2. ábra: Fejlett PAM komponensek.
Kiemelt jogosultságú fiókadatok életciklusának kezelése (PADLM)
A kiemelt jogosultságú fiókok használatát a biztonság érdekében szabályozni kell.
A PADLM funkció segítségével ellenőrizhető a kiemelt jogosultságú fiókok használata, hogy e fiókok eleget tegyenek a megfelelőségi előírásoknak, valamint a belső audit folyamatoknak. Ha egy kiemelt jogosultságú fiók feltörése révén behatolás történik, a nyomozókat érdekelni fogja, hogy a fiókot megfelelően kezelték és auditálták-e az életciklusa során.
Megosztott fiókok jelszómenedzsmentje (SAPM)
A bevált gyakorlat megköveteli, hogy a szervezetek egyfelhasználós privilegizált fiókokra váltsanak, ám megosztott fiókok még mindig számos szervezetben léteznek, és komoly biztonsági kockázatot jelentenek, különösen akkor, ha felügyelet nélkül hagyják őket.
A PAM legújabb változatai beépített SAPM funkcióval fognak rendelkezni, amely felügyeli a megosztott fiókok menedzsmentjét és auditálását a vállalaton belül.
Akár a GDPR szerinti büntetőeljárásnak nézhet elébe az a szervezet, amelyik nem tud számot adni a privilegizált fiókok használatáról, ha bebizonyosodik, hogy egy megosztott fiók adatszivárgást okozott. A szervezeteknek tudniuk kell minden kiemelt jogosultságú fiókról, és auditálniuk kell azokat, biztosítva, hogy csak a megfelelő személyek vagy erőforrások férhetnek hozzájuk. A megosztott fiókokhoz való hozzáférést egy PAM-megoldás SAPM szolgáltatása alá kell vonni, hogy az figyelje és szigorúan kontrollálja a fiókokat, és lehetőleg riasszon a jogosulatlan használatát esetén.
Szemléltetésképpen, egy teljeskörűen konfigurált és beüzemelt PAM-megoldás SAPM funkcióval kiegészítve megakadályozza, hogy egy-egy kiemelt felhasználó pusztán a régi jelszavak ismeretében hozzáférjen a megosztott fiókokhoz.
Alkalmazások közötti jelszómenedzsment (AAPM)
A digitális átalakulás része egyrészről a gépek és alkalmazások, másrészről más alkalmazások és adatbázis-kiszolgálók közötti kommunikáció az üzleti információcsere érdekében.
Egyes alkalmazások privilegizált hozzáférést igényelnek, de a folyamatokra vonatkozó időkorlátok miatt a hozzáférésnek zökkenőmentesnek, átláthatónak, ugyanakkor biztonságosnak kell lennie.
Az AAPM ezért az SAPM funkció részeként kerül bevezetésre, mert lehetővé teszi az alkalmazások számára a hitelesítő adatokhoz való hozzáférést, így a PAM eleget tesz a digitális kor elvárásainak azáltal, hogy az embereket, gépeket és alkalmazásokat egyenrangú entitásokként kezeli, anélkül, hogy ez lelassítaná a kommunikációt vagy a fájlokhoz történő hozzáférést. Ráadásul a Session Managerben az alkalmazások aktivitása ugyanúgy nyomon követhető, mint a felhasználóké.
Ellenőrzött jogosultságbővítés és delegáláskezelés (CPEDM)
A CPEDM is egy olyan, egyre fontosabbá váló funkció, amely a digitális szervezetek gyorsan változó igényeire reagál. Ahogy a neve is sugallja, lehetővé teszi a felhasználók hozzáférési jogainak bővítését, hagyományosan adminisztrátori célokra és jellemzően rövid időre, a szükségesnél nem tágabb jogosultságokkal.
Egyes gyártók azonban a CPEDM eredeti képességét úgy alakítják át, hogy feladatorientáltabb és alkalmazkodóbb legyen a modern szervezetek által elvárt rugalmasabb munkaterhelésekre nézve. Ezt privilegizált feladatkezelésként (PTM) is ismerjük, ami a feladatok végrehajtásához szükséges legalacsonyabb jogosultság kiosztásával teszi lehetővé az erőforrásokhoz történő hozzáférést.
Ezek a funkciók előre „dobozolhatók”, de konkrét kérés alapján is kifejleszthetők. Bárhogy is, a CEPDM és a PTM biztonságos és átlátható integrálása minden PAM-szállító számára kihívást jelent.
Végponti jogosultságkezelés (EPM)
Az EPM a helyi adminisztrátori jogokhoz köthető fenyegetések kezelését jelenti laptopokon, táblagépeken, okostelefonokon vagy más végpontokon.
Az EPM-szolgáltatások lényegében a kiemelt jogosultságú felhasználók ellenőrzött hozzáférését biztosítják a végpontokon keresztül, és olyan képességeket tartalmaznak, mint az alkalmazások fehérlistázása a végpontok védelmének érdekében.
Munkamenetek rögzítése és figyelése (SRM)
A munkamenetek rögzítése és figyelése a kiemelt jogosultságú aktivitás alapvető auditálását és nyomon követését teszi lehetővé. Az SRM-eszközök hitelesítést, engedélyezést és egyszeri bejelentkezést (Single Sign-On) is kínálnak a célrendszereknek.
Just in Time (JIT)
Az eseti hozzáféréskezelés (JIT) segíthet a kiemelt jogosultságokkal kapcsolatos fenyegetettségi felület drasztikus szűkítésében és a kockázat vállalati szintű csökkentésében azáltal, hogy biztonságos azonnali hozzáférést ad a kiemelt fiókokhoz.
A funkció PAM-on belüli implementálása biztosíthatja, hogy a felhasználók csak akkor kapják meg a megfelelő jogosultságokat, amikor arra szükség van, a lehető leggyorsabban és a lehető legrövidebb ideig.
Ez a folyamat teljes mértékben automatizálható, hogy súrlódásmentes és láthatatlan legyen a végfelhasználók számára.
Privilegizált egyszeri bejelentkezés (SSO)
A single-sign-on olyan hitelesítési rendszer, amely lehetővé teszi a felhasználó számára, hogy egyetlen felhasználónév-jelszó párost használjon több alkalmazás eléréséhez.
Ez nagyon hasznos a munkafolyamatok felgyorsítása szempontjából, de a több kiemelt fiókba történő egyszeri bejelentkezés engedélyezése kockázatot is jelent, ha nem tartozik a PAM-ellenőrzések hatálya alá.
E kihívás kezelésének érdekében egyre több PAM-megoldás támogatja a vezető SSO-gyártókkal való integrációt.
Privilegizált felhasználók viselkedéselemzése (PUBA)
A PUBA gépi tanulási eszközökkel is támogatott, adatelemzési technikákat használ.
Észlelni tudja azokat a rendellenes viselkedést mutató fenyegetéseket, amelyek a létező és számontartott adminisztrátori csoportok és felhasználók kulcsfontosságú profiljai ellen irányulnak. Továbbá figyelmeztet minden olyan aktivitásról, amely eltér a legkisebb szükséges jogosultság viselkedési mintázataitól.
Egyéb speciális funkciók
A PAM-nak sokféle kiemelt jogosultsággal rendelkező felhasználót kell kezelnie egy komplex szervezetben, amely magában foglalja az alkalmi munkaerőt, az alvállalkozókat, a partnerszervezeteket, a fejlesztőket, a DevOps-ot, az IT biztonsági rendszergazdákat, a webes alkalmazásokat és bizonyos esetekben az ügyfeleket is.
Integrálva vannak már az átfogó PAM-csomagokba olyan további fejlett képességek is, mint például a privilegizált felhasználók analitikája, a kockázatalapú munkamenet-figyelés és a fejlett fenyegetésvédelem. Például egyes gyártók újabban extra modul vagy önálló termék formájában kínálják a kifejezetten DevOps fókuszú PAM megoldásokat.
Ezeket a megoldásokat úgy kell megtervezni, hogy eleget tegyenek olyan sajátos DevOps kihívásoknak, mint a gyors projektátfutás és JIT hozzáféréskezelés.
A privilegizált IT-feladatok automatizálása egy új funkció, amely még inkább részletekbe menő szintre viszi a PAM-ot azáltal, hogy a JIT hozzáférést konkrét feladatokhoz rendeli, gyakran csak egyszer.
A PAM-megoldások a jövőben egyre inkább támogatni fogják a privilegizált fiókokhoz történő távoli hozzáférést is, hogy például ügyfeleknek, szállítóknak vagy az otthonról dolgozóknak segítsenek a biztonságos hozzáférésben.
Végül, a privilegizált jogosultságirányítás (PAG) a döntéshozatali folyamatot támogatja azáltal, hogy értékes információkkal szolgál a privilegizált hozzáférések állapotáról. A PAG kiemelt jogosultsági tanúsítványokat és készleteket tartalmaz a testreszabható riportok és vezérlőfelületek létrehozásának érdekében.