PAM - sau de ce nu aveți parole în Excel

Martin Hubínek

Security specialist

PAM reprezintă gestionarea privilegiată a contului.

Acesta este un instrument care te ajută să îți asiguri și gestionezi parolele și să accesezi date pentru conturile de administrator, de serviciu și de aplicație. Toate acestea sunt sigure, de la o consolă, cu o diviziune clară a drepturilor de acces și un audit detaliat al utilizării.

Practica curentă, care se referă la o stocare foarte frecventă a acestor informații în fișele Excel sau în aplicații precum KeePass sau LastPass, este foarte periculoasă din punctul de vedere al siguranței. Datele stocate în acest mod sunt slab gestionate, nu există nici o automatizare a modificărilor parolei, nu există suficiente înregistrări de audit și nu este posibilă stabilirea accesului necesar prin informații individuale.

Serverul secret Thycotic te poate ajuta cu aceste probleme. Este un instrument care îți va oferi informații detaliate, îți va oferi un audit detaliat al accesului la aceste informații și, în același timp, îți aduce o serie de funcții utile pentru a automatiza administrarea și utilizarea acestor conturi. Cu acest instrument, nu va trebui să cunoști parolele folosite în practică, ceea ce poate fi destul greu și complex.

Secret Server este o aplicație care rulează sub serverul Microsoft IIS și stochează în siguranță datele în baze de date Microsoft SQL. Toate datele sensibile sunt criptate în baza de date utilizând metoda AES 256. Browserul web este opțiunea implicită pentru accesarea acestei aplicații de către utilizator. În mod implicit, sunt acceptate Internet Explorer, Google Chrome și Firefox. Este, de asemenea, posibilă utilizarea aplicației pentru telefoane mobile sau desktop. Marele avantaj este capacitatea de a utiliza API-uri pentru a integra funcționalitatea Secret Server în aplicațiile și scripturile tale.

Utilizatorul Secret Server poate fi autentificat în Microsoft Active Directory în mod implicit, în mod ideal în combinație cu autentificarea cu 2 factori. Filozofia de autorizare din aplicație se bazează pe modelul RBAC și este completată de seturi individuale de abordări, pentru fiecare informație sensibilă. Prin urmare, este posibil să acordăm permisiuni individuale utilizatorului, bazate pe roluri. Informațiile sensibile în sine pot fi stocate în folderele din structura arbore și pot gestiona în continuare permisiunile pentru fiecare componentă sau informație sensibilă individuală. Posibilitatea de a moșteni permisiuni într-o structură arbore este o chestiune de proces. Datorită acestui sistem, este posibil să se identifice în mod clar cine are un rol în cadrul aplicației și cine poate accesa informații sensibile.

Arhitectura Secret Server

Secret Server nu este doar o bază de date sigură cu date sensibile și informații de acces. Cel mai mare avantaj al acesteia este capacitatea de a utiliza funcții de securitate și sarcini automate pentru a asigura mai bine aceste conturi.

Aceste funcții includ:

  • Metode avansate de accesare a parolei în sine. Opțiunea de modificare a parolei pentru contul salvat după fiecare utilizare. Posibilitatea de a solicita accesul la parolă (de către utilizator) și aprobarea ulterioară (de către proprietar). Opțiunea de a forța un comentariu de fiecare dată când utilizați o parolă.
  • Abilitatea de a deschide automat sistemul și consola de administrare a aplicațiilor. Aceste console includ Microsoft RDP, Microsoft SQL Server Management Studio, Consola SSH (Putty), Microsoft PowerShell. Este posibil să se utilizeze extensii de browser care adaugă automat datele de conectare la formularele web. Este, de asemenea, posibil să îți definești consola proprie. Cu această caracteristică, administratorul nu are nevoie să cunoască parolele, deoarece consola deschide automat și adaugă informații.
  • Posibilitatea de a utiliza Secret Server ca proxy pentru conexiunile RDP și SSH. Prin urmare, este posibil să se permită numai conexiuni end-to-end inițiate de serverul secret în sine.
  • Posibilitatea înregistrării activității în conexiuni individuale RDP și SSH. Datorită acestei funcții, vei putea înregistra videoclipurile sub formă video. Este posibil să vizionați live aceste console și, în caz de activitate nedorită, să întrerupeți conexiunea și astfel să refuzați accesul. În cazul SSH, este posibilă stocarea intrărilor și ieșirilor de text în consola.
  • Schimbarea automată a parolei și validarea periodică a parolei. Datorită acestor caracteristici, este posibil să urmați politicile de securitate necesare pentru a schimba parolele, păstrând în același timp complexitatea ridicată și lungimea parolei. Validarea regulată a parolei asigură că nu se încearcă schimbarea neautorizată a parolei de către vreun atacator potențial.
  • Căutarea automată a conturilor privilegiate. Cu această caracteristică, este posibil să verifici periodic mașinile stocate în Active Directory sau conform segmentului de rețea definit și să controlezi crearea de noi conturi privilegiate. Utilizând un set de reguli, aceste conturi pot fi salvate automat pe serverul secret și aplicate automat pentru a schimba parolele, în conformitate cu politicile necesare.
  • Posibilitatea de a gestiona conturile de aplicații. Dacă utilizezi conturi de aplicații (pentru Windows Services, Tasks Scheduled sau în pool-uri de aplicații IIS) și le stocați în ActiveDirectory, modificarea parolei este o problemă obișnuită. Dacă ați schimba parola ActiveDirectory la astfel de conturi, trebuie să introduci parola în sistemele finale pentru acea aplicație. Secret Server îți permite să schimbi automat parola și apoi să propagi automat această parolă la aplicațiile conectate.
  • Posibilitatea de implementare cu SIEM. Secret Server trimite toate informațiile de audit în standardul syslog și apoi pot fi procesate în sistemele SIEM. Pentru Splunk, există o aplicație gata pentru a te ajuta să începi cu aceste informații.
  • Disponibilitate ridicată. În mod implicit, toate funcțiile Microsoft SQL native pentru replicarea bazei de date și pentru oglindire, sunt acceptate. În plus, este posibil ca serverele de aplicații să fie în modul de disponibilitate înaltă și apoi să ofere o disponibilitate ridicată prin intermediul tehnologiilor standard de echilibrare a încărcării.

Datorită serverului secret Thycotic, poți aplica un nivel ridicat de securitate conturilor privilegiate, în timp ce automatizezi cele mai frecvente sarcini cu aceste abordări. Marele beneficiu este abilitatea de a schimba parolele care au fost accesate de un administrator care părăsește compania și astfel protejează împotriva atacurilor țintite de foști angajați sau foști furnizori de tehnologie. Un instrument similar de astăzi ar trebui să fie standard pentru fiecare departament IT și nu numai. Datorită serverului secret, este posibil să scapi de parole pe echipamentele utilizatorilor obișnuiți. Nu vei mai avea nevoie să notezi codurile PIN pentru cardurile bancare. Parolele partajate pentru conturile de marketing către rețelele sociale nu vor mai trebui să fie sofisticate. Datorită serverului secret Thycotic, este posibil să se aplice securitate elementară pentru conturile privilegiate, care sunt din ce în ce mai frecvent utilizate pentru atacurile cibernetice.