PAM – aneb proč nemít hesla v excelu

Martin Hubínek

Security specialist

Zkratka PAM znamená privileged account management – správa privilegovaných účtů. 

Jedná se o nástroj, který Vám pomůže zabezpečit a spravovat hesla a přístupové údaje administrátorských, servisních a aplikačních účtů. To vše zabezpečeně, z jedné konzole, s jasným rozdělením oprávnění k jednotlivým přístupovým údajům a detailním auditem použití. 

Současná praxe, tedy velmi časté uchovávání těchto informací v excelových listech, případně v aplikacích jako KeePass nebo LastPass, je velmi nebezpečná z hlediska bezpečnosti. Takto uložené údaje se špatně spravují, prakticky neexistuje žádná automatizace změn hesel, neexistují dostatečné auditní záznamy a není možné nastavení požadovaných přístupů dle jednotlivé informace.

S těmito problémy Vám může pomoci aplikace Secret Server od společnosti Thycotic. Jedná se o nástroj, který dostatečně zabezpečí citlivé informace, poskytne Vám detailní audit o přístupu k těmto informací a zároveň přináší řadu užitečných funkcí, které automatizují správu a použití těchto účtů. Díky tomuto nástroji nebudete v běžné praxi potřebovat znát samotná hesla a díky tomu mohou být dostatečné dlouhá a komplexní.

Secret Server je aplikace, která běží pod Microsoft IIS serverem a data bezpečně uchovává v databázích Microsoft SQL. Všechny citlivé údaje jsou v databázi zašifrovány pomocí metody AES 256. Webový prohlížeč je výchozí možností jak přistupovat k této aplikaci ze strany uživatele. Standardně je podporován Internet Explorer, Google Chrome a Firefox. Dále je možné využít aplikaci pro mobilní telefony nebo desktopovou aplikaci. Velkou výhodou je možnost využít API a integrovat tak funkce Secret Serveru do Vašich aplikací a skriptů.

Uživatele přistupujícího k Secret Serveru je standardně možné ověřovat proti Microsoft Active Directory a to ideálně v kombinaci s dvoufaktorovým ověřováním. Filosofie oprávnění v aplikaci je založena na RBAC modelu a doplněna o jednotlivé sady přístupů pro každou citlivou informaci. Je tedy možné na základě rolí přiřadit jednotlivá oprávnění uživateli. Samotné citlivé informace je možné ukládat do složek ve stromové sktruktuře a řídit dále oprávnění pro každou složku nebo jednotlivou citlivou informaci. Možnost dědit oprávnění v rámci stromu je pak samozřejmostí. Díky tomuto systému je tedy možné jasně určit kdo má jakou roli v rámci aplikace a kdo může k jaké citlivé informaci přistoupit.

Architektura Secret Serveru

Secret Server, ale není jen bezpečná databáze citlivých údajů a přístupových informací. Jeho největší devízou je možnost využití bezpečnostních funkcí a automatizovaných úloh k lepšímu zabezpečení těchto účtů. 

Mezi tyto funkce patří zejména:

  • Pokročilé metody pro zabezpečení přístupu k samotnému heslu. Možnost změnit heslo pro uložený účet po každém jeho použití. Možnost zažádání o přístup k heslu (ze strany uživatele) a následné schválení (ze strany vlastníka). Možnost vynutit komentář při každém použití hesla.
  • Možnost automaticky otevírat konzole pro správu systémů a aplikací. Mezi tyto konzole patří například Microsoft RDP, Microsoft SQL Server Management Studio, SSH konzole (Putty), Microsoft PowerShell. Je možné využít rozšíření do prohlížečů, které automaticky doplní přihlašovací údaje do webových formulářů. Dále je možné definovat vlastní konzole. Díky této funkci nepotřebuje administrátor znát samotná hesla, protože se konzole automaticky otevře a doplní uložené informace.
  • Možnost využít Secret Serveru jako proxy pro RDP a SSH spojení. Je tedy možné na koncových systémech povolit pouze spojení iniciovaná ze strany samotného Secret Serveru.
  • Možnost nahrávat aktivitu v jednotlivých RDP a SSH spojeních. Díky této funkci se Vám budou uchovávat záznamy ve formě videa. Je možné sledovat tyto konzole živě a v případě nežádoucí aktivity přerušit spojení a tím odepřít přístup. V případě SSH je možné uchovávat textové záznamy vstupu a výstupu v konzoli.
  • Možnost automatické změny hesla a periodického ověřování platnosti hesla. Díky těmto funkcím je možné dodržet požadované bezpečnostní politiky na změnu hesel a zároveň zachovat vysokou komplexitu a délku hesla. Pravidelné ověřování platnosti hesla Vám zajistí, že nedošlo k pokusu o neautorizovanou změnu hesla ze strany případného útočníka.
  • Možnost automatického vyhledávání privilegovaných účtů. Díky této funkce je možné periodicky kontrolovat stroje uložené v Active Directory, případně dle definovaného síťové segmentu a kontrolovat vznik nových privilegovaných účtů. Pomocí sady pravidel je možné tyto účty zároveň automaticky uložit do Secret Serveru a aplikovat na ně automatickou změnu hesel dle požadovaných politik.
  • Možnost správy aplikačních účtů. Pokud používáte aplikační účty (pro Windows Services, Scheduled Tasks a nebo v IIS Application Pools) a máte je uložené v ActiveDirectory, je pravidelná změna hesla problém. V případě, že byste změnili heslo v ActiveDirectory k takovémů účtu, je nutné dané heslo zadat v koncových systémech u dané aplikace. Secret Server umožňuje automaticky změnit heslo a následně toto heslo propagovat na navázané aplikace automaticky.
  • Možnost implementace se SIEM. Secret Server odesílá veškeré auditní informace ve standardu syslog a je možné je poté zpracovávat v SIEM systémech. Pro Splunk existuje připravená aplikace, která vám pomůže začít zpracovávat tyto informace.
  • Možnost konfigurace vysoké dostupnosti. Standardně jsou podporovány všechny nativní funkce Microsoft SQL pro replikaci a zrcadlení databází. Dále je možné mít samotné aplikační servery v režimu vysoké dostupnosti a poté pomocí standardních load-balancing technologií zajistit vysokou dostupnost.

Díky Thycotic Secret Serveru je možné aplikovat  vysokou úroveň zabezpečení pro privilegované účty a zároveň automatizovat nejčastější úlohy s těmito přístupy. Velkým přínosem je možnost cíleně změnit hesla, ke kterým měl přístup administrátor, který opouští společnost a tím se tedy chránit před cílenými útoky ze strany bývalých zaměstnanců případně bývalých dodavatelů technologií. Podobný nástroj by dnes měl být standardem na každém IT oddělení a nejenom na IT. Díky Secret Serveru je možné se zbavit papírků s hesly na monitorech běžných uživatelů. Na účtárně již nebude potřeba si poznamenávat PIN kódy k jednotlivým kartám do bank. Sdílená hesla marketingových účtů k sociálním sítím nebude potřeba složitě dohledávat. Díky Secret Serveru od společnosti Thycotic je tedy možné aplikovat elementární zabezpečení pro privilegované účty, které jsou v poslední době čím dál častěji využité ke kybernetickým útokům.