Hány éve beszél már a kiberbiztonsági iparág a „jelszó problémáról”?
És hány éve ugyanaz a következtetés: a jelszavak a kiberbiztonsági lánc leggyengébb láncszemei.
Mindig vagy túl szimplák, vagy ellopják őket, vagy elvesznek.
Vagy éppen túl komplikáltak és megjegyezhetetlenek.
De mindenkinek használnia kell őket, igaz? Nos, nem biztos.
Nem állíthatjuk, hogy a jelszavak végképp eltörölhetők.
De az SSH.COM megoldásával legalább Önnek nem lesz rájuk többé szüksége, amikor a dolgozói és az alvállalkozói hozzáférnek az IT-infrastruktúrájához, ahol a kritikus adatok, az ügyfél-alkalmazások, a termelési környezetek, hosztok és üzleti szempontból létfontosságú hálózatok lakoznak.
Örvendezhetnek a privilegizált felhasználók, az adatbázis-adminok, a DevOps csapat és a szoftvermérnökök, a biztonsági tervezők, a Linux és Unix rendszergazdák: mostantól hozzáférést kaphatnak és hozzáférést adhatnak a vállalat ütőeréhez anélkül, hogy permanens belépési adatokkal kellene ügyködniük.
Az SSH.COM büszke arra, hogy
’just-in-time’, lean PAM-gyártóként (Privileged Access Management, azaz kiemelt jogosultságok menedzsmentje) szerepel a Gartner angol nyelvű cikkében (Remove Standing Privileges Through a Just-in-Time PAM Approach).
Ismerje meg röviden összefoglalva, hogy hogyan gondolható és definiálható újra valamint forradalmasítható a privilegizált hozzáférésmenedzsment (PAM). Mindezt a Gartner kutatás idézeteivel is alátámasztva.
A felhő efemer; a hozzáférésnek is annak kell lennie
„
A kiemelt jogosultságok léte jelentős kockázattal jár. Az állandó privilégiumokkal rendelkező felhasználók úgy is nagy kockázatot jelentenek, ha PAM-eszközöket alkalmazunk. A biztonsági és kockázatkezelő vezetőknek, akik az azonosság- és hozzáférésmenedzsmentért (IAM) felelnek, zéró állandó jogkör (’zero standing privileges’, azaz ZSP) stratégiát kell bevezetniük egy ’amikor szükség van rá’ (’just-in-time’, azaz JIT) model révén.” – Gartner
A digitális régmúltban, amikor a meglévő PAM-megoldások többségét tervezték, az IT-infrastruktúra statikus volt, a szerverek pedig állandóak.
Gyors ugrás a mai felhő korszakba, amikor már virtuális szerverek százai, sőt, ezrei keletkeznek és múlnak el naponta, könnyedén és gyors ütemben, még egy közepes méretű vállalatban is.
Az átmenetiség korát éljük. Mégis sok vállalat és PAM-szolgáltató permanens belépési adatokat használ, amely a Gartner megfogalmazásában az ’állandó jogosultságok’ tipikus példája.
Ezek nem csupán kockázatot jelentenek, de a működési hatékonyság szempontjából is hátrányosak: folyamatosan permanens jogosultságokat kreálunk, kezelünk, vadászunk rájuk, és töröljük őket –mindezt egy olyan környezetben, ahol a back-end állandóan változik, így a ’belépők, átlépők, távozók’ figyelése soha véget nem érő folyamat.
Csak gondoljunk bele az audit naplófájlok elképesztő számába, amit a belépési adatok, felhasználók, jelszóvédelem (vaulting), és törölt belépési adatok generálnak. Már nem logok terrabájtjairól, hanem terrorbájtjairól beszélünk – per nap!
Ráadásul az állandó jogosultságok menedzselése sok komplexitást és tehetetlenséget vegyít a folyamatba, pusztán azért, mert ügynökprogramokra támaszkodik, amiket hónapokba, akár évekbe telhet telepíteni.
Az SSH.COM megoldását úgy tervezték, hogy a multicloudban natív, de helyszínbarát is és felhő léptékben skálázható. Ha már a felhő úgyis rákényszeríti a vállalatokat, hogy áttervezzék alkalmazásarchitektúrájukat, előálltak egy olyan PAM-architektúrával, amely lépéselőnyt ad az ügyfeleknek a jövőbe vezető úton, az infrastruktúrája felhősítésének folyamatában.
Az SSH.COM megoldásában a hozzáférést egyedi, efemer tanúsítványok biztosítják, amelyek szükség szerint (JIT-módon) jönnek létre autentikáció céljából, majd e tanúsítványok automatikusan lejárnak a kiszemelt hoszthoz történő kapcsolódás után.
Nem kell többé rotálni, tárolni az állandó hozzáférési adatokat, aggódni sem kell miattuk, hiszen törlődtek az egyenletből és nem terhelik többé az IT-működést.
A zéró állandó jogkör (ZSP) modell nem csak a biztonságról szól, hanem az üzleti hatékonyságról is.
Az állandó jogosultságok kockázatot jelentenek
„Ha egy környezetben léteznek személyes privilegizált accountok, akár egy PAM-eszköz által ellenőrzött környezetben is, ezek az accountok és privilégiumok fenntartják az állandó jogosultságok meglétéből adódó kockázatokat.” – Gartner
Ha egy informatikai környezetben vannak állandó jogkörök, akárhogy is menedzseli, rotálja vagy védi őket, kockázatot jelentenek.
Az állandó jogosultságokkal kapcsolatos kockázatok egyike az úgynevezett PAM-bypass, amikor az első munkamenetet a cég biztonsági szabályainak megfelelően egy PAM-megoldás hozza létre, de a későbbi loginok már teljesen máshogy történnek.
Egy másik példa az oldalazó mozgás egy hálózaton belül. Ezzel a módszerrel egy felkészült felhasználó egyre magasabb szintű privilégiumokat adhat önmagának, és az egyik szerverről a másikra ugrálhat. Ez gyakran azt jelenti, hogy az eredeti szándékkal szembe menve egyre értékesebb és érzékenyebb információkhoz fér hozzá.
A legacy PAM-gyártók gyakran kiemelik az állandó hozzáférési adatok rotálásának és ’széfbe zárásának’ (vaulting) fontosságát.
Ennek az lehet az oka, hogy a megoldásaikat eleve nem felhő-natív elgondolással tervezték meg, ezért át kell alakítaniuk és patchelniük azokat, hogy versenyben maradhassanak.
De hogyan lehetünk biztosak abban, hogy minden hozzáférési adatról tudomásunk van, megfelelő rotációban, a policyknak megfelelően, ha egyszer szakadatlanul kreálni, törölni, keresni, „páncélszekrényben” tartalékolni kell őket?
A legegyértelműbb megoldás az, ha meg sem próbálunk együtt élni az erős és állandó privilégiumokkal, hanem teljes egészében megszabadulunk tőlük! Ez a valódi kockázatcsökkentés.
A külső partnerek hozzáféréskezelése is veszélyeket rejt
„A PAM-alapok, mint a ’vaulting’ és a munkamenet-menedzsment segítenek az állandó accountok kockázatának csökkentésében. A JIT (’amikor kell’) enyhíti annak a kockázatát, hogy valaki visszaél a jogosultságával, a ZSP (’zéró állandó privilégium’) pedig csökkenti maguknak a privilegizált accountoknak a támadási felületét.” – Gartner
Az SSH.COM úgy hiszi, hogy a permanens hozzáférési adatok állandósítják a támadási felületet a rosszindulatú szereplők számára.
A kiemelt jogkörök kedvelt célpontjai a hackereknek, hiszen biztonságosnak véljük őket vagy azért, mert magas szintű jogosultságokkal rendelkező felhasználók vagy valamilyen monitorozó rendszer ellenőrzése alatt állnak.
Az outsourcingnak számos üzleti előnye van, de egyben azzal is jár, hogy vállalaton kívüli embereknek kell jelentős jogosultságokat adni. Márpedig ha egybe vesszük a külsősöknek adott állandó privilegizált accountokat és a permanens jogosultságokra aktívan vadászó hackereket, a potenciális támadási felület exponenciálisan megnő.
Még akkor is, ha ezeket a jogosultságokat a ’vaulting’-hoz hasonló PAM-alapfunkciók ellenőrzik.
Ez azért van, mert bíznunk kell abban, hogy:
• A harmadik fél csak addig kap permanens hozzáférést, amíg az feltétlenül szükséges
• Minden permanens hozzáférési adatot ismerünk, ellenőrzés alatt tartunk, védünk, és a jelszavakat rotáljuk
• A tanácsadók csak annyi jogosultságot kapnak, amennyi a feladatuk elvégzéséhez kell a személyes adatok védelme és a megfelelőség megőrzése érdekében
• Minden alvállalkozó felelősségteljesen használja a neki kiosztott jogosultságokat
• Senki sem osztja meg a magas szintű jogköröket adó hozzáférési adatait (lefelé haladva az ellátási láncon)
• Minden aktivitást azonosítani tudunk, és egyenként visszakövetni az alvállalkozókhoz
• Senki sem módosítja véletlenül az állandó hozzáférési adatokat, vagy nem feledkezik meg a hálózatból történő eltávolításukról
Aki okos, a jövőre fogad
„2022-re a mai 10 százalék helyett a privilegizált hozzáférés aktivitás 40 százaléka használni fogja az alkalmi privilégiumokat (ZSP) az ’amikor szükség van rá’ (JIT) jogosultságkezeléssel, ezáltal hatékonyan eltörölve a permanens jogosultságokat.” – Gartner
Értjük, hogy a jelen problémáit kell kezelni, de nem hunyhatunk szemet a jövő problémái felett sem.
Tudjuk, hogy az aktuális és legacy rendszerek nem tűnnek el egyik napról a másikra, ezért mantrázzuk folyton az ’on-premise’ kompatibilis, de felhő-natív megoldás fontosságát.
A helyszíni és a felhőalapú (AWS, Azure, Google Cloud) megoldások valamilyen kombinációját használva, az állandó jogosultságokon alapuló hozzáféréskezelés szélsőségesen komplikált és időgyilkos zűrzavarrá változhat. Ez az oka annak, hogy egyre népszerűbbek a ’just-in-time’ efemer jogosultságkezelő eszközök.
Az állandó jogosultságokat kiküszöbölő efemer hozzáférést, a mai JIT-alapú megoldásunk ötletét 2016-ban a BT Security-val és a Deloitte-tal közösen tartott reggelivel egybekötött szemináriumon mutatta be az SSH.COM. Az ötletből nyolc hónap elteltével megoldás lett – a PrivX. Az SSH.COM egy jóideje mondja, hogy a PAM-megoldások esetében újfajta megközelítésre van szükség.