PAM alebo prečo neukladať heslá v exceli

Secret Server je aplikácia, ktorá beží pod Microsoft IIS serverom a dáta bezpečne uchováva v databázach Microsoft SQL. Všetky citlivé údaje sú v databáze zašifrované pomocou metódy AES 256. Webový prehliadač je predvolená možnosť ako pristupovať k tejto aplikácii zo strany používateľa. Štandardne je podporovaný Internet Explorer, Google Chrome a Firefox. Ďalej je možné využiť aplikáciu pre mobilné telefóny alebo desktopovú  aplikáciu. Veľkou výhodou je možnosť využiť API a integrovať tak funkcie Secret Serveru do Vašich aplikácií a skriptov.

Užívateľa pristupujúceho k Secret Serveru je štandardne možné overovať proti Microsoft Active Directory a to ideálne v kombinácii s dvojfaktorovým overovaním. Filozofia oprávnenia v aplikácii je založená na RBAC (Role-based access control) modeli a doplnená o jednotlivé sady prístupov pre každú citlivú informáciu. Je teda možné na základe rolí priradiť jednotlivé oprávnenia užívateľovi. Samotné citlivé informácie je možné ukladať do priečinkov v stromovej štruktúre a riadiť ďalej oprávnenie pre každú zložku alebo jednotlivú citlivú informáciu. Možnosť dediť oprávnenia v rámci stromu je potom samozrejmosťou. Vďaka tomuto systému je teda možné jasne určiť kto má akú úlohu v rámci aplikácie a kto môže k akej citlivej informáciu pristúpiť.

Secret Server nie je len bezpečná databáza citlivých údajov a prístupových informácií. Jeho najväčšou devízou je možnosť využitia bezpečnostných funkcií a automatizovaných úloh k lepšiemu zabezpečeniu týchto účtov.

Medzi tieto funkcie patria najmä:

• Pokročilé metódy pre zabezpečenie prístupu k samotnému heslu. Možnosť zmeniť heslo pre uložený účet po každom jeho použití. Možnosť zažiadanie o prístup k heslu (zo strany používateľa) a následné schválenie (zo strany vlastníka). Možnosť vynútiť komentár pri každom použití hesla.

• Možnosť automaticky otvárať konzoly pre správu systémov a aplikácií. Medzi tieto konzoly patria napríklad Microsoft RDP, Microsoft SQL Server Management Studio, SSH konzoly (Putty), Microsoft PowerShell. Je možné využiť rozšírenia do prehliadačov, ktoré automaticky doplní prihlasovacie údaje do webových formulárov. Ďalej je možné definovať vlastné konzoly. Vďaka tejto funkcii nepotrebuje administrátor poznať samotná heslá, pretože sa konzola automaticky otvorí a doplní uložené informácie.

• Možnosť využiť Secret Server ako proxy pre RDP a SSH spojenie. Je teda možné na koncových systémoch povoliť iba spojenie iniciovaná zo strany samotného Secret Servera.

• Možnosť nahrávať aktivitu v jednotlivých RDP a SSH spojeniach. Vďaka tejto funkcii sa Vám budú uchovávať záznamy vo forme videa. Je možné sledovať tieto konzoly naživo a v prípade nežiaduce aktivity prerušiť spojenie a tým odoprieť prístup. V prípade SSH je možné uchovávať textové záznamy vstupu a výstupu v konzole.

• Možnosť automatickej zmeny hesla a periodického overovania platnosti hesla. Vďaka týmto funkciám je možné dodržať požadované bezpečnostné politiky na zmenu hesiel a zároveň zachovať vysokú komplexnosť a dĺžku hesla. Pravidelné overovanie platnosti hesla Vám zabezpečí, že nedošlo k pokusu o neautorizovanú zmenu hesla zo strany prípadného útočníka.

• Možnosť automatického vyhľadávania privilegovaných účtov. Vďaka tejto funkcie je možné periodicky kontrolovať stroje uložené v Active Directory, prípadne podľa definovaného sieťové segmentu a kontrolovať vznik nových privilegovaných účtov. Pomocou sady pravidiel je možné tieto účty zároveň automaticky uložiť do Secret Servera a aplikovať na ne automatickú zmenu hesiel podľa požadovaných politík.

• Možnosť správy aplikačných účtov. Ak používate aplikačné účty (pre Windows Services, Scheduled Tasks a alebo v IIS Application Pools) a máte ich uložené v ActiveDirectory, je pravidelná zmena hesla problém. V prípade, že by ste zmenili heslo v ActiveDirectory k takémuto účtu, je nutné dané heslo zadať v koncových systémoch pri danej aplikácii. Secret Server umožňuje automaticky zmeniť heslo a následne toto heslo propagovať na naviazané aplikácie automaticky.

• Možnosť implementácie so SIEM. Secret Server odosiela všetky auditné informácie v štandarde syslog a je možné ich potom spracovávať v SIEM systémoch. Pre Splunk existuje pripravená aplikácia, ktorá vám pomôže začať spracovávať tieto informácie.

• Možnosť konfigurácie vysokej dostupnosti. Štandardne sú podporované všetky natívne funkcie Microsoft SQL pre replikáciu a zrkadlenie databáz. Ďalej je možné mať samotné aplikačné servery v režime vysokej dostupnosti a potom pomocou štandardných load-balancing technológií zabezpečiť vysokú dostupnosť.

Dokumenty na stiahnutie: