Управление привилегированным доступом

Что такое привилегированный доступ? Чем привилегированные учетные записи отличаются от обычных? Попробуем разобраться.

Со времени появления отдельного направления по управлению и контролю привилегированным доступом в информационном пространстве появлялись различные аббревиатуры и обозначения, связанные с такими процессами. К ним относятся: PIM (Privileged Identity Management), PUM (Privilege User Management), PAM (Privileged Access Management), PPM (Privileged Password Management) и другие.

Все они так или иначе связаны с процессами по работе с привилегированными учетными записями и правами. В последнее время чаще используется аббревиатура PAM, как более емкое определение, включающее в себя все процессы по управлению доступом привилегированных пользователей. Этого обозначения будем придерживаться в дальнейшем.

PAM (Privileged Access Management) – управление привилегированным доступом. В настоящее время PAM это уже не только управление учетными записями, а целая стратегия кибербезопасности для осуществления контроля над повышенным доступом и разрешениями для пользователей, учетными записями и процессами. Она определяет не только какие люди и системы могут получить доступ к привилегированной учетной записи, но и то, что они могут сделать после входа в систему.

PAM – это инструмент для подразделений информационной безопасности, который позволяет применять политики ИБ и осуществлять детальный контроль за всеми действиями пользователей во время привилегированных сессий. Также это механизм управления учетными данными, включая пароли для привилегированных учетных записей. С помощью PAM реализуется принцип минимально достаточного уровня прав, многофакторная аутентификация, мониторинг и запись привилегированных сессий, защищенное удаленное подключение и т. п.


Различия между обычной учетной записью и привилегированной

razlichiya-mezhdu-obychnoj-uchetnoj-zapisyu-i-privilegirovanno.jpg

Обычная учетная запись (идентификатор, логин) создается для конкретного человека, который будет являться ее владельцем. Для обычной, персональной учетной записи предоставляются минимально достаточные права для выполнения сотрудниками своих должностных обязанностей. Как правило, она имеет связанный с ней пароль для защиты от несанкционированного доступа, который ее владелец должен запомнить.

Привилегированные учетные записи предоставляют административные или специализированные уровни доступа к системам компании с более высоким уровнем полномочий. Привилегированная учетная запись может быть связана как с людьми, так и с процессами, т. е. может являться учетной записью технической службы.


Какие бывают привилегированные учетные записи и для чего они используются

kakie-byvayut-privilegirovannye-uchetnye-zapisi-i-dlya-chego.jpg

  • Учетные записи администратора домена, которые обычно управляют пользователями Active Directory.

  • Локальные или доменные учетные записи администратора, управляющие серверами.

  • Учетные записи системного администратора, которые помогают управлять базами данных.

  • Учетные записи, управляющие платформами Unix/Linux.

  • Учетные записи для запуска и управления приложениями, службами и запланированными задачами Windows.

  • Учетные записи сетевого оборудования, предоставляющие доступ к брандмауэрам, маршрутизаторам и коммутаторам.


Что такое привилегированные учетные записи технических служб?

Это особая категория привилегированных учетных записей, которые требуют повышенных привилегий для выполнения запланированных задач, пакетных заданий в сложной сети баз данных, приложений и файловых систем. Многие службы используют привилегированные учетные записи для запуска критически важных ИТ-процессов. Поэтому учетные записи служб относятся к наиболее рискованным привилегированным учетным записям.

Чтобы сохранить работоспособность систем и избежать простоев таким учетным записям часто вменяют повышенный уровень прав или привилегий. Поскольку у них нет конкретного владельца, зачастую ответственность за них никто не несет, а их использование не контролируется. В результате этого пароли для таких учетных записей вовремя не меняются, а сами учетные записи не выводятся из эксплуатации, что создает уязвимости и возможности для кибератак.

Типичным пользователем привилегированной учетной записи является системный администратор, ответственный за управление средой, или ИТ-администратор конкретного программного или аппаратного обеспечения. 

Системный администратор использует привилегированные учетные записи для следующих целей:

  • Установка системного оборудования.

  • Установка и обновление программного обеспечения.

  • Внесение изменений в конфигурацию системы.

  • Сброс паролей для других пользователей.

  • Получение доступа ко всем компьютерам определенной среды.


Чем отличается управление привилегированным доступом от обычного?

chem-otlichaetsya-upravlenie-privilegirovannym-dostupom-ot-obychnogo.jpg

Управление привилегированным доступом – это часть общей концепции управления доступом, направленная на сопровождение и контроль работы пользователей с расширенными правами. В настоящее время граница между методами и средствами, обращенными к этим двум направлениям постепенно размывается.

С одной стороны, любые пользователи: обычные и привилегированные должны проходить идентификацию и аутентификацию, получать минимально достаточный уровень прав в информационных системах. Доступ им должен быть своевременно предоставлен для возможности выполнения поставленных задач, но как только в этом необходимость отпадает –доступ должен быть незамедлительно аннулирован. Управление пользователями должно быть централизованным. Это обеспечит его простоту, удобство и надежность.

С другой стороны, привилегированные пользователи имеют очень широкий диапазон прав. Они могут изменять настройки систем и приложений, менять конфигурацию файлов, удалять данные и многое другое. Случайное или преднамеренное злоупотребление привилегированными учетными записями может привести к серьезным последствиям для бизнеса и нанести колоссальный ущерб компании. Поэтому контроль за привилегированными пользователями и соблюдением регламента по использованию привилегированных учетных записей следует вывести в отдельный трек задач по информационной безопасности.

Специализированные решения PAM помогают оптимизировать процесс безопасного управления привилегированным доступом. С их помощью предоставляются и отзываются права привилегированных пользователей только на определенные системы. Благодаря такой системе, привилегированные пользователи не знают пароли для доступа в систему, которую администрируют. Пароли сохраняются в секрете, подставляются автоматически и меняются по заданным параметрам периодически. Это значительно снижает риск совместного использования паролей или того, что уволенные сотрудники сохранят доступ после ухода из компании. Все сеансы работы привилегированных пользователей записываются и анализируются, что очень полезно для аудита или реагирования на инциденты даже в режиме реального времени.

Инструменты PAM включают управление доступом не только отдельных пользователей, но и общих учетных записей: административных или служебных. Решение PAM регулирует весь привилегированный доступ сотрудников, подрядчиков, внешних поставщиков. Зрелые PAM-решения обеспечивают единую, надежную, прозрачную платформу, интегрированную в общую стратегию управления идентификацией и доступом.