Что такое управление привилегированными пользователями?
- Глоссарий IAM
- Что такое управление привилегированными пользователями?
Управление привилегированными пользователями (PUM) — это процесс управления, мониторинга и контроля учетных записей с повышенными правами доступа в организации. Эти привилегированные учетные записи, такие как те, что используются системными администраторами или ИТ-персоналом, имеют более широкий доступ к критически важным системам и данным. PUM гарантирует, что каждому пользователю предоставляются соответствующие разрешения, необходимые для выполнения их рабочих функций, а действия постоянно контролируются для поддержания соответствия протоколам безопасности.
PUM, PIM и PAM: в чём разница?
Управление привилегированными пользователями (PUM), управление привилегированными идентификационными данными (PIM) и управление привилегированным доступом (PAM) часто используются как взаимозаменяемые термины в контексте управления привилегированными учетными записями. Тем не менее, каждый выполняет свою уникальную роль в обеспечении безопасности систем и данных.
| Характеристика | Управление привилегированными пользователями (PUM) | Управление привилегированными удостоверениями (PIM) | Управление привилегированным доступом (PAM) |
|---|---|---|---|
| Главное внимание | Управляет разрешениями и правами доступа привилегированных пользователей | Управляет полным жизненным циклом привилегированных идентификаторов | Контролирует и отслеживает доступ к системам и ресурсам. |
| Фокус на безопасности | Контроль доступа и мониторинг | Безопасность, ориентированная на идентичность | Контроль доступа, аудит и мониторинг сеансов |
| Отношения | Компонент PIM | Охватывает PUM и взаимодействует с PAM | Обеспечивает соблюдение политик PIM и PUM с помощью инструментов и средств контроля |
| Рекомендуется для |
|
|
|
Управление привилегированными удостоверениями (PIM) является подмножеством управления идентификацией и доступом (IAM), которое специально сосредоточено на управлении привилегированными удостоверениями, пользователями, обладающими повышенным доступом к данным или системам организации. PIM гарантирует, что только авторизованные лица получают привилегированный доступ в зависимости от их роли и идентичности. Он также управляет полным жизненным циклом идентификации, включая провизию, изменение и удаление учетных записей пользователей для поддержания безопасного доступа.
Аналогично, управление привилегированным доступом (PAM) сосредоточено на контроле и мониторинге того, как привилегированные пользователи получают доступ к системам. Он действует как механизм принудительного применения политик PUM и PIM. Решения PAM обычно включают такие возможности, как:
- Хранение паролей
- Ротация паролей
- Запись и мониторинг сеансов
- Доступ по мере необходимости (JIT)
- Автоматизированные рабочие процессы
В то время как PUM и PIM сосредоточены на том, кто может получить доступ к ресурсам, PAM акцентирует внимание на том, как этот доступ управляется, отслеживается и контролируется после того, как пользователь получает доступ.
Как работает управление привилегированными пользователями?
Управление привилегированными пользователями следует структурированному процессу, чтобы гарантировать надлежащее управление пользователями с повышенным доступом на протяжении всего их жизненного цикла в организации.
- Подключение: Процесс начинается с определения роли пользователя и назначения соответствующих разрешений до предоставления доступа. Это гарантирует пользователю только тот доступ, который необходим для выполнения его рабочих функций.
- Мониторинг: После установления доступа активность пользователя постоянно отслеживается для выявления несанкционированных действий, обеспечения соблюдения политики и ведения аудиторского журнала.
- Отзыв доступа: Когда пользователь покидает организацию или ему больше не требуется привилегированный доступ, его разрешения аннулируются, а учетные записи деактивируются, чтобы предотвратить несанкционированный доступ.
Безопасны ли учетные записи PUM?
Учетные записи управления привилегированными пользователями могут быть безопасными при правильной реализации. Эти учетные записи изначально представляют более высокий риск из-за их повышенных разрешений и, в ряде случаев, совместного использования несколькими администраторами или ИТ-персоналом.
Чтобы уменьшить эти риски, организации должны внедрять строгие меры безопасности, включая:
- Многофакторная аутентификация (MFA) для проверки личности пользователей
- Изменение паролей для уменьшения периода уязвимости
- Ведение журналов активности и мониторинг для обнаружения и реагирования на несанкционированные действия
- Доступ с наименьшими привилегиями, чтобы пользователи имели только минимально необходимые разрешения
Внедрение принципа наименьших привилегий (PoLP) особенно важно, так как оно ограничивает потенциальный ущерб от взломанных или неправильно использованных учетных записей, предоставляя доступ только к тому, что необходимо для выполнения роли каждого пользователя.
