Systemy klasy PAM (Zarządzanie dostępem uprzywilejowanym) stanowią jeden z najistotniejszych elementów ochrony infrastruktury IT. Stosowane są przede wszystkim do ochrony poświadczeń kont nieimiennych (konta współdzielone i konta techniczne), zwłaszcza w krytycznych elementach środowiska informatycznego. Stosowanie odpowiednich polityk dla zachowania bezpieczeństwa haseł kont takich jak root, admin, sys, dba itd. bardzo często jest utrudnione i wymaga ręcznej pracy zespołów IT. Automatyzacja procesu zarządzania poświadczeniami (w tym rotacji i szyfrowania haseł) oraz zabezpieczenie i weryfikacja dostępu do kont o wysokich uprawnieniach, jest podstawową ochrony infrastruktury krytycznej przed nieautoryzowanym dostępem.
- Obszar PIM/PAM (Privilege Identity Management, Privilege Access Management) jest wskazywany przez Gartner jako jedna z najistotniejszych inwestycji w obszarze bezpieczeństwa IT.
- Systemy PAM adresują trzy podstawowe potrzeby – zarządzanie hasłami kont uprzywilejowanych, organizacja dostępu i rozliczalność użycia kont z wysokimi uprawnieniami, nagrywanie sesji zdalnych.
- Naturalnym rozwinięciem systemów PAM są rozwiązania PEDM (Privilege Elevation and Delegation Management) pozwalające na precyzyjną regulację uprawnień kont.
- Podstawowym założeniem dla systemów PAM jest zarządzanie kontami współdzielonymi i technicznymi, ale wskazana jest także obsługa kont uprzywilejowanych imiennych.
- Poprawne wdrożenie systemu PAM to proces, który trwa średnio od 4 do 8 tygodni.
Nie tylko nagrywanie sesji
Rozwiązania PIM/PAM (Privilege Identity Management, Privilege Access Management) bardzo często są postrzegane jako systemy nagrywające sesje zdalne administratorów IT oraz podwykonawców. Naturalnie, rejestracja sesji jest jedną z kluczowych funkcji tej klasy narzędzi, jednak warto mieć na uwadze, że istota zarządzania dostępem uprzywilejowanym (czy też zarządzanie tożsamością uprzywilejowaną) nie sprowadza się wyłącznie do nagrań. Bardzo ważną kwestią, szczególnie z perspektywy ochrony krytycznych kont, jest wdrożenie mechanizmów pozwalających na ograniczenie i rozliczenie użycia kont uprzywilejowanych.
Równie istotnym aspektem projektowym jest, z perspektywy bezpieczeństwa, możliwość odseparowania użytkowników od haseł. Prawidłowo wdrożony system PIM/PAM pozwala administratorom wykonywać pracę, bez ograniczania ich produktywności, poprzez nawiązanie sesji z wykorzystaniem konta uprzywilejowanego i automatycznym podstawieniem poświadczeń tego konta. Administrator tym samym może wykonywać działania z wykorzystaniem kont krytycznych, ale nie jest obciążony odpowiedzialnością związaną ze znajomością hasła. Za proces zmiany haseł – czy to cyklicznie, czy po każdym użyciu konta – odpowiada system PAM.
System PAM i podwykonawcy
Jednym z motorów napędowych dla projektów związanych z ochroną kont o wysokich uprawnieniach jest chęć kontroli na działaniami podwykonawców, którzy w ramach umów serwisowych mają dostęp do krytycznej infrastruktury informatycznej. Niezależnie od tego, czy dotyczy to urządzeń sieciowych, serwerów, czy też środowisk OT/SCADA – brak kontroli nad działaniami przedstawicieli firm trzecich stanowi źródło niepokoju dla zespołów IT oraz bezpieczeństwa. Gdy świadomość ryzyka oraz potrzeba zaadresowania tego obszaru jest wysoka, organizacje zaczynają rozważać mechanizmy zabezpieczające. W takich sytuacjach system PIM/PAM jest pierwszym wyborem. Naturalnie, systemy zarządzania dostępem uprzywilejowanym, z uwagi na zaawansowane mechanizmy kontroli dostępu, podstawiania poświadczeń i nagrywania sesji, z nawiązką pokryją potrzeby związane z takim przypadkiem użycia. Warto jednak mieć na uwadze, że są to systemy zbudowane głównie z myślą o infrastrukturze wewnętrznej, a ich przeznaczeniem to przede wszystkim ochrona środowisk IT przed zagrożeniami wewnątrz organizacji.