Рішення для керування доступом використовуються компаніями для автентифікації, авторизації та аудиту доступу до програм та ІТ-систем. Вони часто постачаються як компонент рішення для керування ідентифікацією та доступом (IAM), що допомагає підвищити безпеку та зменшити ризики шляхом ретельного керування доступом до локальних і хмарних програм, служб та ІТ-інфраструктури. Вони також допомагають забезпечити відповідним користувачам доступ до відповідних ресурсів у відповідний час і з відповідних причин. У цьому дописі в блозі детально пояснюється керування доступом, зокрема ціни на керування привілейованим доступом.
Що таке керування доступом?
Управління доступом — це процес ідентифікації, відстеження, регулювання та керування дозволеним або вказаним доступом користувачів до системи, програми чи будь-якого екземпляра ІТ.
Це комплексне поняття, яке включає всі правила, методи, методології та технології, що використовуються для забезпечення безпеки прав доступу в ІТ-середовищі.
Управління доступом — це, по суті, процедура безпеки інформації, ІТ і керування даними, яка дозволяє дійсним користувачам доступ, але забороняє недійсним користувачам. AM зазвичай використовується в тандемі з керуванням ідентифікаційним доступом (IAM). AM гарантує, що ці ролі та політики дотримуються, тоді як керування ідентифікацією розробляє, забезпечує та регулює різноманітних користувачів, ролі, групи та політики. Додаток/система на основі AM зберігає різні ролі та профілі користувачів, а потім обробляє запити на доступ користувачів на основі даних/профілю/ролей.
Управління ідентифікацією і доступом
Керування ідентифікацією та доступом (IAM) — це дисципліна кібербезпеки, яка зосереджена на управлінні ідентифікацією користувачів і правами доступу до мережі. Хоча політика, процеси та технології IAM відрізняються залежно від компанії, мета будь-якої ініціативи IAM полягає в тому, щоб потрібні користувачі та пристрої мали доступ до потрібних ресурсів у потрібний час і з потрібних причин.
IAM може допомогти спростити контроль доступу в складних багатохмарних налаштуваннях. Корпоративні мережі тепер пов’язані з локальним, віддаленим і хмарним (SaaS) програмним забезпеченням і джерелами даних. Люди (працівники, клієнти, підрядники) і нелюди (боти, пристрої IoT, автоматизовані робочі навантаження, API) потребують доступу до цих ресурсів з різних причин.
Системи IAM дозволяють компаніям видавати єдину цифрову ідентифікацію кожному користувачеві та визначати привілеї доступу для кожного користувача. У результаті лише авторизовані користувачі мають доступ до ресурсів компанії, і вони можуть використовувати ці ресурси лише у спосіб, який дозволяє організація.
Як працює IAM
По суті, IAM прагне не допустити хакерів, дозволяючи авторизованим користувачам просто виконувати все, що їм потрібно, не перевищуючи своїх дозволів.
Мережа кожної компанії унікальна, як і політики, процеси та інструменти, що використовуються для розробки системи керування ідентифікацією та доступом. Зважаючи на це, більшість, якщо не всі, реалізації IAM охоплюють чотири ключові функції:
#1. Керування життєвим циклом ідентифікації
Процес розробки та підтримки цифрової ідентифікації для кожної людини або нелюди в мережі відомий як керування життєвим циклом ідентифікації.
Цифрова ідентифікація інформує мережу про те, ким або чим є кожна сутність і що їй дозволено робити в мережі. Ідентифікація часто містить основну інформацію облікового запису користувача — ім’я, ідентифікаційний номер, облікові дані для входу тощо — а також інформацію про організаційні функції, обов’язки та права доступу організації.
Процеси підключення нових об’єктів, оновлення їхніх облікових записів і дозволів з часом, а також відключення або деініціалізації користувачів, яким більше не потрібен доступ, є частиною керування життєвим циклом ідентифікації.
#2. Управління доступом
Як зазначалося раніше, кожна цифрова ідентифікація має різні рівні доступу до мережевих ресурсів на основі обмежень доступу компанії. Споживач може мати доступ лише до свого особистого облікового запису та даних на хмарній платформі. Співробітники можуть мати доступ до баз даних клієнтів, а також до внутрішніх інструментів, таких як HR-портали. Системний адміністратор може мати доступ і змінювати все в мережі, включно з обліковими записами клієнтів і співробітників, внутрішніми та зовнішніми службами та мережевим обладнанням, таким як комутатори та маршрутизатори.
Щоб створити та забезпечити дотримання правил доступу, багато систем IAM використовують контроль доступу на основі ролей (RBAC). Права кожного користувача в RBAC визначаються його службовою функцією або посадою. Припустімо, що компанія налаштовує дозволи доступу мережевого брандмауера. Торговий представник навряд чи матиме доступ, оскільки його професія цього не вимагає. Аналітик безпеки молодшого рівня може переглядати, але не змінювати конфігурації брандмауера. CISO матиме всі адміністративні повноваження. API, який підключає SIEM компанії до брандмауера, може читати журнали активності брандмауера, але не бачити нічого іншого.
#3. Автентифікація та авторизація
Системи IAM роблять більше, ніж просто генерують ідентифікатори та видають дозволи; вони також допомагають у забезпеченні цих дозволів через автентифікацію та авторизацію.
Автентифікація — це процес, за допомогою якого користувачі демонструють, що вони ті, за кого себе видають. Коли користувач шукає доступ до ресурсу, система IAM порівнює його облікові дані з тими, що зберігаються в каталозі. Доступ надається, якщо вони збігаються.
У той час як комбінація імені користувача та пароля забезпечує базовий рівень автентифікації, більшість систем керування ідентифікацією та доступом сьогодні використовують додаткові рівні автентифікації для забезпечення додаткового захисту від кіберзагроз.
Багатофакторна аутентифікація.
Під час використання багатофакторної автентифікації (MFA) користувачі повинні надати два або більше факторів автентифікації, щоб підтвердити свою особу. Код безпеки, наданий телефону користувача, фізичний ключ безпеки або біометричні дані, як-от сканування відбитків пальців, — усе це загальні фактори.
SSO (єдиний вхід)
SSO дозволяє користувачам отримувати доступ до багатьох програм і служб за допомогою єдиного набору облікових даних для входу. Портал SSO перевіряє особу користувача та генерує сертифікат або маркер, який служить ключем безпеки для інших ресурсів. Багато систем SSO використовують відкриті протоколи, такі як Security Assertion Markup Language (SAML), щоб дозволити постачальникам послуг вільно ділитися ключами.
Адаптивна ідентифікація
Коли ризик змінюється, адаптивна автентифікація, також відома як «автентифікація на основі ризику», змінює вимоги до автентифікації в реальному часі. Користувачеві може знадобитися лише ввести ім’я користувача та пароль під час реєстрації зі свого звичайного пристрою. Якщо той самий користувач входить із ненадійного пристрою або намагається переглянути конфіденційну інформацію, можуть знадобитися додаткові фактори автентифікації.
Система IAM перевіряє каталог на наявність привілеїв доступу користувача після його автентифікації. Потім система IAM авторизує користувача лише для доступу та виконання завдань, які дозволені його дозволами.
#4. Управління ідентифікацією
Процес відстеження того, що люди роблять зі своїм доступом до ресурсів, відомий як керування ідентифікацією. Системи IAM слідкують за користувачами, щоб переконатися, що вони не зловживають своїми привілеями, а також ловити будь-яких хакерів, які проникли в мережу.
Керування ідентифікацією також має важливе значення для дотримання нормативних вимог. Компанії можуть використовувати дані про діяльність, щоб переконатися, що їхні засоби контролю доступу відповідають стандартам безпеки даних, таким як Загальний регламент захисту даних (GDPR) або стандарт безпеки даних індустрії платіжних карток (PCI-DSS).
Керування привілейованим доступом (PAM)
Керування привілейованим доступом (PAM) — це метод інформаційної безпеки (infosec), який захищає ідентифікаційні дані за допомогою унікального доступу або можливостей, що перевищують можливості звичайних користувачів. Безпека PAM, як і всі інші рішення інформаційної безпеки, залежить від поєднання людей, процесів і технологій.
Ми вживаємо додаткових заходів обережності з привілейованими обліковими записами через ризик, який вони становлять для технічного середовища. Наприклад, якщо облікові дані адміністратора або облікового запису служби зламано, системи організації та конфіденційні дані можуть опинитися під загрозою.
Коли зловмисники порушують облікові записи з привілейованим доступом, відбувається витік даних. Оскільки ці облікові записи містять ключі, які відмикають усі двері в технологічному середовищі, ми повинні додати додаткові рівні безпеки. Система керування привілейованим доступом забезпечує додаткову безпеку.
Що таке привілейований доступ?
У технологічному контексті привілейований доступ стосується облікових записів, які мають більші можливості, ніж звичайні користувачі. У середовищі Linux, наприклад, користувач root може додавати, редагувати або видаляти користувачів; встановлення та видалення програмного забезпечення; і отримати доступ до обмежених розділів операційних систем, які звичайний користувач не має. Середовища Windows мають подібну модель безпеки, але користувач root називається адміністратором.
Що таке процес керування привілейованим доступом?
Керування привілейованим доступом, як було сказано раніше, — це поєднання людей, процесів і технологій. Отже, першим кроком у встановленні рішення PAM є визначення облікових записів із привілейованим доступом. Після цього компанія повинна вирішити, яку політику буде застосовано до цих облікових записів.
Вони можуть, наприклад, передбачити, що сервісні облікові записи повинні оновлювати свої паролі кожного разу, коли користувач отримує доступ до своїх збережених облікових даних. Іншим прикладом є застосування багатофакторної автентифікації (MFA) для всіх системних адміністраторів. Іншим правилом, яке корпорація може застосувати, є ведення повного журналу всіх привілейованих сеансів. В ідеалі кожен процес має бути узгоджений із певним ризиком. Наприклад, вимога зміни пароля для облікових записів служби зменшує ймовірність внутрішньої атаки. Подібним чином ведення журналу всіх привілейованих сеансів дозволяє адміністраторам безпеки виявляти будь-які аномалії, а застосування MFA є перевіреним рішенням для запобігання атакам, пов’язаним із паролями.
Після завершення етапу виявлення пошуку привілейованих облікових записів і завершення розробки політики PAM компанія може встановити технологічну платформу для моніторингу та забезпечення керування привілейованим доступом. Це рішення PAM автоматизує правила організації та надає адміністраторам безпеки платформу для керування та моніторингу привілейованих облікових записів.
Яке значення PAM?
Привілейовані облікові записи становлять величезний ризик для корпорації, тому керування привілейованим доступом має вирішальне значення для будь-якої організації. Наприклад, якщо загроза скомпрометує обліковий запис звичайного користувача, вона матиме доступ лише до інформації цього конкретного користувача. Якщо їм вдасться скомпрометувати привілейованого користувача, вони матимуть значно більший доступ і, залежно від облікового запису, можуть навіть пошкодити системи.
Через свій ранг і профіль шахраї націлюються на привілейовані облікові записи, щоб атакувати цілі компанії, а не окрему особу. Оскільки Forrester прогнозує, що привілейовані облікові записи залучені до 80% порушень безпеки, захист і моніторинг цих фундаментальних ідентифікаційних даних організації є критично важливими. Рішення PAM, наприклад, може усунути недоліки безпеки, такі як численні люди, які мають доступ і знають той самий адміністративний пароль для певної служби. Це також зменшує небезпеку того, що адміністратори відмовляться змінювати давні статичні паролі, побоюючись спричинити непередбачені збої.
PAM керує важливими компонентами безпечного доступу та оптимізує створення облікових записів адміністраторів, розширених можливостей доступу та конфігурації хмарних програм. PAM зменшує поверхню атаки організації через мережі, сервери та ідентифікаційні дані з точки зору ІТ-безпеки. Це також зменшує ймовірність витоку даних, спричиненого внутрішніми та зовнішніми загрозами кібербезпеці.
Ціни на керування привілейованим доступом
Система керування привілейованим доступом (PAM) коштує більше, ніж просто ліцензійні збори. Хоча може виникнути спокуса зосередитись лише на початкових витратах, оцінка ціноутворення на керування привілейованим доступом вимагає врахування інших факторів, щоб визначити, чи забезпечить рішення справжнє повернення інвестицій (ROI) чи спричинить більше проблем, ніж вирішить.
Ось чому, крім розгляду витрат на управління привілейованим доступом, підприємства повинні визначити, яку рентабельність інвестицій вони отримають, вибираючи систему PAM. Калькулятор рентабельності інвестицій може допомогти їм визначити типи прибутків, які є можливими для команд DevOps/інженерів, команд безпеки та фірми.
Скільки коштує рішення PAM?
Рішення керування привілейованим доступом (PAM) коштують 70 доларів США на користувача щомісяця. Це включає аудит та інтеграцію для всіх баз даних, серверів, кластерів, веб-додатків і хмар. Також немає вимірювань, обмежень щодо даних або витрат на професійне обслуговування.
Яка роль управління доступом?
Керування доступом гарантує, що особа отримує точний рівень і тип доступу до інструменту, на який вона має право.
Які навички вам потрібні для керування доступом?
- Гарне розуміння та знання безпеки програм.
- Певне розуміння та/або досвід роботи з рольовими системами контролю доступу.
- Відмінні усне та письмове спілкування, міжособистісні, організаційні здібності та здібності до планування часу.
- Сильна здатність передати та пояснити іншим складні технічні проблеми, проблеми та альтернативні рішення.
- Хороші знання або досвід роботи з системами ERP у вищій освіті чи державній установі.
- Потрібні аналітичні навички та навички усунення несправностей зі складними технічними проблемами та завданнями.
- Бажано знати або мати досвід адміністратора ідентифікації в середовищі розробки програмного забезпечення, що працює з системою ERP.
- Глибокі знання або досвід роботи з державними та федеральними правилами управління ідентифікацією.
- Знати, коли для забезпечення доступу можна використовувати заходи контролю доступу на основі ролей.
- Можливість визначати, коли подати справу до центру технічної підтримки постачальника та/або коли передати існуючу проблему на ескалацію.
- Можливість вирішувати, посилювати чи застосовувати певні рівні пом’якшення ризику.
Статті по темі
- ЕМПАТІЯ: відсутність ознак емпатії та як її розвинути
- СИСТЕМА УПРАВЛІННЯ ІДЕНТИФІКАЦІЄЮ
- ІНСТРУМЕНТИ ІДЕНТИФІКАЦІЇ ТА КЕРУВАННЯ ДОСТУПОМ: визначення, найкращі та безкоштовні інструменти ідентифікації та доступу
- Керування привілейованим доступом: як це працює
посилання
