2. ábra: Fejlett PAM komponensek.

Kiemelt jogosultságú fiókadatok életciklusának kezelése (PADLM)

A kiemelt jogosultságú fiókok használatát a biztonság érdekében szabályozni kell.

A PADLM funkció segítségével ellenőrizhető a kiemelt jogosultságú fiókok használata, hogy e fiókok eleget tegyenek a megfelelőségi előírásoknak, valamint a belső audit folyamatoknak. Ha egy kiemelt jogosultságú fiók feltörése révén behatolás történik, a nyomozókat érdekelni fogja, hogy a fiókot megfelelően kezelték és auditálták-e az életciklusa során.

Megosztott fiókok jelszómenedzsmentje (SAPM)

A bevált gyakorlat megköveteli, hogy a szervezetek egyfelhasználós privilegizált fiókokra váltsanak, ám megosztott fiókok még mindig számos szervezetben léteznek, és komoly biztonsági kockázatot jelentenek, különösen akkor, ha felügyelet nélkül hagyják őket.

A PAM legújabb változatai beépített SAPM funkcióval fognak rendelkezni, amely felügyeli a megosztott fiókok menedzsmentjét és auditálását a vállalaton belül.

Akár a GDPR szerinti büntetőeljárásnak nézhet elébe az a szervezet, amelyik nem tud számot adni a privilegizált fiókok használatáról, ha bebizonyosodik, hogy egy megosztott fiók adatszivárgást okozott. A szervezeteknek tudniuk kell minden kiemelt jogosultságú fiókról, és auditálniuk kell azokat, biztosítva, hogy csak a megfelelő személyek vagy erőforrások férhetnek hozzájuk. A megosztott fiókokhoz való hozzáférést egy PAM-megoldás SAPM szolgáltatása alá kell vonni, hogy az figyelje és szigorúan kontrollálja a fiókokat, és lehetőleg riasszon a jogosulatlan használatát esetén.

Szemléltetésképpen, egy teljeskörűen konfigurált és beüzemelt PAM-megoldás SAPM funkcióval kiegészítve megakadályozza, hogy egy-egy kiemelt felhasználó pusztán a régi jelszavak ismeretében hozzáférjen a megosztott fiókokhoz.

Alkalmazások közötti jelszómenedzsment (AAPM)

A digitális átalakulás része egyrészről a gépek és alkalmazások, másrészről más alkalmazások és adatbázis-kiszolgálók közötti kommunikáció az üzleti információcsere érdekében.

Egyes alkalmazások privilegizált hozzáférést igényelnek, de a folyamatokra vonatkozó időkorlátok miatt a hozzáférésnek zökkenőmentesnek, átláthatónak, ugyanakkor biztonságosnak kell lennie.

Az AAPM ezért az SAPM funkció részeként kerül bevezetésre, mert lehetővé teszi az alkalmazások számára a hitelesítő adatokhoz való hozzáférést, így a PAM eleget tesz a digitális kor elvárásainak azáltal, hogy az embereket, gépeket és alkalmazásokat egyenrangú entitásokként kezeli, anélkül, hogy ez lelassítaná a kommunikációt vagy a fájlokhoz történő hozzáférést. Ráadásul a Session Managerben az alkalmazások aktivitása ugyanúgy nyomon követhető, mint a felhasználóké.

Ellenőrzött jogosultságbővítés és delegáláskezelés (CPEDM)

A CPEDM is egy olyan, egyre fontosabbá váló funkció, amely a digitális szervezetek gyorsan változó igényeire reagál. Ahogy a neve is sugallja, lehetővé teszi a felhasználók hozzáférési jogainak bővítését, hagyományosan adminisztrátori célokra és jellemzően rövid időre, a szükségesnél nem tágabb jogosultságokkal.

Egyes gyártók azonban a CPEDM eredeti képességét úgy alakítják át, hogy feladatorientáltabb és alkalmazkodóbb legyen a modern szervezetek által elvárt rugalmasabb munkaterhelésekre nézve. Ezt privilegizált feladatkezelésként (PTM) is ismerjük, ami a feladatok végrehajtásához szükséges legalacsonyabb jogosultság kiosztásával teszi lehetővé az erőforrásokhoz történő hozzáférést.

Ezek a funkciók előre „dobozolhatók”, de konkrét kérés alapján is kifejleszthetők. Bárhogy is, a CEPDM és a PTM biztonságos és átlátható integrálása minden PAM-szállító számára kihívást jelent.

Végponti jogosultságkezelés (EPM)

Az EPM a helyi adminisztrátori jogokhoz köthető fenyegetések kezelését jelenti laptopokon, táblagépeken, okostelefonokon vagy más végpontokon.

Az EPM-szolgáltatások lényegében a kiemelt jogosultságú felhasználók ellenőrzött hozzáférését biztosítják a végpontokon keresztül, és olyan képességeket tartalmaznak, mint az alkalmazások fehérlistázása a végpontok védelmének érdekében.

Munkamenetek rögzítése és figyelése (SRM)

A munkamenetek rögzítése és figyelése a kiemelt jogosultságú aktivitás alapvető auditálását és nyomon követését teszi lehetővé. Az SRM-eszközök hitelesítést, engedélyezést és egyszeri bejelentkezést (Single Sign-On) is kínálnak a célrendszereknek.

Just in Time (JIT)

Az eseti hozzáféréskezelés (JIT) segíthet a kiemelt jogosultságokkal kapcsolatos fenyegetettségi felület drasztikus szűkítésében és a kockázat vállalati szintű csökkentésében azáltal, hogy biztonságos azonnali hozzáférést ad a kiemelt fiókokhoz.

A funkció PAM-on belüli implementálása biztosíthatja, hogy a felhasználók csak akkor kapják meg a megfelelő jogosultságokat, amikor arra szükség van, a lehető leggyorsabban és a lehető legrövidebb ideig.

Ez a folyamat teljes mértékben automatizálható, hogy súrlódásmentes és láthatatlan legyen a végfelhasználók számára.

Privilegizált egyszeri bejelentkezés (SSO)

A single-sign-on olyan hitelesítési rendszer, amely lehetővé teszi a felhasználó számára, hogy egyetlen felhasználónév-jelszó párost használjon több alkalmazás eléréséhez.

Ez nagyon hasznos a munkafolyamatok felgyorsítása szempontjából, de a több kiemelt fiókba történő egyszeri bejelentkezés engedélyezése kockázatot is jelent, ha nem tartozik a PAM-ellenőrzések hatálya alá.

E kihívás kezelésének érdekében egyre több PAM-megoldás támogatja a vezető SSO-gyártókkal való integrációt.

Privilegizált felhasználók viselkedéselemzése (PUBA)

A PUBA gépi tanulási eszközökkel is támogatott, adatelemzési technikákat használ.

Észlelni tudja azokat a rendellenes viselkedést mutató fenyegetéseket, amelyek a létező és számontartott adminisztrátori csoportok és felhasználók kulcsfontosságú profiljai ellen irányulnak. Továbbá figyelmeztet minden olyan aktivitásról, amely eltér a legkisebb szükséges jogosultság viselkedési mintázataitól.

Egyéb speciális funkciók

A PAM-nak sokféle kiemelt jogosultsággal rendelkező felhasználót kell kezelnie egy komplex szervezetben, amely magában foglalja az alkalmi munkaerőt, az alvállalkozókat, a partnerszervezeteket, a fejlesztőket, a DevOps-ot, az IT biztonsági rendszergazdákat, a webes alkalmazásokat és bizonyos esetekben az ügyfeleket is.

Integrálva vannak már az átfogó PAM-csomagokba olyan további fejlett képességek is, mint például a privilegizált felhasználók analitikája, a kockázatalapú munkamenet-figyelés és a fejlett fenyegetésvédelem. Például egyes gyártók újabban extra modul vagy önálló termék formájában kínálják a kifejezetten DevOps fókuszú PAM megoldásokat.

Ezeket a megoldásokat úgy kell megtervezni, hogy eleget tegyenek olyan sajátos DevOps kihívásoknak, mint a gyors projektátfutás és JIT hozzáféréskezelés.

A privilegizált IT-feladatok automatizálása egy új funkció, amely még inkább részletekbe menő szintre viszi a PAM-ot azáltal, hogy a JIT hozzáférést konkrét feladatokhoz rendeli, gyakran csak egyszer.

A PAM-megoldások a jövőben egyre inkább támogatni fogják a privilegizált fiókokhoz történő távoli hozzáférést is, hogy például ügyfeleknek, szállítóknak vagy az otthonról dolgozóknak segítsenek a biztonságos hozzáférésben.

Végül, a privilegizált jogosultságirányítás (PAG) a döntéshozatali folyamatot támogatja azáltal, hogy értékes információkkal szolgál a privilegizált hozzáférések állapotáról. A PAG kiemelt jogosultsági tanúsítványokat és készleteket tartalmaz a testreszabható riportok és vezérlőfelületek létrehozásának érdekében.