Każda z organizacji, instytucji czy też innego rodzaju działalności posiada dane, które nie mogą być ogólnodostępne. W związku z powyższym tworzy się konta posiadające różny zakres uprawnień, zwane kontami uprzywilejowanymi. Dzięki nim problem z bezpieczeństwem częściowo się rozwiązuje. Konta uprzywilejowane zostały zaprojektowane po to, by ograniczyć niepotrzebny dostęp do jakiś zasobów danych. Nie każdy pracownik musi i nie powinien mieć dostępu do danych poufnych lub istotnych dla firmy. Niestety, jeżeli ktoś niepowołany uzyska dostęp do takiego konta, to wszystkie dane są jego. Jest to ogromny problem, z którym boryka się praktycznie każdy w dzisiejszych czasach. W tym miejscu z pomocą przychodzą nam systemy PAM, który wspomagają zarządzanie kontami uprawnionymi.
Sprawdź, czego nauczysz się dzięki kursowi Grafany!
Udostępniamy darmowo ponad godzinny materiał z kursu. Przekonaj się, że jest idealny dla Ciebie!
Chcesz wziąć udział w kursie? Kliknij w link i obejrzyj co Cię czeka: https://asdevops.pl/demo-grafana/
Czym są systemy PAM?
Privileged Access Management zabezpiecza dostęp do kont uprzywilejowanych. Dba o wszystko, co związane jest z kontami użytkowników, zdalnym logowaniem. To on zarządza całą strukturą, stosując zasadę minimalnego dostępu, praktykowaną w wielu innych dziedzinach bezpieczeństwa. Polega ona na umożliwianiu jak najmniejszego dostępu do danych, zarówno mniej, jak i bardziej poufnych w danej organizacji. Jest oddzielnym narzędziem współpracującym, ale nie zastępującym zapory ogniowe, antywirusy czy też systemy monitoringu. Można go określić jako dodatkowym elementem infrastruktury zapewniającej bezpieczeństwo. I postawić obok wymienionych przed chwilą.
Jego działanie nie jest ukierunkowane na zewnętrzną, czy też tylko wewnętrzną stronę. Zabezpiecza przed dostępem zarówno wewnątrz organizacji, jak i na jej zewnątrz. Można go określić jako kontrolera administratorów, czyli osób korzystających z kont uprzywilejowanych. Blokuje zewnętrzne ataki, natomiast wewnątrz nadzoruje sektor administracyjny, nie dopuszczając do nadużyć czy też zaniedbań ze strony osób korzystających z kont o wyższych uprawnieniach.
PAM jest systemem wprowadzającym ograniczenie osobom, które muszą posiadać uprawnienia większe niż standardowy pracownik. Kontroluje on wszelkie czynności wykonane na takich kontach i blokuje możliwość wykonania czegoś ponad normę. Bardzo dobrze współpracuje z automatyzacją działań, które przeprowadza się co jakiś czas. Dzięki temu nadzoruje czy wszystko jest wykonywane w określony sposób, uniemożliwiając czynności ponad to, co powinny wykonać.
Dlaczego systemy PAM?
W każdej organizacji istnieją konta i użytkownicy posiadający różne uprawnienia. Wyobraź sobie teraz, że ktoś uzyskuje dostęp do takiego konta uprzywilejowanego. Wszystko, począwszy od e-maili, danych osobowych i innych są w zasięgu ręki osoby niepowołanej. Niesie to za sobą ogromne straty materialne, nie wspominając już o tak zwanym ich wycieku, co stawia firmę w złym świetle. Choć najgorszą sytuacją może się okazać to, gdy ktoś niezauważenie w trybie ciągłym uzyskuje takie informacje. Wie o każdym ruchu czy też kluczowych podjętych decyzjach. Dostęp do tego wszystkiego mają osoby posiadające konta uprzywilejowane. I tu dochodzimy do pewnego sedna całości. Tak naprawdę atakowane nie jest konto z uprawnieniami, tylko osoba, która dostęp do takiego posiada. Cyberataki są obecnie tak złożone, tak dopracowane, że każdy z nas może im ulec. Tu możliwości jest tak dużo, że często trzeba podjąć radykalne środki.
System jest dobrym rozwiązaniem dla każdego administratora, bo wspiera go, gdy popełni jakiś błąd w sferze bezpieczeństwa. Sam brak możliwości wykonania pewnych czynności chroni Ciebie jako administratora od konsekwencji jakie poniósłbyś, gdybyś popełnił jakiś błąd.
Systemy PAM i ich funkcje
Na rynku istnieje wiele systemów, które zapewniają opisywane wcześniej uprawnienia. PAM jest zbiorem zasad, jakie mają zostać zaimplementowane, aby zapewnić bezpieczeństwo. Natomiast wykonanie wszystkich czynności zależy już od producenta danego oprogramowania. Ze znanych systemów PAM możemy wymienić:
- https://www.beyondtrust.com/
- https://senhasegura.eu/pl
- https://fudosecurity.com/pl/fudo-pam/
- https://www.cyberark.com/
- https://www.wallix.com/
Natomiast do funkcji, jakie powinien spełniać system PAM należą:
- konta uprzywilejowane posiadają jedynie niezbędne uprawnienia;
- każde z kont uprzywilejowanych musi być powiązane z jedną sesją;
- specjalnie przygotowane systemy operacyjne służące logowaniu tylko i wyłącznie kont uprzywilejowanych;
- ograniczenie czasowe jednej sesji;
- izolacja miejsc przechowywania takich danych jak autoryzacyjne czy też hasła;
- stosowanie menadżera haseł do ich przechowywania;
- wymagana zmiana hasła co jakiś określony czas;
- uwierzytelnianie wieloskładnikowe które stało się standardem nie tylko w opisywanych systemach;
- stałe nadzorowanie sesji logowania użytkownika przy pomocy nagrywania oraz monitorowania;
- całodobowy monitoring oraz audyty kont uprzywilejowanych;
- odpowiednio skonstruowany system reagowania na wystąpienie incydentu, informacja do osoby lub osób odpowiedzialnych i wiedzących co w danej sytuacji należy zrobić;
- automatyczne wylogowanie autoryzowanych kont w przypadku braku wykonania tej czynności przez użytkownika;
Niezależnie od tego, zawsze przed wyborem systemu PAM warto zapoznać się z jego dokumentacją oraz możliwościami. Warto też rozejrzeć się za odpowiednia firmą, która wdroży omawiany system w sposób profesjonalny. Ma to szczególne znaczenie w sprawach reagowania na poszczególne wystąpienia zdarzeń. Co z tego, że będziemy wiedzieli, że coś się stało, jak nikt nie będzie wiedział, jak na to zareagować?
Podsumowanie
Gdzie należy zastosować opisywany system? Otóż odpowiedź jest bardzo prosta – wszędzie tam, gdzie korzystamy z kont z różnymi uprawnieniami. Najczęściej są to duże organizacje czy instytucje. Małe firmy albo nie mają funduszy na stworzenie takiego rozbudowanego systemu albo nie mają zazwyczaj takiej potrzeby. Widać jednak, że i tutaj powoli widać zmiany i coraz częściej stosuje się bardziej złożone rozwiązania.
Chcesz wiedzieć więcej o bezpieczeństwie? Sprawdź nasze szkolenie Bezpieczeństwo Serwerów Linux! A czy przeczytałeś nasz poprzedni wpis? Jeśli nie, to nadrobisz to klikając TUTAJ.
