• تعداد بازدید : 2294
مدیریت دسترسی ممتاز (PAM) چیست؟ "بخش دوم"

مدیریت دسترسی ممتاز (PAM) چیست؟ "بخش دوم"

لطفا جهت مطالعه بخش اول مقاله مدیریت دسترسی ممتاز (PAM)؛ کلیک نمائید.

مدیریت اعتبار دسترسی ممتاز

با مدیریت اعتبار دسترسی ممتاز سازمانی، از نام کاربری و رمز‌عبور حساب‌های کاربری ممتاز با‌ارزش محافظت کنید.

تمامی زیرساخت‌های فناوری اطلاعات، توسط کاربران ممتاز مدیریت می‌شود. کاربرانی مانند SysAdmin ها، با دسترسی به حساب‌های ممتاز، کنترل بالایی در زمان، عملکرد، منابع و امنیت سیستم‌ها داشته و نیازهای کسب‌وکار شما را برآورده می‌کنند. سوء‌استفاده از حساب‌های کاربری ممتاز یکی از حیاتی‌ترین چالش‌های امنیتی امروزی می‌باشد و به‌گونه‌ای قابل توجه، روش مورد علاقه هکرها برای نقض سیستم دفاعی سیستم و حساب‌های کاربری شما است. بنابراین مدیریت حساب‌های کاربری ممتاز به یک اولویت حیاتی برای تیم‌های امنیتی فناوری اطلاعات تبدیل شده است.

راه‌حل نرم‌افزار PAM با تعیین اینکه چه کسی به چه چیزی و چه زمانی دسترسی پیدا کند، الزامات امنیتی و الزامات انطباق را برطرف می‌کند. در ادامه مقاله در مورد قابلیت‌های PAM و مواردی که به سازمان‌های متوسط تا شرکت‌های جهانی اجازه می‌دهد تا از کسب‌وکار خود محافظت کنند، صحبت خواهیم کرد.

مزایای کلیدی مدیریت اعتبار دسترسی ممتاز

افراد و گذرواژه‌ها را از هم جدا کنید

یا اگر دقیق‌تر بخواهیم بگوییم، «جداسازی اکانت کاربری SysAdmin ها از سایر کاربران». نرم‌افزار PAM با این فرض طراحی شده است که از حملات فیشینگ اکانت‌های کاربران که در معرض خطر هستند، جلوگیری نماید. بنابراین، یکی از قابلیت‌های کلیدی PAM این می باشد که گذرواژه‌ها هرگز نباید برای کاربران نمایش داده شوند، مگر در مواردی خاص. شما می‌توانید آن را به عنوان یک "پروکسی تزریق اعتبار" در نظر بگیرید. این بدان معناست که اعتبارنامه‌ها فقط بین PAM و دستگاه پایانی حرکت می‌کنند و هرگز در معرض خطر کپی کردن رمز عبور کاربران در کلیپ‌بورد یا ترافیک شبکه بین ایستگاه کاری کاربر و دستگاه هدف قرار نمی‌گیرند.

اعطای دسترسی مورد‌نیاز – اعطای شناسه به نقش

همانگونه که افراد دارای هویت هستند، حساب‌های کاربری موجود در سیستم‌ها نیز دارای نقش می‌باشند. تفاوت بین «ابزار مدیریت هویت (IAM)» و «ابزار مدیریت حساب ممتاز (PAM)» تأیید می‌کند، که کاربران با کنترل نقش خود در سیستم، می‌دانند که چه کاری را می توانند انجام دهند.

این امر مهم است که بدانیم کدام هویت از کدام نقش، در کدام سیستم و چه زمانی استفاده کرده است. PAM سیاست‌های مدیریت حساب ممتاز را از طریق Profile پیاده‌سازی می‌کند و هویت‌ها را از طریق ابزارها و وظایف به نقش‌های روی سیستم‌ها ترسیم می‌نماید.

نسبت افزایش سرعت به ارزش

راه‌حل‌های مدیریت حساب ممتاز (PAM) برای استقرار و استفاده مشتریان بسیار ساده بوده و نصب و نگهداری آن ساده و مقرون به صرفه می‌باشد. با سرویس‌های PAM که بتازگی نصب شده‌اند، می‌توانید حساب‌های کاربری را از شناسه تا تعیین نقش آنها را، ارائه نمائید و یا در یک سازمان، به اشخاص ثالث دسترسی صرفاً بر اساس هویت بدهید. شخص ثالث هرگز اعتبار حساب نقش را نخواهد دید یا به آن دسترسی نخواهد داشت. این بدان معنی است که شما می‌توانید از PAMبرای ارائه دسترسی ممتاز بصورت فوری و قابل اطمینان در سازمان خود استفاده نمائید.

مدیریت چرخه عمر حساب‌های کاربری در کلاس سازمانی

همه ما می‌دانیم که امنیت سفری بی پایان است و سازمان‌ها باید از جایی شروع کنند. قبل از اینکه ویژگی‌های قدرتمند محصول PAM را بیان نمائیم، این محصول باید به نسبت کاری که انجام می‌دهد، اعتماد ایجاد نماید. این اعتماد باید از CISO و معماری امنیتی گرفته شود تا مدیران عملیات و SysAdmin ها، بتوانند به آن اعتماد کنند، که‌Account States آن را ارائه می‌دهد.

با گذشت زمان، می‌توانید حساب‌های کاربری را با «مشخص کردن» وضعیت نقش و اعتبار آنها (گذرواژه‌ها و کلیدها) تحت کنترل PAM قرار دهید. این بدان معناست که کاربران می‌توانند از طریق پروفایل‌های خود بدون اطلاع از گذرواژه‌ها و کلیدها، به حساب‌های مبتنی بر نقش دسترسی پیدا کنند. هنگامی که بتوان به حالت مدیریت شده به حساب کاربری دسترسی پیدا کرد، نرم‌افزار PAM کنترل کاملی برای ایجاد، به‌روزرسانی، چرخش و حذف اعتبارنامه‌ها بدون دسترسی SysAdmin انسانی به آن‌ها دارد.

ارتقاء امنیت هویت حساب‌های کاربری با احراز هویت چند‌عاملی

PAM در اصل یک سیستم Identity IN - Role OUT است. بنابراین، کیفیت اثبات هویت برای عملیات امن، بسیار مهم می باشد. احراز هویت چند‌عاملی (MFA) سطح بیشتری از تأیید را به هویت‌های ورودی اضافه می‌کند و ممکن است توسط یک سیستم مدیریت هویت و دسترسی ارائه شود.

MFA معمولاً بر‌اساس (چیزی که می‌دانید، چیزی که دارید یا چیزی در مورد شما) کار می‌کند. سرویس‌های احراز‌هویت می‌توانند به اکتیو‌دایرکتوری منتقل شده و یا به‌عنوان یک رابطه سری تعریف شوند. به‌عنوان مثال، یک کاربر را می‌توان به‌صورت محلی یا توسط Active Directory و سپس از طریق یک مرحله MFA اضافی مانند Google Authenticator شناسایی کرد.

دسترسی ممتاز فقط در صورت نیاز (Time Windows)

در برخی از مواقع، کاربران نمی‌توانند تغییرات دسترسی به سیستم داشته باشند. نرم‌افزار PAM برای کمک به بهبود تجربه SysAdmin و DevOps، سرویس گیرنده PAM، شمارش معکوس را برای هر دستگاهی که دسترسی محدود به زمان دارد را، نشان می‌دهد. کاربران زمان شمارش معکوس را برای رسیدن به پنجره‌ای که اجازه دسترسی را می‌دهد، می‌بینند.

دسترسی‌پذیری و تحمل خطا بالا

از آنجایی که PAM باید نقطه مرکزی سیستم شما باشد تا تمام دسترسی‌ها به سرویس‌ها و دستگاه‌ها از طریق آن هدایت گردد (به‌غیر از موارد اضطراری همچون شکستن رمزهای عبور)، سرویس PAM به بخش مهمی از زیرساخت فناوری اطلاعات سازمان شما تبدیل می‌شود. بنابراین باید همیشه در دسترس SysAdmin های سازمان شما باشد. PAM شامل طبقه‌بندی سرورها به‌عنوان یک ویژگی استاندارد است. گروه‌هایی از سرورهای PAM را می‌توان به گونه‌ای تعریف کرد که اگر یک سرور از دسترس خارج گردد (مثلاً از طریق خرابی سخت‌افزار)، سرویس PAM می‌تواند به کار خود ادامه دهد. این امر نیازی به وابستگی به دستگاه‌های خارجی گران‌قیمت همانند SQL Server Always On یا پیکربندی‌های شبکه اختصاصی پیچیده، ندارد.

امنیت بالا، قابلیت سهولت استفاده

فرآیندهای مدیریت تغییر - تغییر برچسب

به عنوان سطحی بالا از امنیت و راحتی، سطوح دسترسی را می‌توان برای بررسی تغییر برچسب، تنظیم کرد. هنگامی که یک اتصال یا ارتباط از طریق سیستم درخواست می‌شود، یک گفتگوی درخواست برای یک برچسب تغییر ارائه می‌گردد. سپس برچسب ارائه شده را می‌توان با سیستم‌های مدیریت خدمات مانند ServiceNow بررسی کرد تا اطمینان حاصل شود که درخواست کاربر معتبر و در حال اجرا است.

دسترسی مدیریت شده به سیستم‌های ممتاز به‌وسیله سرور

سرور پروتکل برنامه مدیریت شده (MAP) یک محیط ویندوزی است که تحت کنترل و احراز‌هویت و نرم‌افزار PAM است. از پنجره‌های برنامه Remote Desktop Protocol (RDP) برای رندر کردن پنجره‌های برنامه در سرور MAP به دسکتاپ کاربر استفاده می‌کند. این به این معنی است که کاربر نیازی به نصب "Thick Clients" یا برنامه‌های قدیمی، به ویژه نرم‌افزارهای وابسته به آن برنامه‌ها، را ندارد.

هنگامی که این برنامه‌ها را در یک محیط امن، قفل شده، دور از دسک‌تاپ کاربر و برنامه‌های ایمیل/وب اجرا می‌کنید، هیچ شانسی برای آلودگی متقابل یا برنامه‌نویسی بدافزار وجود نخواهد داشت. مانند قبل، اعتبارنامه‌ها به سرور MAP محدود می‌شوند و هرگز وارد دامنه کاربر نمی‌شوند.

دسترسی شخص ثالث به PAM

این امر واقعاً ترکیبی از ویژگی‌هایی است که PAM را برای این کار عالی می‌کند. اول، توانایی آن برای داشتن چندین سرویس احراز‌هویت است، به این معنی که می‌تواند به ارائه‌دهندگان هویت برون سپاری شده، متصل شود. پنجره‌های زمانی، ضبط جلسه، نظارت بر جلسه زنده (Live) و خاتمه جلسه تحت هدایت مدیر وجود دارد. همه این‌ها به رابطه ایمن شخص ثالث اضافه می‌شود.

مدیریت پیشرفته دستگاه‌ها با متادیتا (فرا‌داده‌ها)

مفهوم فرا‌داده و جستجوی فرا‌داده در سراسر PAM وجود دارد. عملکرد اصلی آن ارائه یک زمینه تجاری به کاربر و اشیاء و دستگاهی است که مدیریت می‌کند. این قابلیت استفاده عالی برای SysAdmin ها، دارد. به‌عنوان مثال، در مجموعه‌ای از هزاران سیستم، به خاطر سپردن نام دستگاه ممکن است سخت باشد.

در نرم‌افزار PAM، فیلد اتصال یک طرح جستجوی متن آزاد می‌باشد. بنابراین، اگر یک SysAdmin نیاز به یافتن "Singapore Load Balancer در DMZ" داشته باشد، ممکن است "Sing Load DMZ" را تایپ کند که جستجو را در زمان واقعی با هر کاراکتر محدود می‌کند. برای گزارش‌دهی و ممیزی، متا‌داده‌ها به‌عنوان ستون‌های انتخاب و مرتب‌سازی ارائه می‌شوند تا بتوانید به‌سرعت مکان‌ها، یا کلاس‌های دستگاه را که بر اساس نمایه و آخرین داده‌های مورد دسترسی مرتب شده‌اند، گزارش دهید.

چندین دامنه اکتیو دایرکتوری

کاربران نیاز به یک حساب نقش مبتنی بر دستگاه به سرویس احراز‌هویت دارند. در PAM ما می‌توانیم برای تمامی کاربران و دستگاه‌ها یک Active Directory (AD) اختصاص دهیم و سپس از Profile برای ایجاد نقشه‌ای کنترل شده بین آنها استفاده کنیم.

مدیریت چرخه رمز‌عبور در کلاس سازمانی

از آنجایی که PAM پسوردها، کلیدهای SSH یا توکن‌های API را در حالت عادی برای کاربران فاش نمی‌کند، نیازی به تغییر اعتبار پس از هر بار استفاده مانند راه‌حل‌های مبتنی بر اعتبار ندارد. این بدان معنی است که PAM از وضعیت اعتبار دستگاه‌ها مطلع است و می‌تواند با اطمینان نمونه‌های PAM را به هم متصل کرده و با موقعیت‌های روزمره دستگاه‌هایی که از پشتیبان‌گیری بازیابی یا جایگزین می‌شوند، مقابله کند.

Device Template ها، طول رمز‌عبور و رمزنگاری کلید SSH را تعیین می‌کنند. برای اکثر دستگاه‌های سبک یونیکس، این 128 کاراکتر/RSA512 می‌باشد. همچنین، برای سیستم‌های ویندوز قدیمی‌تر می‌تواند تا ۳۲ کاراکتر کم باشد. حتی با 32 کاراکتر، گذرواژه‌های تولید شده ما آنتروپی فوق‌العاده‌ای را نشان می‌دهند.

طیف گسترده‌ای از پشتیبانی از دستگاه‌ها

یک مخزن قالب دستگاه که در بیشتر قسمت‌ها شرح پیکربندی مبتنی بر XML از نحوه اتصال به دستگاه‌ها و نحوه مدیریت حساب‌های مبتنی بر نقش است، وجود دارد. قالب‌های عمومی برای برنامه‌های کاربردی مبتنی بر وب در دسترس هستند، بنابراین تقریباً از هر برنامه ابری (Cloud) مورد نیاز کسب‌و‌کار پشتیبانی می‌شود. بسیاری از مشتریان این قالب‌ها را برای استفاده خود گسترش می‌دهند. اولین مدل از این قالب ها برای مدیریت زیرساخت طراحی شده است و به همین دلیل برای مدیریت دستگاه روتر/دیوار آتش/محتوا استفاده می‌گردد.

وب Single Sign On

از آنجایی که PAM افراد را از اعتبارنامه‌ها جدا می‌کند، باید بداند که چگونه نام‌های کاربری، گذرواژه‌ها و کلیدها را به دستگاه‌ها و سرویس‌های دارای فرست‌اندهای مبتنی بر وب تزریق کند. همچنین این نرم‌افزار، دارای طیف گسترده‌ای از درایورهای از پیش ساخته شده برای دستگاه‌های رایج و ارائه‌های ابری SaaS است. این درایورها اتصال اولیه به یک صفحه وب را انجام می‌دهند و با فرم‌ها و جاوا اسکریپت مربوط به احراز‌هویت ورودی تعامل دارند. معماری PAM اضافه کردن سریع موارد مورد نیاز را نیز، آسان می‌کند.

استقرار و مدیریت ساده - بدون نیاز به سیستم‌عامل

ارتباط بین PAM و دستگاه‌های مورد نظر (سرورها، پایگاه‌های داده، دستگاه‌های شبکه، برنامه‌های کاربردی ابری (Cloud) و غیره) از طریق رابط‌های بومی یا پروتکل‌های استاندارد است. نیازی به نصب پرهزینه برای مدیریت سیستم‌های عامل بر روی سیستم‌های هدف مانند برخی از راه‌حل‌های قدیمی PAM وجود ندارد.

حداقل امتیاز قابل حسابرسی

از آنجایی که PAM قابل دور زدن نیست، سیاست‌ها کاملاً اجرا می‌گردند. همچنین این امر، بدان معنی است که اگر دستگاهی سیستم ورود به سیستمی را ثبت کند که هیچ‌گونه سیستم ثبت‌نام مشابهی برای آن وجود ندارد، در این صورت اثبات مطلقی وجود دارد که این مخرب است.

پشتیبانی SIEM

PAM هر کاری را که انجام می‌دهد با فرمت CEF ثبت می‌کند. البته، هرگز رمزهای عبور واقعی را، حتی در گزارش‌های خود ثبت نمی‌کند. اما زمانی که کاربری از نقش "root" در دستگاه "X" استفاده می‌کند، به SIEM شما اطلاع می‌دهد. این نرم‌افزار به شما می‌گوید که چه زمانی وظایف اجرا می‌شوند، چه زمانی دستگاه‌ها ممیزی می‌شوند، چه زمانی هر کسی برنامه شکستن پسورد را اجرا می‌کند، چه زمانی کاربران اضافه یا حذف می‌شوند. اکنون SIEM شما می‌تواند به شما بگوید که آیا دستگاهی ورود به سیستمی را انجام داده است یا خیر و اینکه هیچ سیستم ثبت‌نام PAM مربوطه برای آن وجود ندارد و این دلیل مطلق، نقض خط ‌مشی یا حمله است.

بدون حرکت جانبی

برخلاف راه‌حل‌های ساده مبتنی بر رمز‌عبور، از آنجایی که اعتبارنامه‌ها هرگز وارد قلمرو کاربر نمی‌شوند، نمی‌توان از آن‌ها برای ایجاد اتصال به سیستم‌های دیگر استفاده کرد. حتی اگر همه سیستم‌ها از حساب سرپرست دامنه استفاده کنند، پروفایل‌های PAM مشخص می‌کنند که چه کسی می‌تواند از این حساب و در چه سیستم‌هایی استفاده کند.

دیگر نیازی به اشتراک‌گذاری اعتبارنامه‌ها وجود ندارد - فقط یک نمونه هویت

این یکی از ویژگی‌های اصلی PAM از ابتدا بوده است. مشکل کلیدی حساب‌های اشتراکی این است که می‌توان آنها را به اشتراک گذاشت. بنابراین PAM پلتفرمی را ایجاد کرده‌ است تا اشتراک‌گذاری هویت‌های ورودی را ممنوع کند. این بدان معنی است که اگر کاربری میز خود را ترک کند و از جای دیگری به PAM وارد شود، نمی‌تواند به نرم‌افزار خود متصل گردد. این یک نمونه انتخاب حساب‌های مبتنی بر نقش «in» و «out» می‌باشد. این ویژگی، حفاظت از هویت و در نتیجه امنیت را ارتقا می‌دهد.

کپسوله کردن پروتکل میراث

برای ایمنی، PAM فرض می‌کند که تمام نقاط پایانی در معرض خطر قرار گرفته‌اند و شبکه‌های عمومی ناامن هستند. ارتباط بین مشتری PAM و سرور PAM به‌صورت یک شبکه 127 .x.x.x ارائه شده از طریق یک تونل SSL ارائه می‌شود. این بدان معناست که اگر نیاز به استفاده از اتصال Telnet به برخی از دستگاه‌های قدیمی داشته باشید، داده‌ها از دسکتاپ به PAM برای هر مهاجمی غیر‌شفاف خواهد بود. زیرا ما از پورت‌های تصادفی با تعداد بالا برای هر اتصال استفاده می‌کنیم.

جداسازی گروه‌های دستگاه از یکدیگر

یک خط‌مشی عملیاتی رایج بیان می‌کند که در حالی‌که به یک کلاس از دستگاه متصل است، یک اپراتور نباید به کلاس‌های دیگر دستگاه متصل شود. به طور معمول، MSSP ها به یک اپراتور نیاز دارند تا در یک زمان روی سیستم‌های یک مشتری کار کنند. ویژگی Device Group Separation (DGS) می‌تواند هنگام انتخاب یک دستگاه از کلاس متفاوت، اپراتور را در مورد اتصالات موجود مسدود کند یا به آنها هشدار دهد. برای کاربران نهایی بزرگتر، این می‌تواند برای اطمینان از اینکه مهندس DevOp نمی‌تواند به سیستم‌های UAT متصل شود، در حالی‌که به سیستم‌های موجود دیگر متصل است، استفاده شود.

کنترل RDP

بر‌اساس نمایه، می‌توانید کنترل کنید که یک جلسه RDP چه گزینه‌هایی دارد. به عنوان مثال، برای اشخاص ثالث ممکن است بخواهید نگاشت دیسک، بافر برش و چسباندن را غیرفعال کنید. با استفاده از چندین نمایه، یک کاربر می‌تواند بسته به نقشی که باید از آن استفاده کند، گزینه‌های مختلفی را دریافت کند.

حسابرسی دستگاه

PAM ممیزی‌های برنامه‌ریزی شده هر دستگاه را انجام می‌دهد. این ممیزی‌ها بررسی می‌کنند که حساب کنترل در دسترس بوده و کار می‌کند. برای دستگاه‌هایی که چندین حساب را مجاز می‌کنند، فهرستی از تمام حساب‌های محلی بازیابی شده و با لیست قبلی مقایسه می‌شود. حساب‌ها بسته به الگوی دستگاه و پایگاه‌داده حساب‌ها به‌عنوان «تأیید نشده»، «تأیید شده»، «معروف»، «مدیریت شده» و «کاملاً مدیریت‌شده» دسته‌بندی می‌شوند. این به سرعت حساب‌های جدیدی را نشان می‌دهد که خارج از کنترل PAM ایجاد شده‌اند. این امر، مهاجمانی را شناسایی می‌کند که برای استفاده خود حساب ایجاد می‌کنند.

در پایان خاطر نشان می‌گردد اگر سازمان شما به دنبال سامانه نظارت و مدیریت سطح دسترسی (PAM) می‌باشد، گروه راهکارهای مدیریت دسترسی ممتاز شرکت داده پردازان دوران، جهت ارائه خدمات مشاوره، تحت عنوان محصول DouranPAM اعلام آمادگی می‌نماید.

امتیاز :  ۴.۷۵ |  مجموع :  ۴

برچسب ها

    6.1.7.0
    V6.1.7.0