\u00c9s h\u00e1ny \u00e9ve ugyanaz a k\u00f6vetkeztet\u00e9s: a jelszavak a kiberbiztons\u00e1gi l\u00e1nc leggyeng\u00e9bb l\u00e1ncszemei. Mindig vagy t\u00fal szimpl\u00e1k, vagy ellopj\u00e1k \u0151ket, vagy elvesznek. Vagy \u00e9ppen t\u00fal komplik\u00e1ltak \u00e9s megjegyezhetetlenek. <\/p>\n
Nem \u00e1ll\u00edthatjuk, hogy a jelszavak v\u00e9gk\u00e9pp elt\u00f6r\u00f6lhet\u0151k.
\n
De az SSH.COM megold\u00e1s\u00e1val legal\u00e1bb \u00d6nnek nem lesz r\u00e1juk t\u00f6bb\u00e9 sz\u00fcks\u00e9ge, amikor a dolgoz\u00f3i \u00e9s az alv\u00e1llalkoz\u00f3i hozz\u00e1f\u00e9rnek az IT-infrastrukt\u00far\u00e1j\u00e1hoz, ahol a kritikus adatok, az \u00fcgyf\u00e9l-alkalmaz\u00e1sok, a termel\u00e9si k\u00f6rnyezetek, hosztok \u00e9s \u00fczleti szempontb\u00f3l l\u00e9tfontoss\u00e1g\u00fa h\u00e1l\u00f3zatok lakoznak.
\n
\u00d6rvendezhetnek a privilegiz\u00e1lt felhaszn\u00e1l\u00f3k, az adatb\u00e1zis-adminok, a DevOps csapat \u00e9s a szoftverm\u00e9rn\u00f6k\u00f6k, a biztons\u00e1gi tervez\u0151k, a Linux \u00e9s Unix rendszergazd\u00e1k: mostant\u00f3l hozz\u00e1f\u00e9r\u00e9st kaphatnak \u00e9s hozz\u00e1f\u00e9r\u00e9st adhatnak az \u00d6n v\u00e1llalat\u00e1nak \u00fct\u0151er\u00e9hez an\u00e9lk\u00fcl, hogy permanens bel\u00e9p\u00e9si adatokkal kellene \u00fcgyk\u00f6dni\u00fck.
\n
Az SSH.COM b\u00fcszke arra, hogy \u2019just-in-time\u2019, lean PAM-gy\u00e1rt\u00f3k\u00e9nt (Privileged Access Management, azaz kiemelt jogosults\u00e1gok menedzsmentje) szerepel a Gartner angol nyelv\u0171 cikk\u00e9ben (Remove Standing Privileges Through a Just-in-Time PAM Approach).
\n
Ismerje meg r\u00f6viden \u00f6sszefoglalva, hogy hogyan gondolhat\u00f3 \u00e9s defini\u00e1lhat\u00f3 \u00fajra valamint forradalmas\u00edthat\u00f3 a privilegiz\u00e1lt hozz\u00e1f\u00e9r\u00e9smenedzsment (PAM). Mindezt a Gartner kutat\u00e1s id\u00e9zeteivel is al\u00e1t\u00e1masztva.<\/p>\n
\u201eA kiemelt jogosults\u00e1gok l\u00e9te jelent\u0151s kock\u00e1zattal j\u00e1r. Az \u00e1lland\u00f3 privil\u00e9giumokkal rendelkez\u0151 felhaszn\u00e1l\u00f3k \u00fagy is nagy kock\u00e1zatot jelentenek, ha PAM-eszk\u00f6z\u00f6ket alkalmazunk. A biztons\u00e1gi \u00e9s kock\u00e1zatkezel\u0151 vezet\u0151knek, akik az azonoss\u00e1g- \u00e9s hozz\u00e1f\u00e9r\u00e9smenedzsment\u00e9rt (IAM) felelnek, z\u00e9r\u00f3 \u00e1lland\u00f3 jogk\u00f6r (\u2019zero standing privileges\u2019, azaz ZSP) strat\u00e9gi\u00e1t kell bevezetni\u00fck egy \u2019amikor sz\u00fcks\u00e9g van r\u00e1\u2019 (\u2019just-in-time\u2019, azaz JIT) model r\u00e9v\u00e9n.\u201d \u2013 Gartner
\n
A digit\u00e1lis r\u00e9gm\u00faltban, amikor a megl\u00e9v\u0151 PAM-megold\u00e1sok t\u00f6bbs\u00e9g\u00e9t tervezt\u00e9k, az IT-infrastrukt\u00fara statikus volt, a szerverek pedig \u00e1lland\u00f3ak.
\n
Gyors ugr\u00e1s a mai felh\u0151 korszakba, amikor m\u00e1r virtu\u00e1lis szerverek sz\u00e1zai, s\u0151t, ezrei keletkeznek \u00e9s m\u00falnak el naponta, k\u00f6nnyed\u00e9n \u00e9s gyors \u00fctemben, m\u00e9g egy k\u00f6zepes m\u00e9ret\u0171 v\u00e1llalatban is.
\n
Az \u00e1tmenetis\u00e9g kor\u00e1t \u00e9lj\u00fck. M\u00e9gis sok v\u00e1llalat \u00e9s PAM-szolg\u00e1ltat\u00f3 permanens bel\u00e9p\u00e9si adatokat haszn\u00e1l, amely a Gartner megfogalmaz\u00e1s\u00e1ban az \u2019\u00e1lland\u00f3 jogosults\u00e1gok\u2019 tipikus p\u00e9ld\u00e1ja.
\n
Ezek nem csup\u00e1n kock\u00e1zatot jelentenek, de a m\u0171k\u00f6d\u00e9si hat\u00e9konys\u00e1g szempontj\u00e1b\u00f3l is h\u00e1tr\u00e1nyosak: folyamatosan permanens jogosults\u00e1gokat kre\u00e1lunk, kezel\u00fcnk, vad\u00e1szunk r\u00e1juk, \u00e9s t\u00f6r\u00f6lj\u00fck \u0151ket \u2013mindezt egy olyan k\u00f6rnyezetben, ahol a back-end \u00e1lland\u00f3an v\u00e1ltozik, \u00edgy a \u2019bel\u00e9p\u0151k, \u00e1tl\u00e9p\u0151k, t\u00e1voz\u00f3k\u2019 figyel\u00e9se soha v\u00e9get nem \u00e9r\u0151 folyamat.
\n
Csak gondoljunk bele az audit napl\u00f3f\u00e1jlok elk\u00e9peszt\u0151 sz\u00e1m\u00e1ba, amit a bel\u00e9p\u00e9si adatok, felhaszn\u00e1l\u00f3k, jelsz\u00f3v\u00e9delem (vaulting), \u00e9s t\u00f6r\u00f6lt bel\u00e9p\u00e9si adatok gener\u00e1lnak. M\u00e1r nem logok terrab\u00e1jtjair\u00f3l, hanem terrorb\u00e1jtjair\u00f3l besz\u00e9l\u00fcnk \u2013 per nap!<\/p>\n
R\u00e1ad\u00e1sul az \u00e1lland\u00f3 jogosults\u00e1gok menedzsel\u00e9se sok komplexit\u00e1st \u00e9s tehetetlens\u00e9get vegy\u00edt a folyamatba, puszt\u00e1n az\u00e9rt, mert \u00fcgyn\u00f6kprogramokra t\u00e1maszkodik, amiket h\u00f3napokba, ak\u00e1r \u00e9vekbe telhet telep\u00edteni.<\/p>\n
Az SSH.COM megold\u00e1s\u00e1t \u00fagy tervezt\u00e9k, hogy a multicloudban nat\u00edv, de helysz\u00ednbar\u00e1t is \u00e9s felh\u0151 l\u00e9pt\u00e9kben sk\u00e1l\u00e1zhat\u00f3. Ha m\u00e1r a felh\u0151 \u00fagyis r\u00e1k\u00e9nyszer\u00edti a v\u00e1llalatokat, hogy \u00e1ttervezz\u00e9k alkalmaz\u00e1sarchitekt\u00far\u00e1jukat, el\u0151\u00e1lltak egy olyan PAM-architekt\u00far\u00e1val, amely l\u00e9p\u00e9sel\u0151nyt ad az \u00fcgyfeleknek a j\u00f6v\u0151be vezet\u0151 \u00faton, az infrastrukt\u00far\u00e1ja felh\u0151s\u00edt\u00e9s\u00e9nek folyamat\u00e1ban.<\/p>\n
Az SSH.COM megold\u00e1s\u00e1ban a hozz\u00e1f\u00e9r\u00e9st egyedi, efemer tan\u00fas\u00edtv\u00e1nyok biztos\u00edtj\u00e1k, amelyek sz\u00fcks\u00e9g szerint (JIT-m\u00f3don) j\u00f6nnek l\u00e9tre autentik\u00e1ci\u00f3 c\u00e9lj\u00e1b\u00f3l, majd e tan\u00fas\u00edtv\u00e1nyok automatikusan lej\u00e1rnak a kiszemelt hoszthoz t\u00f6rt\u00e9n\u0151 kapcsol\u00f3d\u00e1s ut\u00e1n.
\n
Nem kell t\u00f6bb\u00e9 rot\u00e1lni, t\u00e1rolni az \u00e1lland\u00f3 hozz\u00e1f\u00e9r\u00e9si adatokat, agg\u00f3dni sem kell miattuk, hiszen t\u00f6rl\u0151dtek az egyenletb\u0151l \u00e9s nem terhelik t\u00f6bb\u00e9 az IT-m\u0171k\u00f6d\u00e9st.
\n
A z\u00e9r\u00f3 \u00e1lland\u00f3 jogk\u00f6r (ZSP) modell nem csak a biztons\u00e1gr\u00f3l sz\u00f3l, hanem az \u00fczleti hat\u00e9konys\u00e1gr\u00f3l is.<\/p>\n
\u201eHa egy k\u00f6rnyezetben l\u00e9teznek szem\u00e9lyes privilegiz\u00e1lt accountok, ak\u00e1r egy PAM-eszk\u00f6z \u00e1ltal ellen\u0151rz\u00f6tt k\u00f6rnyezetben is, ezek az accountok \u00e9s privil\u00e9giumok fenntartj\u00e1k az \u00e1lland\u00f3 jogosults\u00e1gok megl\u00e9t\u00e9b\u0151l ad\u00f3d\u00f3 kock\u00e1zatokat.\u201d \u2013 Gartner
\n
Ha egy informatikai k\u00f6rnyezetben vannak \u00e1lland\u00f3 jogk\u00f6r\u00f6k, ak\u00e1rhogy is menedzseli, rot\u00e1lja vagy v\u00e9di \u0151ket, kock\u00e1zatot jelentenek.
\n
Az \u00e1lland\u00f3 jogosults\u00e1gokkal kapcsolatos kock\u00e1zatok egyike az \u00fagynevezett PAM-bypass, amikor az els\u0151 munkamenetet a c\u00e9g biztons\u00e1gi szab\u00e1lyainak megfelel\u0151en egy PAM-megold\u00e1s hozza l\u00e9tre, de a k\u00e9s\u0151bbi loginok m\u00e1r teljesen m\u00e1shogy t\u00f6rt\u00e9nnek.<\/p>\n
Egy m\u00e1sik p\u00e9lda az oldalaz\u00f3 mozg\u00e1s egy h\u00e1l\u00f3zaton bel\u00fcl. Ezzel a m\u00f3dszerrel egy felk\u00e9sz\u00fclt felhaszn\u00e1l\u00f3 egyre magasabb szint\u0171 privil\u00e9giumokat adhat \u00f6nmag\u00e1nak, \u00e9s az egyik szerverr\u0151l a m\u00e1sikra ugr\u00e1lhat. Ez gyakran azt jelenti, hogy az eredeti sz\u00e1nd\u00e9kkal szembe menve egyre \u00e9rt\u00e9kesebb \u00e9s \u00e9rz\u00e9kenyebb inform\u00e1ci\u00f3khoz f\u00e9r hozz\u00e1.<\/p>\n
A legacy PAM-gy\u00e1rt\u00f3k gyakran kiemelik az \u00e1lland\u00f3 hozz\u00e1f\u00e9r\u00e9si adatok rot\u00e1l\u00e1s\u00e1nak \u00e9s \u2019sz\u00e9fbe z\u00e1r\u00e1s\u00e1nak\u2019 (vaulting) fontoss\u00e1g\u00e1t. Ennek az lehet az oka, hogy a megold\u00e1saikat eleve nem felh\u0151-nat\u00edv elgondol\u00e1ssal tervezt\u00e9k meg, ez\u00e9rt \u00e1t kell alak\u00edtaniuk \u00e9s patchelni\u00fck azokat, hogy versenyben maradhassanak.
\n
De hogyan lehet\u00fcnk biztosak abban, hogy minden hozz\u00e1f\u00e9r\u00e9si adatr\u00f3l tudom\u00e1sunk van, megfelel\u0151 rot\u00e1ci\u00f3ban, a policyknak megfelel\u0151en, ha egyszer szakadatlanul kre\u00e1lni, t\u00f6r\u00f6lni, keresni, \u201ep\u00e1nc\u00e9lszekr\u00e9nyben\u201d tartal\u00e9kolni kell \u0151ket?
\n
A legegy\u00e9rtelm\u0171bb megold\u00e1s az, ha meg sem pr\u00f3b\u00e1lunk egy\u00fctt \u00e9lni az er\u0151s \u00e9s \u00e1lland\u00f3 privil\u00e9giumokkal, hanem teljes eg\u00e9sz\u00e9ben megszabadulunk t\u0151l\u00fck! Ez a val\u00f3di kock\u00e1zatcs\u00f6kkent\u00e9s.
\n<\/p>\n
\u201eA PAM-alapok, mint a \u2019vaulting\u2019 \u00e9s a munkamenet-menedzsment seg\u00edtenek az \u00e1lland\u00f3 accountok kock\u00e1zat\u00e1nak cs\u00f6kkent\u00e9s\u00e9ben. A JIT (\u2019amikor kell\u2019) enyh\u00edti annak a kock\u00e1zat\u00e1t, hogy valaki vissza\u00e9l a jogosults\u00e1g\u00e1val, a ZSP (\u2019z\u00e9r\u00f3 \u00e1lland\u00f3 privil\u00e9gium\u2019) pedig cs\u00f6kkenti maguknak a privilegiz\u00e1lt accountoknak a t\u00e1mad\u00e1si fel\u00fclet\u00e9t.\u201d \u2013 Gartner
\n
Az SSH.COM \u00fagy hiszi, hogy a permanens hozz\u00e1f\u00e9r\u00e9si adatok \u00e1lland\u00f3s\u00edtj\u00e1k a t\u00e1mad\u00e1si fel\u00fcletet a rosszindulat\u00fa szerepl\u0151k sz\u00e1m\u00e1ra.
\n
A kiemelt jogk\u00f6r\u00f6k kedvelt c\u00e9lpontjai a hackereknek, hiszen biztons\u00e1gosnak v\u00e9lj\u00fck \u0151ket vagy az\u00e9rt, mert magas szint\u0171 jogosults\u00e1gokkal rendelkez\u0151 felhaszn\u00e1l\u00f3k vagy valamilyen monitoroz\u00f3 rendszer ellen\u0151rz\u00e9se alatt \u00e1llnak.
\n
Az outsourcingnak sz\u00e1mos \u00fczleti el\u0151nye van, de egyben azzal is j\u00e1r, hogy v\u00e1llalaton k\u00edv\u00fcli embereknek kell jelent\u0151s jogosults\u00e1gokat adni. M\u00e1rpedig ha egybe vessz\u00fck a k\u00fcls\u0151s\u00f6knek adott \u00e1lland\u00f3 privilegiz\u00e1lt accountokat \u00e9s a permanens jogosults\u00e1gokra akt\u00edvan vad\u00e1sz\u00f3 hackereket, a potenci\u00e1lis t\u00e1mad\u00e1si fel\u00fclet exponenci\u00e1lisan megn\u0151. M\u00e9g akkor is, ha ezeket a jogosults\u00e1gokat a \u2019vaulting\u2019-hoz hasonl\u00f3 PAM-alapfunkci\u00f3k ellen\u0151rzik.
\n
Ez az\u00e9rt van, mert b\u00edznunk kell abban, hogy:
\n
\u2022\tA harmadik f\u00e9l csak addig kap permanens hozz\u00e1f\u00e9r\u00e9st, am\u00edg az felt\u00e9tlen\u00fcl sz\u00fcks\u00e9ges
\n
\u2022\tMinden permanens hozz\u00e1f\u00e9r\u00e9si adatot ismer\u00fcnk, ellen\u0151rz\u00e9s alatt tartunk, v\u00e9d\u00fcnk, \u00e9s a jelszavakat rot\u00e1ljuk
\n
\u2022\tA tan\u00e1csad\u00f3k csak annyi jogosults\u00e1got kapnak, amennyi a feladatuk elv\u00e9gz\u00e9s\u00e9hez kell a szem\u00e9lyes adatok v\u00e9delme \u00e9s a megfelel\u0151s\u00e9g meg\u0151rz\u00e9se \u00e9rdek\u00e9ben
\n
\u2022\tMinden alv\u00e1llalkoz\u00f3 felel\u0151ss\u00e9gteljesen haszn\u00e1lja a neki kiosztott jogosults\u00e1gokat
\n
\u2022\tSenki sem osztja meg a magas szint\u0171 jogk\u00f6r\u00f6ket ad\u00f3 hozz\u00e1f\u00e9r\u00e9si adatait (lefel\u00e9 haladva az ell\u00e1t\u00e1si l\u00e1ncon)
\n
\u2022\tMinden aktivit\u00e1st azonos\u00edtani tudunk, \u00e9s egyenk\u00e9nt visszak\u00f6vetni az alv\u00e1llalkoz\u00f3khoz
\n
\u2022\tSenki sem m\u00f3dos\u00edtja v\u00e9letlen\u00fcl az \u00e1lland\u00f3 hozz\u00e1f\u00e9r\u00e9si adatokat, vagy nem feledkezik meg a h\u00e1l\u00f3zatb\u00f3l t\u00f6rt\u00e9n\u0151 elt\u00e1vol\u00edt\u00e1sukr\u00f3l
\n<\/p>\n
\u201e2022-re a mai 10 sz\u00e1zal\u00e9k helyett a privilegiz\u00e1lt hozz\u00e1f\u00e9r\u00e9s aktivit\u00e1s 40 sz\u00e1zal\u00e9ka haszn\u00e1lni fogja az alkalmi privil\u00e9giumokat (ZSP) az \u2019amikor sz\u00fcks\u00e9g van r\u00e1\u2019 (JIT) jogosults\u00e1gkezel\u00e9ssel, ez\u00e1ltal hat\u00e9konyan elt\u00f6r\u00f6lve a permanens jogosults\u00e1gokat.\u201d \u2013 Gartner
\n
\u00c9rtj\u00fck, hogy a jelen probl\u00e9m\u00e1it kell kezelni, de nem hunyhatunk szemet a j\u00f6v\u0151 probl\u00e9m\u00e1i felett sem. Tudjuk, hogy az aktu\u00e1lis \u00e9s legacy rendszerek nem t\u0171nnek el egyik napr\u00f3l a m\u00e1sikra, ez\u00e9rt mantr\u00e1zzuk folyton az \u2019on-premise\u2019 kompatibilis, de felh\u0151-nat\u00edv megold\u00e1s fontoss\u00e1g\u00e1t. Ha \u00d6n a helysz\u00edni \u00e9s a felh\u0151alap\u00fa (AWS, Azure, Google Cloud) megold\u00e1s valamilyen kombin\u00e1ci\u00f3j\u00e1t haszn\u00e1lja, az \u00e1lland\u00f3 jogosults\u00e1gokon alapul\u00f3 hozz\u00e1f\u00e9r\u00e9skezel\u00e9s sz\u00e9ls\u0151s\u00e9gesen komplik\u00e1lt \u00e9s id\u0151gyilkos z\u0171rzavarr\u00e1 v\u00e1ltozhat. Ez az oka annak, hogy egyre n\u00e9pszer\u0171bbek a \u2019just-in-time\u2019 efemer jogosults\u00e1gkezel\u0151 eszk\u00f6z\u00f6k.
\n
Az \u00e1lland\u00f3 jogosults\u00e1gokat kik\u00fcsz\u00f6b\u00f6l\u0151 efemer hozz\u00e1f\u00e9r\u00e9st, a mai JIT-alap\u00fa megold\u00e1sunk \u00f6tlet\u00e9t 2016-ban a BT Security-val \u00e9s a Deloitte-tal k\u00f6z\u00f6sen tartott reggelivel egybek\u00f6t\u00f6tt szemin\u00e1riumon mutatta be az SSH.COM. Az \u00f6tletb\u0151l nyolc h\u00f3nap eltelt\u00e9vel megold\u00e1s lett \u2013 a PrivX. Az SSH.COM egy j\u00f3ideje mondja, hogy a PAM-megold\u00e1sok eset\u00e9ben \u00fajfajta megk\u00f6zel\u00edt\u00e9sre van sz\u00fcks\u00e9g.
justify
no-repeat;left top;;
auto<\/p>\n
Atps1AiATVs
700
400<\/p>\n
\u2022\tDirekt kapcsol\u00f3d\u00e1s az azonoss\u00e1gkezel\u0151 rendszerhez (IAM\/Active Directory\/LDAP)
\n
\u2022\tSzerep-alap\u00fa hozz\u00e1f\u00e9r\u00e9sfel\u00fcgyelet (RBAC) az IAM keretein bel\u00fcl t\u00f6rt\u00e9n\u0151 enged\u00e9lymegad\u00e1sokhoz kapcsol\u00f3dva, automatikus friss\u00edt\u00e9sekkel
\n
\u2022\tSSO a kiemelt jogosults\u00e1gokkal rendelkez\u0151 felhaszn\u00e1l\u00f3k sz\u00e1m\u00e1ra (szoftverm\u00e9rn\u00f6k\u00f6k, DevOps, alv\u00e1llalkoz\u00f3k, informatikusok)
\n
\u2022\t\u2019\u00c1ll\u00edtsd be \u00e9s felejtsd el\u2019 a rendszergazd\u00e1k sz\u00e1m\u00e1ra \u2013 A PrivX szinkronban marad \u00e9s automatikusan felfedezi az \u00faj hosztokat
\n
\u2022\tIdeiglenes, hozz\u00e1f\u00e9r\u00e9si adatok n\u00e9lk\u00fcli autentik\u00e1ci\u00f3 a permanens jogosults\u00e1gokkal kapcsolatos kock\u00e1zatok cs\u00f6kkent\u00e9se \u00e9rdek\u00e9ben
\n
\u2022\t\u00dcgyn\u00f6kprogram n\u00e9lk\u00fcli telep\u00edt\u00e9s, egyszer\u0171 karbantart\u00e1s \u00e9s vill\u00e1mgyors be\u00fczemel\u00e9s
\n
\u2022\tKonszolid\u00e1lt hozz\u00e1f\u00e9r\u00e9s \u00e9s terhel\u00e9sfigyel\u00e9s multi-cloud (AWS, Azure, Google Cloud) \u00e9s helysz\u00edni (on-premise) k\u00f6rnyezetekben
\n
\u2022\tLean, mikroszolg\u00e1ltat\u00e1s alap\u00fa architekt\u00fara, a j\u00f6v\u0151re felk\u00e9sz\u00edt\u0151 sk\u00e1l\u00e1zhat\u00f3s\u00e1ggal
\n
\u2022\t\u201eNem IT-projekt\u201d \u2013 Minim\u00e1lis betan\u00edt\u00e1s, azonnali on-boarding, automatikus off-boarding \u00e9s szuperalacsony tulajdonl\u00e1si k\u00f6lts\u00e9g (TCO)
\n
Mit sz\u00f3lna ahhoz, ha az alapvet\u0151 PAM-m\u00f3dszereken t\u00fal megkezdhetn\u00e9 utaz\u00e1s\u00e1t a ZSP \u00e9s a JIT modell fel\u00e9 \u2013 a mi seg\u00edts\u00e9g\u00fcnkkel? A PrivX-szel \u00f3ri\u00e1si l\u00e9p\u00e9st tehet e c\u00e9l fel\u00e9.<\/p>\n
Az eredeti cikk szerz\u0151je: Jani Virkkula, Term\u00e9kmarketing-menedzser, SSH.COM<\/p>\n
https:\/\/blog.ssh.com\/gartner-standing-privileges-are-a-risk<\/a><\/p>\n Gartner kutat\u00e1s<\/a>Kapcsol\u00f3d\u00f3 tartalom:<\/h5>\n
\n
A MOST Digital a PrivX seg\u00edts\u00e9g\u00e9vel val\u00f3s\u00edtja meg a Zero Trust hozz\u00e1f\u00e9r\u00e9st<\/a><\/p>\nKapcsol\u00f3d\u00f3 k\u00e9pz\u00e9s:<\/h5>\n