O rešitvi Wallix še nismo kaj dosti govorili, pa naj bo današnji zapis namenjen temu. Na koncu vas čaka tudi zanimiv strip, ki so ga pripravili pri Wallixu. Najprej pa, kaj Wallix sploh je?
Če bi se držali samo strogih predpisov, bi Wallix definirali nekako tako: "Centralizirana rešitev za zavarovanje priviligiranega dostopa in nadzorovanje priviligiranih sej."
To je torej dodatna podpora informacijski varnosti. V podjetjih z večjim številom uporabnikov se namreč soočajo s problemom, ali izzivom, zagotavljanja dostopa do določenih podatkov zgolj pooblaščenim uporabnikom. Administratorji lahko namreč stalno spremljajo vedenje in aktivnosti priviligiranih uporabnikov.
Upravljanje priviligiranega dostopa (PAM)
Kaj je privilegij? Priviligiran uporabnik je nekdo, ki ima skbrniški dostop do kritičnih sistemov. To bi lahko bil nekdo, ki lahko nastavlja in briše račune na Microsoft Exchange Serverju. Beseda sama seveda ni naključje. Privilegiji bi morali biti dani samo ljudem, ki jim lahko zaupamo. Samo najbolj odgovorne osebe lahko imajo najbolj globoke privilegije, s katerimi imajo možnost dostopanja in spreminjanja sistemskih konfiguracij, nameščanja programske opreme, menjave uporabniških računov... Gledano z varnostnega vidika pa seveda nikoli ne bi smeli brezkompromisno zaupati komurkoli, zato morajo tudi osebe z vsemi privilegiji biti nadzorovane.
Zakaj bi potrebovali PAM?
PAM pomaga preprečevati nenačrtne ali načrtne dostope do privilegijev, kar je pri rastočih podjetjih še posebej pomembno. Večji in kompleksnejši kot postajajo IT sistemi, več priviligiranih uporabnikov obstaja. To so vsi zaposleni, razni izvajalci storitev, oddaljeni uporabniki... Zaradi vseh teh se v mnogih podjetjih zgodi, da je priviligiranih uporabnikov tudi do 3x več, kot je dejansko zaposlenih.
Nekateri izmed teh uporabnikov lahko "povozijo" obstoječe varnostne protokole, kar pa je ogromna ranljivost. Če lahko administratorji neavtorizirano spreminjajo sistemske nastavitve, dostopajo do "prepovedanih" podatkov in potem skrijejo vso njihovo dejavost, potem imate težavo. Problem pa ni v notranjih grožnjah, to je predvsem problem, da lahko napadalci od zunaj pridobijo dostope preko teh notranjih administratorjev. PAM pa vse to reši.
Rešitev PAM ponuja varno in racionalizirano pot to nadzora in avtorizacije priviligiranih uporabnikov vseh pomembnih sistemov.
Kaj počne?
- zagotavlja privilegije uporabnikom za tiste sisteme, za katere so avtorizirani;
- zagotavlja dostop, takrat ko je potreben in ga prekliče, ko temu ni več tako;
- izogiba se potrebi priviligiranih uporabnikov, da imajo oziroma potrebujejo lokalna in neposredna sistemska gesla;
- centralno in hitro upravlja dostop prek različnih sklopov heterogenih sistemov;
- ustvarja nespremenljivo revizijsko sled za vsako priviligirano delovanje.
Komponente PAM rešitve
Reštive upravljanja priviligiranega dostopa se lahko spreminjajo v njihovih arhitekturah, večina pa jih ponuja naslednje komponente:
ACCESS MANAGER (Upravitelj Dostopa)
Ta modul PAM ureja dostop do priviligiranih računov in je enotna točka opredelitve in uveljavljanja pravil za upravljanje priviligiranega dostopa. Priviligirani uporabnik zahteva dostop do sistema prek upravitelja dostopa, ki ve, do katerih sistemov in na katerem nivoju lahko uporabnik dostopa. Super skrbnik lahko dodaja, ureja, briše uporabniki s priviligiranimi računi, kar pa zmanjša tveganje, da bi nekdanji zaposleni lahko dostopali do kritičnih sistemov (ta situacija je bolj pogosta, kot bi si jo marsikateri vodja IT-ja želel priznati).
PASSWORD VAULT (Zakladnica Gesel)
Najboljši PAM sistemi preprečujejo priviligiranim uporabnikov dosto do dejanskih gesel za kritične sisteme in s tem, na primer, preprečuje, da bi kdorkoli "ročno povozil" fizične naprave. PAM sistem hrani gesla v zavarovani zakladnici gesel in odpre sistem priviligiranim uporabnikom šele potem, ko to dovoli upravitelj dostopa.
SESSION MANAGER (Upravitelj sej)
Samo kontrola dostopa ni dovolj. Potrebno je vedeti, kaj je priviligirani uporabnik delal med sejo. Upravitelj sej sledi vsem dejanjem, ki so storjena med sejo priviligiranega računa.
Kako je PAM drugačen od upravitelja identitet (Identity Management)?
PAM večkrat zamenjajo za Identity Management (IdM). Kljub temu, da imata rešitvi nekaj skupnih lastnosti, pa sta si precej različni. PAM se fokusira na dostop priviligiranih uporabnikov, IdM pa prepoznava in avtorizira uporabnike, ki potrebujejo dostop do sistema.
Primer: Bančni uradnik se prijavi v bančno aplikacijo in je overjen z rešitvijo IdM, kot je Microsoft Active Directory. Ta rešitev temelji na standardu LDAP (Lightweight Directory Access Protocol) in ni primerna za PAM. Je sicer odlična rešitev, ni pa namenjena nadzorovanju priviligiranih uporabnikov. Ni namreč nujno, da se vse naprave priviligiranih uporabnikov z lahkoto integrirajo z Active Directory.
Glavna razlika je torej ta, da IdM potrdi uporabnike, ki potrebujejo dostop do sistema, recimo mobilnim aplikacijam, ki pripadajo tretji osebi, PAM pa ne uporablja varnostnih trditev ali standardov pooblastil, ki pripadajo tretjim osebam.
Wallix ima na razpolago odlično rešitev Bastion. Za več informacij nas kliknite ali pokličite.
Link do WALLIX Comic