Какво е управление на привилегирована идентичност (PIM) и каква е ползата от него за бизнеса?

от

Привилегированото управление на самоличността (PIM) е ефективен начин за управление на разрешенията за достъп на служителите, за да защитите данните и да ограничите тяхното излагане.

Кражбите на данни и атаките не винаги се случват поради външни фактори. Понякога това може да е дело на всеки вътрешен член, извършено умишлено или неволно.

Вътрешната заплаха е реална!

Даването на допълнителни привилегии от необходимите може да ги накара да получат достъп до данни, които не би трябвало да имат. Някои служители също могат да злоупотребяват с ресурси и сметки за собствена изгода, дори ако това може да навреди на организацията.

Има много случаи когато вътрешен член на екипа е извършител на атака, която може да компрометира данни.

Следователно организациите трябва да предоставят на своите служители само необходимото ниво на привилегии за достъп до техните ресурси и данни, които са необходими за изпълнение на техните задачи, не повече от това.

Това ще сведе до минимум разрешенията за достъп и ще помогне за защитата на ресурсите и информацията. Това елиминира възможността за неоторизиран достъп, който може сериозно да засегне чувствителните данни на вашата организация.

Тук управлението на привилегирована самоличност (PIM) е полезно.

В тази статия ще обсъдя какво е PIM, неговите предимства, как работи и разликата между PIM, PAM и IAM.

Нека да започнем!

Какво е PIM?

Управление на привилегирована идентичност (PIM) е техника за управление, контрол, одит и наблюдение на нивото на достъп на служителите или привилегированите идентичности на предприятието до неговите данни и ресурси. Тези данни могат да бъдат акаунти в бази данни, акаунти за услуги, цифрови подписи, SSH ключове, пароли и др.

С други думи, PIM е практика за управление, наблюдение и защита на привилегировани акаунти.

PIM решенията са проектирани специално, за да помогнат на предприятията да въведат детайлни контроли и да улеснят стриктното управление на заплахите за привилегии. Това помага за предотвратяване на вътрешни злоупотреби и заплахи. Той също така осигурява активиране на роли въз основа на одобрение и време, за да елиминира рисковете от нежелани, злоупотребени или прекомерни разрешения за достъп до информация и ресурси.

Примери за акаунти с привилегирована самоличност са:

Тези потребители имат достъп до критични системи или чувствителни данни. PIM предоставя консолидирано решение за създаване, управление, управление и проследяване на привилегировани акаунти, за да се намалят шансовете за пробиви на данни и да се поддържа съответствие с индустриалните стандарти и разпоредби.

За да внедрите PIM, трябва да:

  • Създайте политика за сигурност, където можете да споменете как се управляват потребителските акаунти и какво могат и какво не могат да правят притежателите на акаунти.
  • Разработете модел, който позволява на отговорна страна да провери дали политиките се следват правилно.
  • Определете колко обширни са разрешенията и ги идентифицирайте.
  • Създайте различни инструменти и процеси за управление на самоличността, като инструменти за осигуряване и PIM продукти.

Това позволява на акаунтите на суперпотребители да използват привилегирования си достъп отзивчиво, докато осъществяват достъп до ИТ ресурси.

Характеристики на PIM

PIM предоставя следните възможности и функции за предприятията, за да управляват своите привилегировани самоличности.

  • Откриване на привилегировани акаунти във вашата организация, независимо кое приложение или платформа използвате.
  • Централизирано съхранение и предоставяне на всички привилегировани акаунти в един трезор.
  • Подробни и базирани на роли политики за оторизация за всичките ви привилегировани акаунти, позволяващи на вашите организации да прилагат принципа на най-малко привилегии.
  • Внедряване на силни пароли, като периодична или автоматична ротация на пароли.
  • Временно присвояване на привилегировани акаунти и обръщането им, когато няма нужда. Тази функция е от полза, когато потребителят трябва да получи достъп до система веднъж, за да изпълни дадена задача.
  • Мониторинг и проследяване на всички дейности, свързани с привилегировани акаунти, като например кой е имал достъп до привилегировани акаунти, кога е осъществявал достъп, какво е правил лицето, докато е осъществявал достъп до акаунти и т.н.
  • Одитиране и докладване на критични за сигурността събития, като заявки за достъп, промени на конфигурации и разрешения, събития за влизане и излизане и др.
  [Explained] Как да създадете индекс на база данни в SQL

Как работи PIM?

Всяка организация разделя потребителската си база на потребители и суперпотребители. Те имат достъп само до съответните данни в организацията според техните роли и отговорности. Хората с повече привилегии могат да имат достъп до критична информация, да получават повече права, да променят работните процеси и да управляват мрежата.

PIM решенията предоставят на оторизирания персонал ролеви и ограничен във времето достъп до чувствителна информация и ресурси, когато е необходимо. Нека да разгледаме как работи PIM система в реалния живот.

Ограничете привилегиите

Не всеки администратор има привилегировани идентификационни данни. PIM прилага принципите за най-малко привилегии за всички потребители. Този принцип гласи, че потребителите трябва да притежават минимално ниво на разрешения за достъп, достатъчно за изпълнение на техните задължения.

PIM изисква да посочите необходимите разрешения за новите акаунти на суперпотребител заедно с причините за даване на разрешението. Това ще попречи на новите акаунти да нарушат вашите правила за сигурност. В допълнение, той разширява видимостта на вашите потребители, като ви помага да намерите потребителски акаунти, които не се използват.

Това ви помага да предотвратите хакване на осиротелите акаунти. Освен това PIM следи актуализации, промени и други модификации, така че злонамерените потребители да не могат да правят промени, за да получат вашите работни потоци или данни.

Налагане на удостоверяване

Паролите сами по себе си не са достатъчни за защита на съвременните бази данни и потребители, когато броят на инцидентите с цифрови заплахи нараства. Хакерите могат лесно да отгатнат пароли или да ги разбият с помощта на кодиране или инструменти.

В друга гледна точка участниците в заплахата експлоатират акаунти в социалните медии и правят предположения за пароли, използвайки наличната информация, или провеждат фишинг атаки.

Привилегированото управление на самоличността предоставя сложни опции за процеса на удостоверяване, обикновено възможност за многофакторно удостоверяване (MFA). Това работи по ефективен и прост начин, увеличавайки трудността за хакерите. MFA настройва повече нива на удостоверяване между достъп до данни и заявки. Това включва:

  • Биометрично удостоверяване
  • Разпознаване на устройството
  • SMS съобщения
  • Поведенческа биометрия
  • Наблюдение на местоположението или геозониране
  • Време за наблюдение на заявката

Освен това много MFA процеси се извършват, без да се нарушава работният процес и влизанията; те просто изпълняват процеса на удостоверяване във фонов режим.

Активиране на сигурността

Освен вътрешните потребители, нечовешки субекти също могат да причинят хаос в мрежата, ако имат допълнителни разрешения от необходимите за изпълнение на техните функции. Приложения, бази данни, устройства и други програми могат да преместват данни и да правят промени във вашата мрежа.

Следователно са необходими подходящи ограничения и наблюдение, така че хакерите да нямат шанс да влязат през тези програми. За тази цел PIM ограничава нечовешките самоличности и идентичностите на трети страни да използват принципа на най-малко привилегии.

Освен това тези ограничения не позволяват на злонамерените приложения да работят без достъп. Трябва да имате предвид трети страни с нежелани привилегировани акаунти. С PIM ​​можете да проследявате тези акаунти, така че хакерите да не могат да намерят никакъв начин.

Наблюдение на сесиите

Решенията за управление на привилегирован достъп от следващо поколение предлагат записи за наблюдение на сесии. Можете да сортирате тези записи в различни групи и лесно да ги проследявате чрез метаданни с възможност за търсене. Това ще сведе до минимум усилията за реакция при инциденти. В допълнение, възможностите за наблюдение на сесии помагат за автоматично идентифициране на подозрителни сесии.

Освен това вашият екип може лесно да визуализира верига от действия. Те могат да оценят различни събития и да следват следите по време на реакция при инцидент. PIM събира всички привилегировани акаунти в един трезор. Това централизира усилията и осигурява основни идентификационни данни във вашата мрежа.

Ползи от PIM

Предимствата на PIM включват:

Подобрена сигурност

PIM ви помага да следите кой е имал скорошен достъп до определен ресурс, както и кой го е имал в миналото. Можете също да проследите кога е започнал и приключил достъпът. Можете да използвате тази информация, за да планирате стратегически кой да получи достъп в бъдеще.

  25 счетоводни термина, които трябва да знаете като начинаещ

Съответствие с нормативната уредба

Поради нарастващите проблеми с поверителността, трябва да се придържате към регулаторните стандарти, преобладаващи във вашия регион. Популярните регулаторни стандарти включват HIPAA, NERC-CIP, GDPR, SOX, PCI DSS и др. С PIM ​​можете да наложите тези указания и да изготвите отчети, за да поддържате съответствие.

Намален одит и ИТ разходи

Вече няма да е необходимо ръчно да наблюдавате разрешенията за достъп на всеки потребител. С предварително дефинираната структура на PIM и набор от политики за достъп можете да извършвате одити и да създавате отчети за няколко минути.

Лесна достъпност

PIM рационализира процеса на предоставяне на права и предоставяне на привилегии за достъп. Това ще помогне на законно привилегированите потребители да имат лесен достъп до ресурсите, дори ако не помнят своите идентификационни данни.

Елиминирани заплахи

Без да използвате PIM, вие показвате лесен път към лошите участници, които могат да се възползват от неоперативни акаунти по всяко време. PIM ви помага да наблюдавате и управлявате всички активни и неоперативни акаунти. Той гарантира, че всички тези акаунти нямат достъп до чувствителните данни на предприятията.

По-голяма видимост и контрол

Можете лесно да визуализирате и контролирате всички привилегировани самоличности и акаунти, като ги поставите безопасно в цифров трезор. Това хранилище ще бъде защитено и криптирано чрез няколко фактора за удостоверяване.

Най-добри практики за внедряване на PIM

За да активирате ефективно управление на привилегирована самоличност, трябва да следвате някои най-добри практики:

  • Открийте и съхранете списък с освободени самоличности, включително цифрови сертификати, пароли и SSH ключове, в защитено и укрепено онлайн хранилище. Всеки път, когато откриете нови самоличности, можете автоматично да актуализирате списъка с лекота.
  • Налагайте строги правила, като базиран на роли и време достъп до привилегировани ресурси, автоматично нулиране на идентификационните данни за влизане след еднократно използване, периодично нулиране на пароли и други практики за сигурност.
  • Приложете достъп с най-малко привилегии, като същевременно предоставяте привилегирован достъп на трети страни и потребители без администратори. Дайте им минимални привилегии за изпълнение на роли и отговорности, не повече от това.
  • Одитирайте и наблюдавайте отдалечени сесии и дейности за привилегирован достъп в реално време, за да откриете злонамерени потребители и незабавно да вземете решения за сигурност.

PIM срещу PAM срещу IAM

В по-широк сценарий както управлението на привилегирована самоличност (PIM), така и управлението на привилегирован достъп (PAM) са подмножествата на управлението на идентичността и достъпа (IAM). IAM се занимава със защита, наблюдение и управление на корпоративни самоличности и разрешения за достъп.

PIM и PAM обаче играят решаваща роля, когато става въпрос за управление и осигуряване на привилегировани самоличности и тяхната достъпност. Нека разберем разликите между IAM, PIM и PAM.

Управление на привилегирована идентичност (PIM) Управление на привилегирован достъп (PAM) Управление на идентифициране и достъп (IAM) PIM предоставя политики за сигурност и контроли за защита и управление на привилегировани идентичности за достъп до критични системи и чувствителна информация.PAM поддържа рамка за контрол на достъпа за управление, наблюдение, контролирайте и защитавайте дейностите и пътищата за привилегирован достъп във вашата организация. IAM управлява и контролира както разрешенията за достъп, така и идентичностите в една организация. Например потребители, подпотребители, активи, мрежи, системи, приложения и бази данни. Включва управление на това кой ще получи повишен привилегирован достъп до ресурсите. Включва системи, които могат да управляват различни акаунти с повишени привилегии. Позволява ролите, които са необходими, да бъдат присвоени на различни групи според ролите на потребителите и отделите. Той включва политики за сигурност за управление на привилегировани самоличности, като акаунти за услуги, пароли, цифрови сертификати, SSH ключове и потребителски имена. Той осигурява ниво на достъп и данни, до които има достъп привилегированата самоличност. Той предлага рамка за сигурност, която се състои от уникални мерки, подходи и правила, за да улесни управлението на цифровата идентичност и достъпа.

PIM решения

Сега нека обсъдим някои от надеждните PIM решения, които можете да обмислите за вашата организация.

#1. Microsoft

Microsoft предлага привилегировани решения за управление на идентичността за вашето предприятие. Това ви помага да управлявате, наблюдавате и контролирате достъпа в Microsoft Entra. Можете да предоставите достъп точно навреме и според нуждите до ресурси на Microsoft Entra, ресурси на Azure и други онлайн услуги на MS като Microsoft Intune или Microsoft 365.

  Как да скриете съобщение в тема на iMessage

Microsoft Azure препоръчва някои задачи за PIM, които ви помагат да управлявате ролите на Microsoft Entra. Задачите са конфигуриране на настройките на ролята на Entra, даване на допустими назначения и позволяване на потребителите да активират роли на Entra. Можете също така да следвате някои задачи, за да управлявате ролите на Azure, като откриване на ресурси на Azure, конфигуриране на настройките на ролята на Azure и др.

След като PIM е настроен, можете да навигирате до задачите:

  • Моите роли: Показва отговарящи на условията и активни роли, които са ви присвоени.
  • Чакащи заявки: Показва чакащи заявки, които трябва да бъдат активирани за присвояване на роли.
  • Одобряване на заявки: Показва набор от заявки за активиране, които можете да одобрите само вие.
  • Достъп за преглед: Показва списък с активни прегледи за достъп, които ви е възложено да завършите.
  • Роли на Microsoft Entra: Показва настройки и табло за администратори на роли, които да наблюдават и управляват присвояването на роли на Entra.
  • Ресурси на Azure: Показва настройки и табло за управление на присвояването на роли за ресурси на Azure.

За да използвате PIM, имате нужда от един от лицензите:

  • Той включва абонаменти за облак на Microsoft, като Microsoft 365, Microsoft Azure и други.
  • Microsoft Entra ID P1: Предлага се или е включен в Microsoft 365 E3 за предприятия и Microsoft 365 Premium за малки и средни предприятия.
  • Microsoft Entra ID P1: Включен е с Microsoft 365 E5 за предприятия.
  • Управление на Microsoft Entra ID: Има набор от възможности за управление на самоличността за потребители на Microsoft Entra ID P1 и P2.

#2. Aujas

Наблюдавайте администраторските акаунти и автоматизирайте и проследявайте достъпа до самоличността на суперпотребител с помощта на PIM решението от Aujas. Неговите бързи решения осигуряват отчетност за административен и споделен достъп, като същевременно подобряват оперативната ефективност.

Това решение дава възможност на вашите екипи по сигурността да поддържат съответствие с индустриалните стандарти и разпоредби, насочвайки най-добрите практики във вашата организация.

Aujas има за цел да управлява административния достъп и да предотвратява вътрешни нарушения на сигурността от суперпотребители. Той отговаря на нуждите на малка сървърна стая или голям център за данни. Той предлага следните PIM възможности:

  • Разработване на процедури и политики за програмата PIM
  • Внедряване на PIM решения
  • Внедряване на SSH управление на ключове
  • Миграция на базирано на агент PIM решение
  • Управление и внедряване на решения за контрол на достъп чрез роботика

Освен това Aujas предлага защита от кражба на идентификационни данни, управление на идентификационни данни, управление на сесии, защита на сървъра, защита на домейна, управление на тайни за правила и приложения и др.

Платформата също така управлява споделени идентификатори на няколко устройства в широкообхватни мрежи. Освен това, той гарантира отчетност на споделените идентификатори и елиминира множество идентификатори, както и пароли.

#3. ManageEngine PAM360

Намалете неупълномощения достъп и защитете вашите критични активи при използване ManageEngine PAM360. Предлага ви цялостна платформа, от която получавате контрол и цялостна видимост върху целия привилегирован достъп.

Инструментът ви дава възможност да намалите шанса за нарастващ риск с мощна програма за управление на привилегирован достъп. Това гарантира, че няма да има пътища за достъп до критични системи и чувствителни данни, които са оставени неуправлявани, ненаблюдавани или неизвестни.

ManageEngine позволява на ИТ администраторите да разработят централна конзола за различни системи, за да улеснят по-бързите корективи. Ще получите привилегировано управление на достъпа, функции за контрол на достъпа до корпоративни идентификационни данни и хранилище, работен процес за достъп с парола, отдалечен достъп и др.

Освен това ManageEngine предлага управление на сертификати SSL/TLS и SSH KEY, повишени привилегии точно навреме, одит и докладване, анализи на потребителското поведение и др. Помага ви да получите централен контрол, да подобрите ефективността и да постигнете съответствие с нормативните изисквания.

Заключение

Привилегированото управление на самоличността (PIM) е страхотна стратегия за подобряване на вашата организационна сигурност. Той ви помага да наложите политики за сигурност и да контролирате разрешенията за достъп на привилегировани самоличности.

По този начин PIM може да помогне да се предпазят лошите участници и да им попречи да причинят щети на вашата организация. Това защитава вашите данни, позволява ви да спазвате разпоредбите и поддържа репутацията ви на пазара.

Можете също така да разгледате някои от най-добрите решения за управление на привилегирован достъп (PAM) и решения за авторизация с отворен код (OAuth).