PAM 
Ao decidir entre uma solução de gerenciamento de acessos privilegiados (PAM) local ou baseada em nuvem, uma solução de PAM baseada em nuvem é a recomendada
O gerenciamento de acesso privilegiado (PAM) é um subconjunto do gerenciamento de identidades e acesso (IAM) que aborda especificamente o controle de acesso de usuários que trabalham com os sistemas e dados mais confidenciais dentro de uma organização, como equipes de TI, segurança da informação e DevOps. Entre outras tarefas, o PAM aplica o princípio do privilégio mínimo, que concede aos usuários o nível mínimo necessário de acesso a sistemas e dados para que realizem seus trabalhos.
À medida que os ataques cibernéticos aumentam em frequência, intensidade e impacto financeiro, mais organizações estão adicionando soluções de PAM a suas pilhas de tecnologias de segurança. Porém, avaliar e selecionar a solução certa pode ser um desafio, com tantos produtos de PAM concorrentes disponíveis.
Vamos examinar os seis principais recursos de gerenciamento de acesso privilegiado que você realmente precisa para proteger sua organização.
1. Segurança baseada em nuvem com confiança zero e conhecimento zero
Mesmo que os ambientes de dados organizacionais atuais sejam em grande parte ou até mesmo totalmente baseados em nuvem, muitos produtos de PAM “modernos” foram originalmente desenvolvidos para infraestruturas locais, com os recursos de nuvem inseridos posteriormente. Produtos de PAM que não foram desenvolvidos na nuvem não aproveitam plenamente seus recursos, como a capacidade de dimensionar automaticamente os recursos em nuvem para cima e para baixo conforme necessário (dimensionamento automático), segurança de confiança zero e criptografia de conhecimento zero.
Produtos que não são conhecimento zero são inerentemente menos seguros, porque o provedor de serviços tem acesso a dados confidenciais dos usuários. Provedores que não usam o conhecimento zero armazenam dados em um formato legível ou têm a capacidade de descriptografar dados de usuários. Se seus sistemas forem violados, invasores podem conseguir acessar esses dados confidenciais. Por outro lado, os provedores de conhecimento zero não podem ler dados de usuários, mesmo que uma violação ocorra, porque os dados são criptografados e apenas o usuário possui as chaves.
Além de evitar violações de dados confidenciais de usuários por agentes maliciosos externos ou internos, a criptografia de conhecimento zero mantém dados confidenciais fora das mãos de atores governamentais. Os dados armazenados pelo provedor estão sujeitos a leis locais e poderiam ser acessados ou monitorados sem o consentimento do usuário, além de governos ou órgãos regulatórios poderem solicitar acesso a dados de usuários. Uma empresa que não usa criptografia de conhecimento zero pode ser legalmente obrigada a responder uma solicitação desse tipo e fornecer dados de usuários. Se uma organização usar criptografia de conhecimento zero, ela não poderá cumprir essas solicitações, porque simplesmente não poderá descriptografar dados de usuários.
Por fim, o conhecimento zero gera confiança entre provedores de serviços e seus clientes. As organizações devem ter a confiança de que seus provedores de serviços tratam e protegem seus dados com responsabilidade.
Em um ambiente de conhecimento zero é mais fácil fornecer essa confiança, porque o provedor de serviços não pode acessar informações confidenciais dos usuários, não importa o que aconteça.
KeeperPAM®: segurança de conhecimento zero construída na nuvem, para a nuvem
Ao contrário de muitos de nossos concorrentes, o KeeperPAM não é um produto local com os recursos de nuvem adicionados posteriormente. O KeeperPAM foi construído na nuvem, para a nuvem, usando a arquitetura de segurança de conhecimento zero do Keeper. Isso significa que ninguém além do usuário final pode visualizar as senhas, arquivos ou outros dados armazenados em seu Keeper Vault – nem seu administrador local, nem mesmo os próprios funcionários do Keeper. A infraestrutura do Keeper realiza a intermediação entre conexões, e conexões entre pontos diferentes criptografadas de ponta a ponta são criadas a partir do navegador do usuário para a infraestrutura de destino.
2. Controles de acesso granulares e aplicação de políticas
Os controles de acesso granulares ajudam as organizações a criar um ambiente seguro, eficiente e em conformidade, limitando o acesso somente ao que os usuários ou sistemas precisam. Isso geralmente é combinado com um controle de acesso baseado em funções (RBAC) e acesso com privilégios mínimos (também conhecido como somente privilégios suficientes, ou JEP), onde as permissões para acessar sistemas e dados são baseadas no cargo ou função de um funcionário, com o propósito de garantir que os usuários possam acessar apenas os recursos necessários para realizar seus trabalhos – e nada mais. Como controles de acesso granulares, RBAC e privilégios mínimos/JEP são os pilares dos ambientes de segurança de confiança zero modernos, é imperativo que sua solução de PAM seja compatível com eles.
O acesso just-in-time (JIT) é outro recurso importante para garantir acessos privilegiados seguros. O JIT concede a usuários ou sistemas acesso temporário e com duração definida a recursos, apenas quando eles são necessários para realizar tarefas específicas. Isso significa que o acesso é:
- Provisionado sob demanda: ativado quando solicitado ou acionado por um evento específico.
- Com duração limitada: revogado automaticamente após um período predefinido ou quando a tarefa for concluída.
- Sensível ao contexto: pode incorporar condições como a função do usuário, a localização, o dispositivo ou a postura de segurança.
Como o KeeperPAM simplifica controles de acesso granulares e a aplicação de políticasO KeeperPAM pode fornecer acesso JIT para qualquer infraestrutura ou sistema desejado, sem exposição de credenciais. Quando o acesso expirar, as credenciais podem ser rotacionadas automaticamente. Ao implementar os princípios do JIT e dos privilégios mínimos/JEP, o KeeperPAM reduz privilégios permanentes, mitigando vulnerabilidades de segurança e reduzindo o risco de excesso de permissões. |
3. Gerenciamento, monitoramento e gravação de sessões
No contexto do gerenciamento de acesso privilegiado, o gerenciamento de sessões, o monitoramento e a gravação são recursos essenciais que fornecem supervisão, controle e responsabilização sobre as atividades dos usuários privilegiados. Esses recursos garantem que as ações realizadas por contas privilegiadas sejam cuidadosamente monitoradas, registradas e analisadas, para mitigar os riscos associados a acessos elevados.
O gerenciamento de sessões envolve o controle de sessões de usuários privilegiados, incluindo iniciar, manter e encerrar o acesso a sistemas confidenciais. Certifique-se de que sua solução de PAM tenha os seguintes recursos:
- Abertura de sessões: facilitar conexões seguras e com duração limitada aos sistemas desejados.
- Controles de acesso: aplicar políticas, como limites de tempo ou uso de dispositivos específicos durante as sessões.
- Encerramento de sessões: encerrar sessões automaticamente com base em inatividade ou violações de políticas.
- Monitoramento de sessões: monitoramento em tempo real das atividades dos usuários durante sessões privilegiadas, o que permite que as equipes de TI e segurança visualizem quais ações estão sendo realizadas, geralmente através de painéis ao vivo ou mecanismos de compartilhamento de telas.
- Gravação de sessões: capturar e armazenar logs detalhados e, muitas vezes, reproduzir sessões privilegiadas em formato de vídeo. As gravações geralmente incluem teclas digitadas, comandos executados, telas visualizadas e muito mais.
O gerenciamento, o monitoramento e a gravação de sessões ajudam a evitar atividades maliciosas, permitindo a intervenção das equipes de segurança se ações suspeitas ou não autorizadas forem detectadas durante uma sessão privilegiada. Eles reduzem ameaças internas, impedindo o uso indevido de privilégios e fornecendo evidências para investigações forenses no caso de ocorrerem incidentes. O gerenciamento de sessões, e especialmente a gravação de sessões, também são fundamentais para a conformidade. Muitos padrões do setor e estruturas regulatórias (por exemplo: HIPAA, PCI DSS e GDPR) exigem monitoramento, documentação e geração de relatórios sobre as atividades dos usuários privilegiados para proteger dados confidenciais.
Certifique-se de escolher uma solução de PAM que seja compatível com túneis e BYOT (traga suas próprias ferramentas). Ter túneis significa a capacidade de rotear e gerenciar comunicações ou interações com sistemas remotos de maneira segura, através de um intermediário ou proxy, sem exigir acesso direto ao sistema de destino. Isso é especialmente importante nas soluções de PAM, porque permite uma comunicação segura e criptografada entre o dispositivo do usuário e o sistema de destino; roteia todas as comunicações através de um gateway de PAM ou proxy, que aplica o RBAC e permite o gerenciamento de sessões; e é compatível com vários protocolos (por exemplo: SSH, RDP, HTTPS) para permitir que os usuários gerenciem diversos ambientes com segurança.
O BYOT é um recurso em soluções de PAM abrangentes que permite aos usuários usarem suas ferramentas e aplicativos preferidos para interagir com sistemas de maneira segura, em vez de utilizar apenas as ferramentas fornecidas pela plataforma de PAM. Por exemplo: ele permite que os administradores de sistemas usem seu cliente SSH favorito, como PuTTY ou Terminal, para se conectar a um servidor através da plataforma de PAM. Isso acomoda fluxos de trabalho que exigem ferramentas especializadas ou preferências dos usuários, e ao mesmo tempo preserva a segurança e a governança.
Como o KeeperPAM aprimora o gerenciamento, o monitoramento e a gravação de sessões
As ferramentas de gerenciamento de sessões privilegiadas (PSM) do KeeperPAM usam cofres de segredos e JIT/JEP, além de gravação e reprodução de sessões remotas, para garantir que credenciais e infraestrutura críticas estejam protegidas. Através da gravação de sessões e do registro de teclas digitadas, a atividade dos usuários durante conexões e em sites protegidos pode ser gravada para fins de análise, conformidade ou segurança. Isso garante a adequação das interações e reduz ameaças internas e fraudes.
As ações dos usuários dentro do Keeper Vault também são gravadas, e a ferramenta Módulo Avançado de Relatórios e Alertas (ARAM) do Keeper permite que as organizações configurem alertas para atividades suspeitas, como tentativas de login malsucedidas, alterações em políticas administrativas, compartilhamento de registros e alterações no ciclo de vida dos usuários. O ARAM também pode gerar relatórios para atender a estruturas de conformidade específicas como FedRAMP, SOC 2, ISO 27001 e HIPAA.
As organizações podem integrar o Keeper com sua ferramenta de gerenciamento de eventos e informações de segurança (SIEM) atual para obter análises mais sofisticadas. O Keeper se integra a qualquer SIEM que seja compatível com notificações de syslog, além de ter integrações prontas para uso com muitos deles, incluindo Splunk, Datadog, Azure e LogRhythm.
O KeeperPAM oferece aos desenvolvedores a escolha de acessar sistemas: eles podem usar a interface visual do Keeper Connection Manager para acessar recursos, ou criar túneis TCP criptografados para acessar sistemas usando suas ferramentas preferidas, como bancos de dados ou emuladores de terminais.
O KeeperPAM também oferece isolamento remoto de navegadores (RBI), que isola a atividade de navegação do dispositivo local do usuário executando-a em um ambiente virtual isolado, como uma sandbox ou uma máquina virtual, em um servidor remoto. O conteúdo da web é renderizado no servidor remoto; assim, scripts maliciosos, malwares ou explorações não conseguem chegar ao dispositivo do usuário.
4. Compatibilidade com passkeys
As passkeys são um método de autenticação moderno e resistente a phishing, desenvolvido para substituir senhas tradicionais. Elas são um tipo de sistema de login sem senhas que usa criptografia de chave pública para aumentar a segurança e a facilidade de uso. As passkeys estão sendo adotadas por grandes empresas de tecnologia, incluindo Apple, Google e Microsoft, e têm o suporte da FIDO Alliance. À medida que elas se tornam mais difundidas, a esperança é que reduzam drasticamente os ataques cibernéticos relacionados a senhas, tornem as experiências online mais seguras e simples, e transformem a verificação de identidades digitais padronizando métodos seguros e fáceis de usar.
Ao adotar o uso de passkeys, as organizações podem aprimorar significativamente a segurança e reduzir as complexidades associadas ao gerenciamento de senhas tradicional. Portanto, certifique-se de que sua solução de PAM seja compatível com elas.
O KeeperPAM facilita o armazenamento e o uso seguro de passkeys
O KeeperPAM é a maneira simples e segura de sua organização armazenar senhas, passkeys e arquivos de todos os funcionários, em todos os dispositivos. Quando combinado à integração com SSO, o KeeperPAM permite que seus usuários tenham uma experiência sem complicações e sem senhas.
5. Cofres de senhas e seu gerenciamento com rotação automatizada
A automatização na rotação de senhas e uso de cofres são recursos das soluções de PAM modernas que aprimoram a segurança e o gerenciamento de contas privilegiadas, automatizando a manipulação de senhas e armazenando-as de maneira segura.
A rotação de senhas automatizada altera automaticamente senhas de contas privilegiadas, em intervalos específicos ou após cada uso. O processo é governado por políticas predefinidas e não requer intervenções manuais. A rotação de senhas automatizada reduz o risco de acessos não autorizados devido a credenciais comprometidas ou desatualizadas, garante que nenhum usuário mantenha acesso permanente a contas privilegiadas e atende a requisitos regulatórios, como PCI DSS e HIPAA, que exigem a rotação de senhas.
O uso de cofres de senhas significa armazenar credenciais de contas privilegiadas de maneira segura em um repositório criptografado e centralizado (o “cofre”). Os usuários ou sistemas devem se autenticar com a solução de PAM para obter as senhas que dão acesso a recursos. O acesso ao cofre é restrito com base em políticas como o RBAC, credenciais podem ser obtidas para sessões específicas e ficam ocultas do usuário. Isso elimina o armazenamento disperso de credenciais confidenciais em sistemas ou dispositivos pessoais, se integra a políticas de controle de acesso para restringir quem pode obter ou usar senhas específicas e registra todos os acessos ao cofre, fornecendo visibilidade sobre o uso de credenciais.
Em geral, as práticas recomendadas de segurança cibernética aconselham a não compartilhar senhas. O ideal seria que todos os usuários tivessem logins exclusivos para cada sistema e aplicativo. Porém, na prática, isso nem sempre é realista. Por isso é importante garantir que sua solução de PAM permita que seus usuários compartilhem senhas de maneira segura. Além de contas compartilhadas, busque recursos como compartilhamento temporário (acesso por tempo limitado), compartilhamentos de uso único e compartilhamentos com autodestruição.
Como o KeeperPAM protege o uso de cofres de senhas e automatiza a rotação
O KeeperPAM permite que os usuários compartilhem acesso a contas de maneira segura, sem exposição de credenciais. O acesso compartilhado pode ser indefinido ou com duração limitada, incluindo compartilhamentos de uso único e compartilhamentos que se autodestroem após um período especificado. Quando o acesso expirar, as credenciais podem ser rotacionadas automaticamente. O KeeperPAM oferece às equipes de TI e segurança controle completo sobre quais usuários podem compartilhar credenciais e arquivos. Ao garantir que apenas usuários autorizados possam iniciar compartilhamentos, as organizações podem evitar perdas de dados e aderir a regulamentos de conformidade com mais facilidade.
A arquitetura de segurança de conhecimento zero do KeeperPAM garante o uso completamente seguro de cofres de senhas. O Keeper não pode acessar nada dentro dos cofres dos usuários e nenhum tráfego é roteado através da rede do Keeper, garantindo privacidade total aos dados. Ninguém pode acessar ou descriptografar dados de cofres de usuários – nem mesmo os funcionários do Keeper.
A rotação de senhas automatizada do KeeperPAM permite que os administradores descubram, gerenciem e façam a rotação de credenciais de contas de serviço ou de administrador em todos os ambientes de dados corporativos. O recurso de uso de cofres e rotação de senhas centralizado do Keeper adere ao modelo de confiança zero ao garantir que as credenciais não estejam acessíveis de maneira permanente e que todos os acessos sejam verificados e monitorados.
6. Protege toda sua organização, não apenas a TI
Alguns produtos de PAM no mercado hoje são projetados apenas para proteger administradores de TI, equipes de DevOps e outros usuários privilegiados. No entanto, é extremamente importante proteger todos os usuários dentro de sua organização, não apenas aqueles com acesso privilegiado. Isso significa que você teria que implantar uma solução de PAM e uma solução de IAM geral e, em seguida, gerenciar e manter os dois produtos. Isso gera mais trabalho para suas equipes de TI e segurança, e também dificulta garantir que políticas e controles internos sejam aplicados de maneira consistente em toda a sua base de usuários.
O KeeperPAM foi feito para proteger toda sua base de usuários
Com o KeeperPAM, tudo o que as organizações precisam fazer é implantar o Keeper Vault para todos seus usuários, obtendo cobertura completa. O KeeperPAM fornece controles de acesso baseado em funções e com privilégios mínimos, adaptados aos cargos e funções. Isso permite que as organizações simplifiquem o acesso de usuários, ao mesmo tempo que mantêm políticas de segurança robustas, reduzindo as tarefas administrativas das equipes de TI e os atritos para os usuários finais.
Qualquer pessoa de sua organização pode usar o KeeperPAM com facilidade. Não é necessário que os usuários tenham acesso direto à infraestrutura ou ao Keeper Gateway. Basta implantar o cofre da Web do Keeper para seus usuários e tudo estará totalmente incorporado, sem necessidade de instalações no desktop ou agentes.
Escolha o KeeperPAM como a solução de PAM para sua organização
O KeeperPAM é a primeira solução a levar funcionalidades de PAM essenciais para um cofre em nuvem que fornece acesso seguro a toda sua base de usuários, e não apenas seu departamento de TI. Como uma plataforma totalmente nativa na nuvem, o KeeperPAM consolida o uso de cofres, o gerenciamento de segredos e de conexões, o acesso de confiança zero e o isolamento remoto de navegadores em uma interface unificada.
Agende uma demonstração do KeeperPAM para saber mais sobre a abordagem proativa do Keeper para proteger acessos e unificar o gerenciamento de todos os seus recursos críticos.
