W dzisiejszych czasach jednym z kluczowych obszarów każdej organizacji jest informacja, jej ochrona i odpowiendnie nią zarządzanie. W panowaniu nad olbrzymią ilością danych i użytkowników, którzy z danych korzystają, pomaga PAM (ang. Privileged Access Management), czyli domena zarządzania dostępem uprzywilejowanym.
Czym jest PAM i dlaczego to takie ważne?
PAM jest systemem, który daje organizacji precyzyjną kontrolę nad czynnościami podejmowanymi przez użytkowników z odpowiednimi uprawnieniami, z tzw. dostępem uprzywilejowanym. Jest to nieodzowny składnik środowiska zabezpieczającego organizację obok innych, „tradycyjnych” rozwiązań, takich jak zapory ogniowe, systemy antywirusowe, systemy ochrony stacji roboczych, rozwiązania chroniące przed wyciekami danych.
W rozwiązaniach PAM przechowywane są poświadczenia, często określne, jako keys to the kingdom. Zwrot ten, jest także definicją samą w sobie konta uprzywilejowanego. Przykładem takiego konta może być chociażby administrator lokalny systemu operacyjnego, konto root lub administrator baz danych.
Jakie możliwości daje PAM?
Przechowywanie poświadczeń w zabezpieczonym repozytorium nazywanym często vaultem (skarbcem) lub bastionem
Zabezpieczenie to realizowane może być na szereg sposobów, np. poprzez tzw. hardening (minimalizowanie ryzyka ataków zewnętrznych), specjalnie przygotowany zestaw ról dla zapory ogniowej, szyfrowanie, bardzo limitowany dostęp do vaulta.
Rotacja poświadczeń według kalendarza i/lub po każdym użyciu hasła oraz możliwość używania danego hasła tylko przez jednego użytkownika w danym czasie
Użycie wszystkich tych funkcji zapewnia ciągłą zmianę wartości poświadczeń oraz pełną kontrolę ich użycia.
Nagrywanie oraz monitorowanie sesji, którą nawiązuje użytkownik z urządzeniem docelowym
Świadomość rejestracji wszelkich wykonywanych operacji działa prewencyjne na administratorów ograniczając ryzyko świadomego wykonania nieautoryzowanych czynności. Funkcja ta dostarcza materiał, który może być użyty w przypadku analizy incydentów bezpieczeństwa.
Implementacja PAM i integracja z innymi systemami/usługami
Praktycznie każde rozwiązanie PAM dostępne dzisiaj na rynku pozwala na integrację z usługami katalogowymi (np. LDAP, Active Directory), produktami SIEM, aplikacjami do obsługi zgłoszeń (ang. ticketing system), serwerami poczty elektronicznej itp. Wraz z rozwojem popularności rozwiązania PAM stają się częścią większego systemu, dzięki czemu mogą oferować znacznie więcej. Należy chociażby wspomnieć o możliwości zarządzania sekretami używanymi w aplikacjach, skryptach, oraz innych źródłach statycznych haseł.
Obecnie, większość rozwiązań PAM oferuje także wsparcie dla świata DevOps, co przejawia się w integracji z narzędziami CI/CD (continuous improvement/development), narzędziami do konteneryzacji, API, kodem aplikacji. Oferowane są także narzędzia służące do bezpośredniego dostępu do kont uprzywilejowanych dla dostawców zewnętrznych, kontraktorów, bez potrzeby użycia VPN.
Dzięki wysokiej elastycznosći domen PAM, organizacja może posiadać jeden, scentralizowany system zarządzania tożsamością i dostępami w pełnym zakresie. Daje to przejrzystość i pełną kontrolę nad zasobami przedsiębiorstwa. Wreszcie – ostatni trend to świadczenie usługi PAM jako serwis (PAM as Service). Takie rozwiązanie przyspiesza implementację domeny i maksymalizuje efektywność zarządzania środowiskiem.
