nadmiernych uprawnień. |
3. Zarządzanie, monitorowanie i nagrywanie sesji
W kontekście zarządzania uprzywilejowanym dostępem zarządzanie sesjami, ich monitorowanie oraz nagrywanie to kluczowe funkcje, które zapewniają nadzór, kontrolę oraz możliwość rozliczenia za działania uprzywilejowanych użytkowników. Stosowanie tych funkcji sprawia, że działania podejmowane przez konta uprzywilejowane są dokładnie śledzone, rejestrowane oraz analizowane, aby zmniejszyć ryzyko związane z ich podwyższonym dostępem.
Zarządzanie sesją obejmuje kontrolowanie sesji uprzywilejowanych użytkowników, w tym inicjowanie, utrzymywanie i kończenie dostępu do poufnych systemów. Upewnij się, że Twoje rozwiązanie PAM ma następujące możliwości:
- Inicjacja sesji: ułatwianie bezpiecznych, ograniczonych czasowo połączeń między docelowymi systemami.
- Kontrola dostępu: egzekwowanie zasad, takich jak limity czasowe lub wykorzystanie określonych urządzeń podczas sesji.
- Zakończenie sesji: automatyczne zakończenie sesji w wyniku braku aktywności lub naruszenia zasad.
- Monitorowanie sesji: śledzenie w czasie rzeczywistym działań użytkowników podczas uprzywilejowanych sesji, które pozwala pracownikom IT oraz zespołom ds. bezpieczeństwa obserwować, jakie działania są podejmowane, często za pośrednictwem pulpitów nawigacyjnych na żywo lub mechanizmów udostępniania ekranu.
- Nagrywanie sesji: przechwytywanie i przechowywanie szczegółowych dzienników oraz często odtwarzanie uprzywilejowanych sesji w formacie przypominającym wideo. Nagrania zazwyczaj obejmują naciśnięcia klawiszy, wykonywane polecenia, wyświetlane ekrany i wiele innych działań.
Zarządzanie, monitorowanie oraz nagrywanie sesji pomagają zapobiegać złośliwym działaniom, umożliwiając zespołom ds. bezpieczeństwa interwencję, jeśli podczas uprzywilejowanej sesji zostaną wykryte podejrzane lub nieautoryzowane działania. Zmniejszają one zagrożenia wewnętrzne, powstrzymując nadużycia uprawnień oraz zapewniając dowody na potrzeby dochodzeń sądowych, jeśli dojdzie do incydentów. Zarządzanie sesjami, zwłaszcza ich nagrywanie, jest również kluczem do zapewnienia zgodności. Wiele standardów branżowych oraz ram regulacyjnych (np. HIPAA, PCI DSS oraz RODO) wymaga śledzenia, dokumentowania oraz raportowania działań uprzywilejowanych użytkowników w celu ochrony danych poufnych.
Wybierz rozwiązanie PAM, które obsługuje tunelowanie oraz możliwość przyniesienia własnych narzędzi (BYOT). Tunelowanie odnosi się do zdolności bezpiecznego kierowania komunikacją lub interakcjami ze zdalnymi systemami oraz zarządzania nimi za pośrednictwem pośrednika lub proxy, bez konieczności bezpośredniego dostępu do systemu docelowego. Jest to szczególnie ważne w przypadku rozwiązań PAM, ponieważ umożliwia bezpieczną, szyfrowaną komunikację między urządzeniem użytkownika a systemem docelowym. Kieruje również całą komunikację za pośrednictwem bramki lub serwera proxy PAM, który wymusza RBAC i umożliwia zarządzanie sesjami, a także obsługuje wiele protokołów (np. SSH, RDP, HTTPS), aby umożliwić użytkownikom bezpieczne zarządzanie różnymi środowiskami.
BYOT to funkcja kompleksowych rozwiązań PAM, która umożliwia użytkownikom bezpieczne korzystanie z preferowanych narzędzi i aplikacji do interakcji z systemami, zamiast polegać wyłącznie na narzędziach zapewnianych przez platformę PAM. Na przykład pozwala administratorom systemów korzystać z ich ulubionego klienta SSH, takiego jak PuTTY lub Terminal, do łączenia się z serwerem za pośrednictwem platformy PAM. Uwzględnia to procesy, które wymagają specjalistycznych narzędzi lub preferencji użytkowników, przy jednoczesnym zachowaniu bezpieczeństwa oraz zarządzania.
Jak KeeperPAM usprawnia zarządzanie sesją oraz jej monitorowanie i nagrywanie?
Narzędzia do zarządzania uprzywilejowanymi sesjami Privileged Session Management (PSM) w rozwiązaniu KeeperPAM wykorzystują przechowywanie wpisów tajnych w magazynie, mechanizmy JIT/JEP oraz nagrywanie i odtwarzanie zdalnych sesji, aby zapewnić ochronę kluczowych danych uwierzytelniających oraz infrastruktury. Poprzez nagrywanie sesji oraz rejestrowanie naciśnięć klawiszy aktywność użytkowników podczas połączeń oraz na chronionych stronach internetowych może być rejestrowana na potrzeby analizy, zapewnienia zgodności lub bezpieczeństwa. Zapewnia to właściwe interakcje oraz zmniejsza narażenie na zagrożenia wewnętrzne i oszustwa.
Działania użytkowników w Keeper Vault są również rejestrowane, natomiast moduł zaawansowanego raportowania i alertów Keeper (ARAM) pozwala organizacjom konfigurować alerty dotyczące podejrzanej działalności, takiej jak nieudane próby logowania, zmiany zasad administracyjnych, udostępnianie danych oraz zmiany cyklu życia użytkowników. ARAM może również generować raporty specjalnie w celu uwzględnienia ram zgodności, takich jak FedRAMP, SOC 2, ISO 27001 oraz HIPAA.
Organizacje mogą zintegrować rozwiązanie Keeper z istniejącym narzędziem do zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM), aby umożliwić bardziej zaawansowane analizy. Keeper integruje się z każdym rozwiązaniem SIEM, które obsługuje push syslog i ma gotowe integracje dla wielu rozwiązań, w tym między innymi Splunk, Datadog, Azure oraz LogRhythm.
KeeperPAM daje programistom wybór sposobu dostępu do systemów – mogą oni korzystać z wizualnego interfejsu rozwiązania Keeper Connection Manager, aby uzyskać dostęp do zasobów, lub tworzyć zaszyfrowane tunele TCP, aby uzyskać dostęp do systemów za pomocą preferowanych narzędzi, takich jak bazy danych lub emulatory terminali.
KeeperPAM oferuje również zdalną izolację przeglądarki (RBI), która izoluje aktywność przeglądania stron internetowych użytkownika od jego lokalnego urządzenia poprzez uruchamianie jej w odizolowanym środowisku wirtualnym, takim jak piaskownica lub maszyna wirtualna na zdalnym serwerze. Treści internetowe są renderowane na zdalnym serwerze, więc złośliwe skrypty, złośliwe oprogramowanie lub programy exploitów nie mogą dotrzeć do urządzenia użytkownika.
4. Obsługa kluczy dostępu
Klucze dostępu to nowoczesna, odporna na próby wyłudzania informacji metoda uwierzytelniania, zaprojektowana tak, aby zastąpić tradycyjne hasła. Są to rodzaj bezhasłowego systemu logowania, który wykorzystuje kryptografię klucza publicznego, aby zwiększyć bezpieczeństwo oraz łatwość użytkowania. Klucze dostępu są stosowane przez największe firmy technologiczne, takie jak Apple, Google oraz Microsoft, oraz są wspierane przez FIDO Alliance. Oczekuje się, że wraz z ich coraz większą popularnością drastycznie zmniejszy się liczba cyberataków związanych z hasłami, co sprawi, że korzystanie z Internetu będzie bezpieczniejsze i łatwiejsze dla użytkownika. Spowoduje także, że weryfikacja tożsamości cyfrowej zmieni się poprzez standaryzację bezpiecznych, łatwych w użyciu metod.
Wdrażając klucze dostępu, organizacje mogą znacznie zwiększyć bezpieczeństwo, jednocześnie zmniejszając złożoność związaną z tradycyjnym zarządzaniem hasłami – dlatego upewnij się, że Twoje rozwiązanie PAM je obsługuje.
KeeperPAM ułatwia bezpieczne przechowywanie oraz wykorzystywanie kluczy dostępu
KeeperPAM to prosty i bezpieczny sposób przechowywania haseł, kluczy dostępu oraz plików każdego pracownika na każdym urządzeniu. W połączeniu z integracją SSO KeeperPAM pozwala użytkownikom korzystać z płynnego, bezhasłowego doświadczenia.
5. Przechowywanie haseł oraz zarządzanie nimi za pomocą zautomatyzowanej rotacji
Zautomatyzowana rotacja haseł oraz ich przechowywanie w magazynie to cechy nowoczesnych rozwiązań PAM, które zwiększają bezpieczeństwo kont uprzywilejowanych oraz zarządzanie nimi poprzez automatyzację przetwarzania haseł oraz ich bezpieczne przechowywanie.
Zautomatyzowana rotacja haseł automatycznie zmienia hasła uprzywilejowanych kont w określonych odstępach czasu lub po każdym ich użyciu. Proces ten podlega określonym wcześniej zasadom i nie wymaga ręcznej interwencji. Zautomatyzowana rotacja haseł zmniejsza ryzyko nieautoryzowanego dostępu ze względu na naruszone lub przestarzałe dane uwierzytelniające i zapewnia, że żaden użytkownik nie zachowuje stałego dostępu do kont uprzywilejowanych. Spełnia także wymogi regulacyjne, takie jak PCI DSS oraz HIPAA, które nakazują rotację haseł.
Przechowywanie haseł w magazynie odnosi się do bezpiecznego przechowywania danych uwierzytelniających uprzywilejowanych kont w zaszyfrowanym, scentralizowanym repozytorium („magazynie”). Użytkownicy lub systemy muszą uwierzytelniać się za pomocą rozwiązania PAM, aby odzyskiwać hasła potrzebne do uzyskania dostępu do zasobów. Dostęp do magazynu jest ograniczony na podstawie zasad takich jak RBAC, a dane uwierzytelniające mogą być pozyskiwane podczas określonych sesji i są ukryte przed użytkownikiem. Eliminuje to rozproszone przechowywanie poufnych danych uwierzytelniających w różnych systemach lub urządzeniach osobistych, zapewnia integrację z zasadami kontroli dostępu, aby ograniczyć, kto może pobierać lub wykorzystywać określone hasła oraz rejestruje każdy dostęp do magazynu, zapewniając widoczność wykorzystania danych uwierzytelniających.
Ogólnie rzecz biorąc, najlepsze praktyki w zakresie cyberbezpieczeństwa odradzają udostępnianie haseł. Najlepiej jest, aby wszyscy użytkownicy mieli niepowtarzalne loginy dla każdego systemu oraz aplikacji. Jednak w praktyce nie zawsze jest to realistyczne, dlatego ważne jest, aby upewnić się, że Twoje rozwiązanie PAM pozwala użytkownikom bezpiecznie udostępniać hasła. Oprócz współdzielonych kont szukaj takich funkcji, jak tymczasowe udostępnianie (dostęp ograniczony czasowo), jednorazowe udostępnianie oraz samoniszczące udostępnianie.
Jak KeeperPAM zabezpiecza przechowywanie haseł oraz automatyzuje rotację
KeeperPAM umożliwia użytkownikom bezpieczne udostępnianie dostępu do kont bez ujawniania danych uwierzytelniających. Współdzielony dostęp może być nieograniczony lub ograniczony czasowo, w tym może obejmować jednorazowe udostępnianie oraz udostępnianie danych, które po określonym czasie ulegają samozniszczeniu. Po wygaśnięciu dostępu dane uwierzytelniające mogą być automatycznie rotowane. KeeperPAM daje działom IT oraz zespołom ds. bezpieczeństwa pełną kontrolę nad tym, którzy użytkownicy mogą udostępniać swoje dane uwierzytelniające oraz pliki. Zapewniając, że tylko upoważnieni użytkownicy mogą inicjować udostępnianie danych, organizacje mogą zapobiegać utracie danych oraz łatwiej zapewnić zgodność z przepisami.
Architektura bezpieczeństwa zero-knowledge KeeperPAM zapewnia całkowicie bezpieczne przechowywanie haseł w magazynie. Keeper nie może uzyskać dostępu do żądnych elementów w magazynie użytkowników, nie kieruje żadnego ruchu przez sieć Keeper, zapewniając całkowitą prywatność danych. Nikt, nawet pracownicy Keeper, nie może uzyskać dostępu do danych z magazynów użytkowników ani ich odszyfrować.
Zautomatyzowana rotacja haseł KeeperPAM pozwala administratorom odkrywać dane uwierzytelniające, zarządzać nimi oraz je rotować dla kont usług lub kont administratorów we wszystkich środowiskach danych przedsiębiorstwa. Scentralizowana funkcja przechowywania magazynów oraz rotacji haseł Keeper jest zgodna z modelem zero-trust, zapewniając, że dane uwierzytelniające nie są stale dostępne, a każdy dostęp jest weryfikowany oraz monitorowany.
6. Ochrona całej organizacji, nie tylko działu IT
Niektóre produkty PAM dostępne obecnie na rynku są zaprojektowane wyłącznie po to, aby chronić administratorów IT, pracowników DevOps oraz innych uprzywilejowanych użytkowników. Jednak niezwykle ważne jest, aby zabezpieczyć wszystkich użytkowników organizacji, nie tylko tych z uprzywilejowanym dostępem. Oznacza to, że trzeba wdrożyć zarówno rozwiązanie PAM, jak i ogólne rozwiązanie IAM, a następnie zarządzać nimi oraz je utrzymywać. Zwiększa to obciążenie pracą działów IT oraz zespołów ds. bezpieczeństwa oraz utrudnia zapewnienie, że wewnętrzne zasady oraz mechanizmy kontrolne są stosowane spójnie wśród całej bazy użytkowników.
KeeperPAM został stworzony, aby zabezpieczyć całą bazę użytkowników
Dzięki KeeperPAM wszystko, co organizacje muszą zrobić, to zastosować Keeper Vault wśród wszystkich swoich użytkowników, aby zapewnić pełny zasięg. KeeperPAM zapewnia kontrolę dostępu opartą na rolach wykorzystującą zasadę najmniejszych możliwych uprawnień, dostosowaną do funkcji służbowych. Pozwala to organizacjom usprawnić zapewnianie użytkownikom dostępu, jednocześnie zachowując solidne zasady bezpieczeństwa, zmniejszając zadania administracyjne zespołów IT oraz zmniejszając tarcia użytkowników końcowych.
Wszyscy pracownicy organizacji mogą z łatwością stosować rozwiązanie KeeperPAM. Nie muszą oni mieć bezpośredniego dostępu do infrastruktury lub bramki Keeper Gateway. Wystarczy zastosować magazyn Web Keeper wśród użytkowników, zapewniając w pełni funkcjonalne rozwiązanie, bez konieczności instalacji pulpitu ani korzystania z agentów.
Wybierz rozwiązanie KeeperPAM na potrzeby PAM organizacji
KeeperPAM to pierwsze rozwiązanie, które przenosi kluczowe funkcje PAM do magazynu w chmurze, co zapewnia bezpieczny dostęp do całej bazy użytkowników – nie tylko działu IT. Jako w pełni natywna platforma chmurowa, KeeperPAM łączy przechowywanie w magazynie, zarządzanie wpisami tajnymi, zarządzanie połączeniami, dostęp zero-trust oraz zdalną izolację przeglądarki w ujednoliconym interfejsie.
Zarezerwuj demo rozwiązania KeeperPAM, aby dowiedzieć się więcej o proaktywnym podejściu firmy Keeper do zabezpieczania dostępu oraz ujednolicenia zarządzania wszystkimi kluczowymi zasobami.
