مدیریت دسترسی ممتاز (PAM) چیست؟ "بخش دوم"
لطفا جهت مطالعه بخش اول مقاله مدیریت دسترسی ممتاز (PAM)؛ کلیک نمائید.
مدیریت اعتبار دسترسی ممتاز
با مدیریت اعتبار دسترسی ممتاز سازمانی، از نام کاربری و رمزعبور حسابهای کاربری ممتاز باارزش محافظت کنید.
تمامی زیرساختهای فناوری اطلاعات، توسط کاربران ممتاز مدیریت میشود. کاربرانی مانند SysAdmin ها، با دسترسی به حسابهای ممتاز، کنترل بالایی در زمان، عملکرد، منابع و امنیت سیستمها داشته و نیازهای کسبوکار شما را برآورده میکنند. سوءاستفاده از حسابهای کاربری ممتاز یکی از حیاتیترین چالشهای امنیتی امروزی میباشد و بهگونهای قابل توجه، روش مورد علاقه هکرها برای نقض سیستم دفاعی سیستم و حسابهای کاربری شما است. بنابراین مدیریت حسابهای کاربری ممتاز به یک اولویت حیاتی برای تیمهای امنیتی فناوری اطلاعات تبدیل شده است.
راهحل نرمافزار PAM با تعیین اینکه چه کسی به چه چیزی و چه زمانی دسترسی پیدا کند، الزامات امنیتی و الزامات انطباق را برطرف میکند. در ادامه مقاله در مورد قابلیتهای PAM و مواردی که به سازمانهای متوسط تا شرکتهای جهانی اجازه میدهد تا از کسبوکار خود محافظت کنند، صحبت خواهیم کرد.
مزایای کلیدی مدیریت اعتبار دسترسی ممتاز
افراد و گذرواژهها را از هم جدا کنید
یا اگر دقیقتر بخواهیم بگوییم، «جداسازی اکانت کاربری SysAdmin ها از سایر کاربران». نرمافزار PAM با این فرض طراحی شده است که از حملات فیشینگ اکانتهای کاربران که در معرض خطر هستند، جلوگیری نماید. بنابراین، یکی از قابلیتهای کلیدی PAM این می باشد که گذرواژهها هرگز نباید برای کاربران نمایش داده شوند، مگر در مواردی خاص. شما میتوانید آن را به عنوان یک "پروکسی تزریق اعتبار" در نظر بگیرید. این بدان معناست که اعتبارنامهها فقط بین PAM و دستگاه پایانی حرکت میکنند و هرگز در معرض خطر کپی کردن رمز عبور کاربران در کلیپبورد یا ترافیک شبکه بین ایستگاه کاری کاربر و دستگاه هدف قرار نمیگیرند.
اعطای دسترسی موردنیاز – اعطای شناسه به نقش
همانگونه که افراد دارای هویت هستند، حسابهای کاربری موجود در سیستمها نیز دارای نقش میباشند. تفاوت بین «ابزار مدیریت هویت (IAM)» و «ابزار مدیریت حساب ممتاز (PAM)» تأیید میکند، که کاربران با کنترل نقش خود در سیستم، میدانند که چه کاری را می توانند انجام دهند.
این امر مهم است که بدانیم کدام هویت از کدام نقش، در کدام سیستم و چه زمانی استفاده کرده است. PAM سیاستهای مدیریت حساب ممتاز را از طریق Profile پیادهسازی میکند و هویتها را از طریق ابزارها و وظایف به نقشهای روی سیستمها ترسیم مینماید.
نسبت افزایش سرعت به ارزش
راهحلهای مدیریت حساب ممتاز (PAM) برای استقرار و استفاده مشتریان بسیار ساده بوده و نصب و نگهداری آن ساده و مقرون به صرفه میباشد. با سرویسهای PAM که بتازگی نصب شدهاند، میتوانید حسابهای کاربری را از شناسه تا تعیین نقش آنها را، ارائه نمائید و یا در یک سازمان، به اشخاص ثالث دسترسی صرفاً بر اساس هویت بدهید. شخص ثالث هرگز اعتبار حساب نقش را نخواهد دید یا به آن دسترسی نخواهد داشت. این بدان معنی است که شما میتوانید از PAMبرای ارائه دسترسی ممتاز بصورت فوری و قابل اطمینان در سازمان خود استفاده نمائید.
مدیریت چرخه عمر حسابهای کاربری در کلاس سازمانی
همه ما میدانیم که امنیت سفری بی پایان است و سازمانها باید از جایی شروع کنند. قبل از اینکه ویژگیهای قدرتمند محصول PAM را بیان نمائیم، این محصول باید به نسبت کاری که انجام میدهد، اعتماد ایجاد نماید. این اعتماد باید از CISO و معماری امنیتی گرفته شود تا مدیران عملیات و SysAdmin ها، بتوانند به آن اعتماد کنند، کهAccount States آن را ارائه میدهد.
با گذشت زمان، میتوانید حسابهای کاربری را با «مشخص کردن» وضعیت نقش و اعتبار آنها (گذرواژهها و کلیدها) تحت کنترل PAM قرار دهید. این بدان معناست که کاربران میتوانند از طریق پروفایلهای خود بدون اطلاع از گذرواژهها و کلیدها، به حسابهای مبتنی بر نقش دسترسی پیدا کنند. هنگامی که بتوان به حالت مدیریت شده به حساب کاربری دسترسی پیدا کرد، نرمافزار PAM کنترل کاملی برای ایجاد، بهروزرسانی، چرخش و حذف اعتبارنامهها بدون دسترسی SysAdmin انسانی به آنها دارد.
ارتقاء امنیت هویت حسابهای کاربری با احراز هویت چندعاملی
PAM در اصل یک سیستم Identity IN - Role OUT است. بنابراین، کیفیت اثبات هویت برای عملیات امن، بسیار مهم می باشد. احراز هویت چندعاملی (MFA) سطح بیشتری از تأیید را به هویتهای ورودی اضافه میکند و ممکن است توسط یک سیستم مدیریت هویت و دسترسی ارائه شود.
MFA معمولاً براساس (چیزی که میدانید، چیزی که دارید یا چیزی در مورد شما) کار میکند. سرویسهای احرازهویت میتوانند به اکتیودایرکتوری منتقل شده و یا بهعنوان یک رابطه سری تعریف شوند. بهعنوان مثال، یک کاربر را میتوان بهصورت محلی یا توسط Active Directory و سپس از طریق یک مرحله MFA اضافی مانند Google Authenticator شناسایی کرد.
دسترسی ممتاز فقط در صورت نیاز (Time Windows)
در برخی از مواقع، کاربران نمیتوانند تغییرات دسترسی به سیستم داشته باشند. نرمافزار PAM برای کمک به بهبود تجربه SysAdmin و DevOps، سرویس گیرنده PAM، شمارش معکوس را برای هر دستگاهی که دسترسی محدود به زمان دارد را، نشان میدهد. کاربران زمان شمارش معکوس را برای رسیدن به پنجرهای که اجازه دسترسی را میدهد، میبینند.
دسترسیپذیری و تحمل خطا بالا
از آنجایی که PAM باید نقطه مرکزی سیستم شما باشد تا تمام دسترسیها به سرویسها و دستگاهها از طریق آن هدایت گردد (بهغیر از موارد اضطراری همچون شکستن رمزهای عبور)، سرویس PAM به بخش مهمی از زیرساخت فناوری اطلاعات سازمان شما تبدیل میشود. بنابراین باید همیشه در دسترس SysAdmin های سازمان شما باشد. PAM شامل طبقهبندی سرورها بهعنوان یک ویژگی استاندارد است. گروههایی از سرورهای PAM را میتوان به گونهای تعریف کرد که اگر یک سرور از دسترس خارج گردد (مثلاً از طریق خرابی سختافزار)، سرویس PAM میتواند به کار خود ادامه دهد. این امر نیازی به وابستگی به دستگاههای خارجی گرانقیمت همانند SQL Server Always On یا پیکربندیهای شبکه اختصاصی پیچیده، ندارد.
امنیت بالا، قابلیت سهولت استفاده
فرآیندهای مدیریت تغییر - تغییر برچسب
به عنوان سطحی بالا از امنیت و راحتی، سطوح دسترسی را میتوان برای بررسی تغییر برچسب، تنظیم کرد. هنگامی که یک اتصال یا ارتباط از طریق سیستم درخواست میشود، یک گفتگوی درخواست برای یک برچسب تغییر ارائه میگردد. سپس برچسب ارائه شده را میتوان با سیستمهای مدیریت خدمات مانند ServiceNow بررسی کرد تا اطمینان حاصل شود که درخواست کاربر معتبر و در حال اجرا است.
دسترسی مدیریت شده به سیستمهای ممتاز بهوسیله سرور
سرور پروتکل برنامه مدیریت شده (MAP) یک محیط ویندوزی است که تحت کنترل و احرازهویت و نرمافزار PAM است. از پنجرههای برنامه Remote Desktop Protocol (RDP) برای رندر کردن پنجرههای برنامه در سرور MAP به دسکتاپ کاربر استفاده میکند. این به این معنی است که کاربر نیازی به نصب "Thick Clients" یا برنامههای قدیمی، به ویژه نرمافزارهای وابسته به آن برنامهها، را ندارد.
هنگامی که این برنامهها را در یک محیط امن، قفل شده، دور از دسکتاپ کاربر و برنامههای ایمیل/وب اجرا میکنید، هیچ شانسی برای آلودگی متقابل یا برنامهنویسی بدافزار وجود نخواهد داشت. مانند قبل، اعتبارنامهها به سرور MAP محدود میشوند و هرگز وارد دامنه کاربر نمیشوند.
دسترسی شخص ثالث به PAM
این امر واقعاً ترکیبی از ویژگیهایی است که PAM را برای این کار عالی میکند. اول، توانایی آن برای داشتن چندین سرویس احرازهویت است، به این معنی که میتواند به ارائهدهندگان هویت برون سپاری شده، متصل شود. پنجرههای زمانی، ضبط جلسه، نظارت بر جلسه زنده (Live) و خاتمه جلسه تحت هدایت مدیر وجود دارد. همه اینها به رابطه ایمن شخص ثالث اضافه میشود.
مدیریت پیشرفته دستگاهها با متادیتا (فرادادهها)
مفهوم فراداده و جستجوی فراداده در سراسر PAM وجود دارد. عملکرد اصلی آن ارائه یک زمینه تجاری به کاربر و اشیاء و دستگاهی است که مدیریت میکند. این قابلیت استفاده عالی برای SysAdmin ها، دارد. بهعنوان مثال، در مجموعهای از هزاران سیستم، به خاطر سپردن نام دستگاه ممکن است سخت باشد.
در نرمافزار PAM، فیلد اتصال یک طرح جستجوی متن آزاد میباشد. بنابراین، اگر یک SysAdmin نیاز به یافتن "Singapore Load Balancer در DMZ" داشته باشد، ممکن است "Sing Load DMZ" را تایپ کند که جستجو را در زمان واقعی با هر کاراکتر محدود میکند. برای گزارشدهی و ممیزی، متادادهها بهعنوان ستونهای انتخاب و مرتبسازی ارائه میشوند تا بتوانید بهسرعت مکانها، یا کلاسهای دستگاه را که بر اساس نمایه و آخرین دادههای مورد دسترسی مرتب شدهاند، گزارش دهید.
چندین دامنه اکتیو دایرکتوری
کاربران نیاز به یک حساب نقش مبتنی بر دستگاه به سرویس احرازهویت دارند. در PAM ما میتوانیم برای تمامی کاربران و دستگاهها یک Active Directory (AD) اختصاص دهیم و سپس از Profile برای ایجاد نقشهای کنترل شده بین آنها استفاده کنیم.
مدیریت چرخه رمزعبور در کلاس سازمانی
از آنجایی که PAM پسوردها، کلیدهای SSH یا توکنهای API را در حالت عادی برای کاربران فاش نمیکند، نیازی به تغییر اعتبار پس از هر بار استفاده مانند راهحلهای مبتنی بر اعتبار ندارد. این بدان معنی است که PAM از وضعیت اعتبار دستگاهها مطلع است و میتواند با اطمینان نمونههای PAM را به هم متصل کرده و با موقعیتهای روزمره دستگاههایی که از پشتیبانگیری بازیابی یا جایگزین میشوند، مقابله کند.
Device Template ها، طول رمزعبور و رمزنگاری کلید SSH را تعیین میکنند. برای اکثر دستگاههای سبک یونیکس، این 128 کاراکتر/RSA512 میباشد. همچنین، برای سیستمهای ویندوز قدیمیتر میتواند تا ۳۲ کاراکتر کم باشد. حتی با 32 کاراکتر، گذرواژههای تولید شده ما آنتروپی فوقالعادهای را نشان میدهند.
طیف گستردهای از پشتیبانی از دستگاهها
یک مخزن قالب دستگاه که در بیشتر قسمتها شرح پیکربندی مبتنی بر XML از نحوه اتصال به دستگاهها و نحوه مدیریت حسابهای مبتنی بر نقش است، وجود دارد. قالبهای عمومی برای برنامههای کاربردی مبتنی بر وب در دسترس هستند، بنابراین تقریباً از هر برنامه ابری (Cloud) مورد نیاز کسبوکار پشتیبانی میشود. بسیاری از مشتریان این قالبها را برای استفاده خود گسترش میدهند. اولین مدل از این قالب ها برای مدیریت زیرساخت طراحی شده است و به همین دلیل برای مدیریت دستگاه روتر/دیوار آتش/محتوا استفاده میگردد.
وب Single Sign On
از آنجایی که PAM افراد را از اعتبارنامهها جدا میکند، باید بداند که چگونه نامهای کاربری، گذرواژهها و کلیدها را به دستگاهها و سرویسهای دارای فرستاندهای مبتنی بر وب تزریق کند. همچنین این نرمافزار، دارای طیف گستردهای از درایورهای از پیش ساخته شده برای دستگاههای رایج و ارائههای ابری SaaS است. این درایورها اتصال اولیه به یک صفحه وب را انجام میدهند و با فرمها و جاوا اسکریپت مربوط به احرازهویت ورودی تعامل دارند. معماری PAM اضافه کردن سریع موارد مورد نیاز را نیز، آسان میکند.
استقرار و مدیریت ساده - بدون نیاز به سیستمعامل
ارتباط بین PAM و دستگاههای مورد نظر (سرورها، پایگاههای داده، دستگاههای شبکه، برنامههای کاربردی ابری (Cloud) و غیره) از طریق رابطهای بومی یا پروتکلهای استاندارد است. نیازی به نصب پرهزینه برای مدیریت سیستمهای عامل بر روی سیستمهای هدف مانند برخی از راهحلهای قدیمی PAM وجود ندارد.
حداقل امتیاز قابل حسابرسی
از آنجایی که PAM قابل دور زدن نیست، سیاستها کاملاً اجرا میگردند. همچنین این امر، بدان معنی است که اگر دستگاهی سیستم ورود به سیستمی را ثبت کند که هیچگونه سیستم ثبتنام مشابهی برای آن وجود ندارد، در این صورت اثبات مطلقی وجود دارد که این مخرب است.
پشتیبانی SIEM
PAM هر کاری را که انجام میدهد با فرمت CEF ثبت میکند. البته، هرگز رمزهای عبور واقعی را، حتی در گزارشهای خود ثبت نمیکند. اما زمانی که کاربری از نقش "root" در دستگاه "X" استفاده میکند، به SIEM شما اطلاع میدهد. این نرمافزار به شما میگوید که چه زمانی وظایف اجرا میشوند، چه زمانی دستگاهها ممیزی میشوند، چه زمانی هر کسی برنامه شکستن پسورد را اجرا میکند، چه زمانی کاربران اضافه یا حذف میشوند. اکنون SIEM شما میتواند به شما بگوید که آیا دستگاهی ورود به سیستمی را انجام داده است یا خیر و اینکه هیچ سیستم ثبتنام PAM مربوطه برای آن وجود ندارد و این دلیل مطلق، نقض خط مشی یا حمله است.
بدون حرکت جانبی
برخلاف راهحلهای ساده مبتنی بر رمزعبور، از آنجایی که اعتبارنامهها هرگز وارد قلمرو کاربر نمیشوند، نمیتوان از آنها برای ایجاد اتصال به سیستمهای دیگر استفاده کرد. حتی اگر همه سیستمها از حساب سرپرست دامنه استفاده کنند، پروفایلهای PAM مشخص میکنند که چه کسی میتواند از این حساب و در چه سیستمهایی استفاده کند.
دیگر نیازی به اشتراکگذاری اعتبارنامهها وجود ندارد - فقط یک نمونه هویت
این یکی از ویژگیهای اصلی PAM از ابتدا بوده است. مشکل کلیدی حسابهای اشتراکی این است که میتوان آنها را به اشتراک گذاشت. بنابراین PAM پلتفرمی را ایجاد کرده است تا اشتراکگذاری هویتهای ورودی را ممنوع کند. این بدان معنی است که اگر کاربری میز خود را ترک کند و از جای دیگری به PAM وارد شود، نمیتواند به نرمافزار خود متصل گردد. این یک نمونه انتخاب حسابهای مبتنی بر نقش «in» و «out» میباشد. این ویژگی، حفاظت از هویت و در نتیجه امنیت را ارتقا میدهد.
کپسوله کردن پروتکل میراث
برای ایمنی، PAM فرض میکند که تمام نقاط پایانی در معرض خطر قرار گرفتهاند و شبکههای عمومی ناامن هستند. ارتباط بین مشتری PAM و سرور PAM بهصورت یک شبکه 127 .x.x.x ارائه شده از طریق یک تونل SSL ارائه میشود. این بدان معناست که اگر نیاز به استفاده از اتصال Telnet به برخی از دستگاههای قدیمی داشته باشید، دادهها از دسکتاپ به PAM برای هر مهاجمی غیرشفاف خواهد بود. زیرا ما از پورتهای تصادفی با تعداد بالا برای هر اتصال استفاده میکنیم.
جداسازی گروههای دستگاه از یکدیگر
یک خطمشی عملیاتی رایج بیان میکند که در حالیکه به یک کلاس از دستگاه متصل است، یک اپراتور نباید به کلاسهای دیگر دستگاه متصل شود. به طور معمول، MSSP ها به یک اپراتور نیاز دارند تا در یک زمان روی سیستمهای یک مشتری کار کنند. ویژگی Device Group Separation (DGS) میتواند هنگام انتخاب یک دستگاه از کلاس متفاوت، اپراتور را در مورد اتصالات موجود مسدود کند یا به آنها هشدار دهد. برای کاربران نهایی بزرگتر، این میتواند برای اطمینان از اینکه مهندس DevOp نمیتواند به سیستمهای UAT متصل شود، در حالیکه به سیستمهای موجود دیگر متصل است، استفاده شود.
کنترل RDP
براساس نمایه، میتوانید کنترل کنید که یک جلسه RDP چه گزینههایی دارد. به عنوان مثال، برای اشخاص ثالث ممکن است بخواهید نگاشت دیسک، بافر برش و چسباندن را غیرفعال کنید. با استفاده از چندین نمایه، یک کاربر میتواند بسته به نقشی که باید از آن استفاده کند، گزینههای مختلفی را دریافت کند.
حسابرسی دستگاه
PAM ممیزیهای برنامهریزی شده هر دستگاه را انجام میدهد. این ممیزیها بررسی میکنند که حساب کنترل در دسترس بوده و کار میکند. برای دستگاههایی که چندین حساب را مجاز میکنند، فهرستی از تمام حسابهای محلی بازیابی شده و با لیست قبلی مقایسه میشود. حسابها بسته به الگوی دستگاه و پایگاهداده حسابها بهعنوان «تأیید نشده»، «تأیید شده»، «معروف»، «مدیریت شده» و «کاملاً مدیریتشده» دستهبندی میشوند. این به سرعت حسابهای جدیدی را نشان میدهد که خارج از کنترل PAM ایجاد شدهاند. این امر، مهاجمانی را شناسایی میکند که برای استفاده خود حساب ایجاد میکنند.
در پایان خاطر نشان میگردد اگر سازمان شما به دنبال سامانه نظارت و مدیریت سطح دسترسی (PAM) میباشد، گروه راهکارهای مدیریت دسترسی ممتاز شرکت داده پردازان دوران، جهت ارائه خدمات مشاوره، تحت عنوان محصول DouranPAM اعلام آمادگی مینماید.