رمز گشایی از مدیریت دسترسی ممتاز (PAM)

هر سیستم فناوری با ارائه سطوح مختلف دسترسی به کاربران، امنیت خود را مدیریت می‌کند. این مدل امنیتی مبتنی بر نقش، کنترل بیشتری را به مدیران سیستم ارائه می‌دهد و اقداماتی را که هر کاربر می‌تواند روی سیستم انجام دهد، تعیین می‌کند. اصل حداقل امتیاز بیان می‌کند که هر کاربر فقط باید دسترسی لازم برای انجام وظایف خود را داشته باشد و نه بیشتر. بنابراین، افزایش امنیت پلتفرم مستلزم آن است که یک سازمان تعداد کاربرانی را که دارای امتیازاتی برای دسترسی به عملکردهای اداری هستند محدود کند. از آنجایی که اقداماتی مانند دسترسی به اطلاعات محدود شده، افزودن یا حذف کاربران و پیکربندی مجدد برنامه‌ها دارای پیامدهای امنیتی و عملیاتی هستند، فقط کاربران مورد اعتماد باید دسترسی مرتبط برای انجام این وظایف را داشته باشند.

ما اغلب به این حساب‌های دارای امتیاز به عنوان ابرکاربر یا سرپرست اشاره می‌کنیم. با این حال، حساب‌های دارای امتیاز می‌توانند به کاربران غیرانسانی سیستم نیز اشاره کنند. به عنوان مثال، برخی از خدمات سازمانی برای دسترسی به داده‌های محرمانه یا شبکه‌های محدود به یک حساب سیستم نیاز دارند. همچنین ممکن است سرویس‌هایی داشته باشید که بر اسرار مشترک مانند کلیدهای رمزگذاری که به کاربران عادی دسترسی می‌دهند، متکی هستند. از آنجایی که همه این حساب‌های ممتاز به داده‌های محرمانه و محیط‌های امن دسترسی دارند، ما باید اقدامات امنیتی بیشتری را برای محافظت از آن‌ها اجرا کنیم.

PAM چیست؟

Privileged Access Management که به اختصار PAM نامیده می‌شود به معنی مدیریت دسترسی ممتاز است. این یک مکانیسم امنیت اطلاعات (infosec) است که از هویت‌هایی با دسترسی یا قابلیت‌های ویژه فراتر از کاربران عادی محافظت می‌کند. مانند سایر راه‌حل‌های infosec، PAM از طریق ترکیبی از افراد، فرآیندها و فناوری کار می‌کند.

ما با حساب‌های دارای امتیاز دسترسی به دلیل خطراتی که برای محیط فناوری ایجاد می‌کنند، با دقت بیشتری رفتار می‌کنیم. به عنوان مثال، اگر اختیارات یک مدیر یا حساب سرویس به دست افراد اشتباهی بیفتد، می‌تواند منجر به در معرض خطر قرار گرفتن سیستم‌ها و داده‌های محرمانه سازمان شود.

نقض داده‌ها زمانی رخ می‌دهد که عوامل تهدید، حساب‌های دسترسی ممتاز را به خطر بیاندازند. از آنجایی که این حساب‌ها کلیدهایی را نگه می‌دارند که قفل هر دری را در یک محیط فناوری باز می‌کنند، باید لایه‌های حفاظتی بیشتری اضافه کنیم. این امنیت اضافی یک راه حل مدیریت دسترسی ممتاز است.

 

دسترسی ممتاز (PAM) به چه معناست

در یک محیط فناوری، دسترسی ممتاز به حساب‌هایی اطلاق می‌شود که قابلیت‌های بالاتری فراتر از کاربران عادی دارند. به عنوان مثال، در یک محیط لینوکس، کاربر root اختیارات کاملی دارد و می‌تواند کاربران را اضافه، اصلاح یا حذف کند. محیط‌های ویندوزی از ساختار امنیتی مشابهی پیروی می‌کنند، اما کاربر root در آن مدیر (administrator) نامیده می‌شود.

بیایید مفهوم دسترسی ممتاز را با یک مثال بانکداری در دنیای واقعی نشان دهیم. یک بانک معمولی مشتریان، باجه‌ها و مدیرانی دارد. هر «کاربر» در هنگام دسترسی به پول نقد بانک دارای سطوح مختلف اختیارات است. مشتریان فقط می‌توانند به پول موجود در حساب‌های بانکی خود دسترسی داشته باشند. عابربانک‌ها از امتیازات بیشتری نسبت به مشتریان عادی برخوردارند زیرا به تمام پول نقد موجود در کشوهای مربوطه خود دسترسی دارند. مدیران حتی نسبت به عابربانک دسترسی بیشتری دارند، زیرا می‌توانند به پول ذخیره شده در صندوق بانک دسترسی داشته باشند. سیستم‌های فناوری نیز از این مدل دسترسی به امتیاز طبقه بندی شده استفاده می‌کنند. نقش شما در سیستم تعیین می‌کند که چه کاری را می‌توانید انجام دهید.


مقاله پیشنهادی“جلوگیری از حملات DOS و DDoS”


مدیریت دسترسی (Access) ممتاز در مقابل مدیریت حساب (Account) ممتاز در مقابل مدیریت جلسه (Session) ممتاز

مدیریت دسترسی ممتاز یک مکانیسم امنیتی است که از اجزای مختلفی تشکیل شده است. بسته به مشکل امنیتی که راه حلی برای حل آن تلاش می‌کند، فرآیندها و فناوری‌های مختلفی وارد بازی می‌شوند. همانطور که از نام آن پیداست، مدیریت حساب ممتاز به مکانیسم‌هایی اشاره دارد که حساب‌هایی را مدیریت و حسابرسی می‌کنند که امتیاز دسترسی فراتر از یک کاربر استاندارد دارند.

در برخی از سیستم‌های مدیریت دسترسی ممتاز، مدیریت حساب ممتاز به فناوری‌ای اطلاق می‌شود که اعتبارنامه‌ها را ذخیره می‌کند. به عنوان مثال، یک مدیر ممکن است پورتالی را مدیریت کند که روش‌هایی را برای دسترسی به حساب ممتاز در برنامه‌های مختلف و منابع سازمانی تعریف و کنترل می‌کند. پورتال مدیریت حساب ممتاز، اعتبار حساب‌های دارای امتیاز (مانند رمز عبور آن‌ها) را در یک انبار رمز عبور با هدف خاص و بسیار امن ذخیره می‌کند. علاوه بر ذخیره اعتبار، پورتال همچنین می‌تواند سیاست‌هایی را در مورد شرایط دسترسی آن‌ها اعمال کند. به عنوان مثال، ممکن است اعتبار یک حساب سرویس ممتاز که یک سیستم حیاتی را اجرا می‌کند را در خود نگه دارد. کاربرانی که نیاز به دسترسی به آن اعتبارنامه‌ها دارند ممکن است نیاز به استفاده از مکانیسم احراز هویت منحصر به فرد داشته باشند. در برخی موارد، این پورتال‌ها به طور خودکار رمز عبور را در صندوق و سیستم تغییر می‌دهند و اطمینان حاصل می‌کنند که اعتبارنامه‌ها پس از دسترسی شخصی به آن‌ها امن می‌مانند.

مدیریت جلسه ممتاز جزء راه حل مدیریت دسترسی ممتاز است که مدیران را قادر می‌سازد تا بر فعالیت‌های کاربران ممتاز نظارت، مدیریت و ممیزی کنند. این برنامه جلساتی را که توسط کاربران داخلی و خارجی و سیستم‌های متصل با توانایی‌های فراتر از یک کاربر استاندارد آغاز شده است، ردیابی و ثبت می‌کند. این راه‌حل‌ها با اطلاع دادن به مدیران امنیتی از هرگونه فعالیت جلسه غیرعادی که شامل یک حساب کاربری ممتاز است، خطر را کاهش می‌دهد.

PAM چگونه کار می‌کند

همانطور که گفته شد، مدیریت دسترسی ممتاز ترکیبی از افراد، فرآیندها و فناوری است. بنابراین، اولین قدم در پیاده‌سازی راه‌حل PAM، شناسایی حساب‌هایی است که دسترسی ممتاز دارند. پس از آن، کسب و کار باید تصمیم بگیرد که چه سیاست‌هایی را برای این حساب‌ها اعمال می‌کند.

به عنوان مثال، آن‌ها ممکن است بیان کنند که حساب‌های سرویس باید رمز عبور خود را هر بار که کاربر به اطلاعات کاربری ذخیره شده خود دسترسی پیدا می‌کند، تعویض کنند. مثال دیگر اجرای احراز هویت چند عاملی(MFA)  برای همه مدیران سیستم است. نگه داشتن گزارش دقیق از تمام جلسات ممتاز سیاست دیگری است که سازمان ممکن است تصمیم به اجرای آن بگیرد. در حالت ایده آل، هر فرآیند باید با یک ریسک خاص هماهنگ باشد. به عنوان مثال، تغییر اجباری رمزهای عبور حساب سرویس، خطر یک تهدید داخلی را کاهش می‌دهد. به همین ترتیب، نگه داشتن گزارشی از تمام جلسات ممتاز به مدیران امنیتی امکان می‌دهد هر گونه ناهنجاری را شناسایی کنند و اجرای MFA یک راه حل اثبات شده برای کاهش حملات مربوط به رمز عبور است.

هنگامی که سازمان مرحله کشف خود را برای شناسایی حساب‌های ممتاز و نهایی کردن خط مشی‌های PAM خود تکمیل کرد، می‌تواند یک پلت فرم فناوری را برای نظارت و اجرای مدیریت دسترسی ممتاز خود پیاده سازی کند. این راه حل PAM سیاست‌های سازمان را خودکار می‌کند و به مدیران امنیتی بستری برای مدیریت و نظارت بر حساب‌های دارای امتیاز ارائه می‌دهد.

الزامات مدیریت دسترسی ممتاز

یک راه حل مدیریت دسترسی ممتاز باید قابلیت پشتیبانی از سیاست‌های PAM یک سازمان را داشته باشد. به طور معمول، یک PAM سازمانی دارای ویژگی‌های مدیریت خودکار رمز عبور است که شامل خزانه، چرخش خودکار، تولید خودکار و گردش کار تأیید می‌شود. علاوه بر این قابلیت‌های مدیریت رمز عبور، باید به مدیران امکان پیاده‌سازی و اجرای MFA را نیز بدهد.

یک راه حل مدیریت دسترسی ممتاز سازمانی همچنین باید به سازمان‌ها قابلیت مدیریت چرخه عمر حساب ممتاز را ارائه دهد. به عبارت دیگر، باید به مدیران این امکان را بدهد که ایجاد، اصلاح و حذف حساب‌ها را خودکار کنند. در نهایت، یک راه حل PAM باید نظارت و گزارش قوی ارائه دهد. از آنجایی که مدیران امنیتی نیاز به نظارت بر جلسات ممتاز و بررسی هرگونه ناهنجاری دارند، باید دید بی‌درنگ و هشدار خودکار را ارائه دهند.

PAM در مقابل IAM

مدیریت دسترسی ممتاز جزئی از راه حل گسترده‌تری برای مدیریت هویت و دسترسی (IAM) است. PAM با فرآیند و فناوری‌های مورد نیاز برای ایمن‌سازی حساب‌های دارای امتیاز سروکار دارد. از سوی دیگر، راه حل IAM مدیریت رمز عبور، احراز هویت چند عاملی، ورود به سیستم منفرد (SSO) و مدیریت چرخه عمر کاربر را برای همه حساب‌ها، نه فقط آن‌هایی که دسترسی ممتاز دارند، ارائه می‌کند.

PAM در مقابل حداقل امتیاز

اصل کمترین امتیاز (POLP) یک مدل امنیتی است که بیان می‌کند کاربران، شبکه‌ها، دستگاه‌ها و حجم کاری باید حداقل دسترسی لازم برای انجام عملکرد خود را داشته باشند و نه بیشتر. از سوی دیگر، PAM با فرآیندهای امنیتی و فناوری‌های مورد نیاز برای محافظت از حساب‌های ممتاز سر و کار دارد. بنابراین، در حالی که PAM برخی از عوامل مورد نیاز برای اجرای اصل حداقل امتیاز را فعال می‌کند، تنها فناوری نیست که این کار را انجام می‌دهد.

PAM عملکرد، اتوماسیون و گزارش‌هایی را که برای مدیریت حساب‌های ممتاز نیاز است به مدیران ارائه می‌دهد. علاوه بر این، از اصل کمترین امتیاز پشتیبانی می‌کند، زیرا امکان مدیریت و نظارت لازم را برای کاهش ریسک حساب‌هایی که توانایی‌های فراتر از کاربر استاندارد دارند را فراهم می‌کند. با این حال، سازمان‌ها به مکانیسم‌های دیگر امنیت اطلاعات برای اجرای اصل کمترین امتیاز دسترسی دارند. به عنوان مثال، آن‌ها می‌توانند کنترل دسترسی مبتنی بر نقش (RBAC) را در هر سیستمی پیاده‌سازی کنند. نمونه‌های دیگر اجرای اصل حداقل امتیاز شامل بخش‌بندی و ایمن‌سازی شبکه‌های خود با VLAN و اطمینان از اینکه کاربران در سیستم‌های مورد استفاده خودشان به عنوان کاربر local administrator تعریف نشده باشند.


مقاله پیشنهادی“Cloud Migration چگونه بر شبکه، امنیت و ذخیره‌سازی تأثیر می‌گذارد؟”


چرا PAM مهم است

مدیریت دسترسی ممتاز در هر سازمانی حیاتی است زیرا حساب‌های ممتاز خطر قابل توجهی برای شرکت ایجاد می‌کنند. به عنوان مثال، اگر یک عامل تهدید یک حساب کاربری استاندارد را به خطر بیاندازد، آن‌ها فقط به اطلاعات آن کاربر خاص دسترسی خواهند داشت. با این حال، اگر آن‌ها موفق به به خطر انداختن یک کاربر ممتاز شوند، دسترسی بسیار بیشتری خواهند داشت و بسته به حساب کاربری، حتی ممکن است توانایی خرابکاری در سیستم‌ها را داشته باشند.

با توجه به وضعیت و مشخصات خود، مجرمان سایبری حساب‌های دارای امتیاز را هدف قرار می‌دهند تا بتوانند به جای استفاده از یک کاربر، کل سازمان‌ها را در معرض خطر قرار دهند. طبق تخمین فورستر که ادعا می‌کند ۸۰ درصد نقض‌های امنیتی شامل حساب‌های ممتاز است، ایمن کردن و نظارت بر این هویت‌های اصلی سازمانی حیاتی است. به عنوان مثال، یک راهکار PAM می‌تواند نقاط ضعف امنیتی را حل کند، مانند دسترسی چندین کاربر و دانستن رمز عبور مدیریتی یکسان برای یک سرویس خاص. همچنین خطر گذرواژه‌هایی که مدت‌هاست تغییر نکرده‌اند را کاهش می‌دهد.

مدیریت دسترسی ممتاز (PAM)

بهترین روش‌های PAM

راهکار مدیریت دسترسی ممتاز تنها به اندازه اجرای درست آن موثر است. بنابراین، سازمان‌ها باید بهترین شیوه‌های زیر را در نظر بگیرند:

  • اجرای اصل حداقل امتیاز – شما نمی توانید حساب‌های دارای امتیاز را بدون اجرای اصل حداقل امتیاز مدیریت کنید. قفل کردن یک محیط به طوری که فقط حساب‌های دارای امتیاز بتوانند به منابع خاصی دسترسی داشته باشند، پیش نیاز یک راه حل PAM موفق است.
  • ردیابی همه حساب‌های ممتاز – اگر حساب ممتاز بخشی از راه حل PAM شما نباشد، نمی توانید آن را مدیریت کنید.
  • افزایش موقت امتیاز را در نظر بگیرید – به جای اعطای دسترسی ممتاز دائمی به کاربر، فقط در صورت نیاز دسترسی را ارائه دهید و سپس آن را حذف کنید.
  • از کنترل دسترسی مبتنی بر نقش استفاده کنید – مدیریت دسترسی ممتاز تنها در صورتی روی سیستمی کار می‌کند که سطوح دسترسی مبتنی بر نقش متفاوتی داشته باشید.
  • خودکارسازی – اتوماسیون خطر خطای انسانی را کاهش می‌دهد و کارایی محیط امنیت اطلاعات شما را افزایش می‌دهد.
  • نظارت، ثبت و حسابرسی – نظارت مستمر و ثبت فعال تمام فعالیت‌های حساب ممتاز برای اطمینان از اینکه سازمان دارای بینش‌های لازم برای محافظت از محیط خود باشد، حیاتی است. با این حال، همچنین بسیار مهم است که ممیزی بر روی گزارش‌ها به طور منظم انجام شود. بدون آن، سازمان اطلاعات مورد نیاز برای شناسایی خطرات احتمالی و اجرای اقدامات برای کاهش آن‌ها را نخواهد داشت.

منبع

فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *