Управление привилегированными учетными записями

Бизнес работает благодаря данным. Использование электронных данных и зависимость от них продолжают возрастать. Поэтому существует риск несанкционированного использования данных. Несанкционированное использование данных может привести к их использованию посторонними, а также к нежелательным или злонамеренным действиям.

Пароли сами по себе не являются плохими. Плохими их делает отсутствие управления.

Знаете ли Вы о том, что Вы, возможно, имеете больше привилегированных учетных записей в своей сети, чем учетных записей конечного пользователя? Просто добавьте к ним все учетные записи на Ваших устройствах, серверах, базах данных, учетные записи для локального администрирования и обслуживания – и Вы будете удивлены.

Так получилось потому, что все Ваши «приподнятые» привилегированные учетные записи сейчас являются неуправляемыми – в лучшем случае они не очень часто меняются. Вы не задумывались о том, что встроенные учетные записи известны Вашим разработчикам, также как и привилегированные учетные записи? Вам стоит задуматься об этом. Не добавили ли Вам еще проблем аудиторы, вынудив Вас изменить все важные пароли или Вы всегда стараетесь опередить их?

Хотя это и кажется простой задачей, однако решая ее, Вы поймете насколько сложна Ваша вычислительная среда. Вы поймете, что следует привлечь группу сотрудников, которая на регулярной основе будет изменять пароли на доступ к привилегированным учетным записям.

Усилив управление своими важными паролями (сделав их управляемыми), Вы приобретете несколько очевидных преимуществ:

  • Немедленное аннулирование: Когда администраторы и разработчики переходят на другую должность или увольняются из организации, важно быстро аннулировать их привилегии доступа.

  • Избежание брешей: Чем дольше не изменяется пароль, тем больше риск раскрытия его при атаке.

  • Удаление паролей, установленных по умолчанию: В многих устройствах, операционных системах, приложениях установлены пароли по умолчанию, которые остаются неизмененными, приводя к серьезным уязвимостям и проблемам с соблюдением регламентов.Снижение числа лиц, которым известны пароли: Чем меньше людей знают пароль, тем меньше опасность нежелательных или злоумышленных действий. Сократите число лиц, которым известны пароли до необходимого минимума – это значительно улучшит Ваше положение.Необслуживаемая доступность: Сценарии и программы, содержащие пароли, очевидно, несут с собой риски. Уничтожение встроенных паролей, используемых для доступа в процессе работы (сценариев и программ) и замена их паролями, санкционированными службой безопасности компании, существенно повышает безопасность компании.

Вы также обнаружите, что автоматизированное управление привилегированными учетными записями дает и другие преимущества:

  • Непрерывность ведения бизнеса: Если Вы попытаетесь изменить все эти пароли вручную, то окажетесь не застрахованы от человеческих ошибок, пропуска учетных записей, ошибок из-за несвоевременного их изменения, – все это приведет к перерыву в обслуживании. Автоматизация устраняет эти проблемы.

  • Снижение затрат: количество учетных записей, частота их изменения и распределение систем в Вашей вычислительной среде существенно влияет на потенциальную стоимость обслуживания паролей. Автоматизация снижает эти затраты.

  • Улучшение соответствия регламентам: в регламентах становится все больше инструкций, касающихся выпуска паролей и Вам придется регулярно доказывать контролирующим органам соответствие Ваших паролей инструкциям. Создание таких привилегированных учетных записей и управление ими вручную будет очень трудной задачей. Автоматизация поможет Вам соблюдать соответствие регламентам.

  • Упрощение: другие подходы (такие, как PKI и Kerberos) требуют существенного изменения всей парадигмы аутентификации, перестройки архитектуры Вашей инфраструктуры и систем. Эти решения не обеспечивают 100% решения проблем, так как часть систем остается под управлением паролями. Автоматизация управления паролями сохраняет парадигму паролей, что требуется организациям, осуществляющим аудит и удовлетворяет требованиям соответствия регламентам.

Пароли служат нам уже многие годы, и мы и далее будем использовать их. Автоматизация процесса создания сильных паролей, надежного хранения этих паролей, распространение их по требованию, в соответствии с гранулярными политиками, администраторам, выполняющимся программам, в то время как пароли регулярно изменяются, сводит для нас потенциально дорогой и чреватый ошибками процесс к решению проблемы, привлекающей большое внимание аудиторов: управлению привилегированными учетными записями.

Инфраструктура управления привилегированными учетными записями

Под давлением организаций, осуществляющих аудит, образовалось два типа покупателей решений PAM:

  • Стратегический покупатель: Эти отдельные покупатели и группы покупателей думают не только о текущих проблемах с паролями, но и о проблемах с паролями в будущем. Они учитывают требования интеграции, масштабирования и планов расширения, требования производительности, возможности снижения затрат, улучшения уровня обслуживания, возможности новых приложений, а также улучшения аудита и соблюдения регламентов. Это именно те покупатели, которые выбирают Cloakware.
  • Тактический покупатель: Эти отдельные покупатели ощущают давление аудиторов и недостаточность своих ресурсов, либо они желают быстро приобрести решение, которое позволит им пройти аудиторскую проверку. Возможно, они приобретут какое-то решение, но потом вновь вернутся к этой проблеме. Эти покупатели сначала развернут неподходящее решение, а потом вернутся и выберут Cloakware.

Что тут говорить! Управление привилегированными учетными записями (PAM) находится в основе Вашей деятельности и должно рассматриваться как ключевой компонент Вашей инфраструктуры. Такой логике выбора решения PAM должны следовать и его поставщики. Они также должны рассматривать PAM, как ключевой компонент Вашей инфраструктуры, такой же важный, как база данных, CRM или система управления подлинностью.

Инфраструктура управления привилегированными учетными записями может несанкционированно использоваться многими сторонами, принимающими участие в трудовом процессе, поэтому необходимо держать в тайне ее набор функций, управление важными учетными записями и их выпуск. Выбирая поставщика, упаковывающего решение так, что оно будет поддерживать выбранные Вами платформы, будет работать с выбранными Вами устройствами, операционными системами, базами данных и приложениями, поддерживать структуру каталогов и инструменты управления подлинностью и более того – даст Вам возможность широко развернуть компоненты системы, которые обеспечат нужную производительность, масштабируемость, готовность, дублирование, требования, связанные с географическим положением, Вы становитесь на позиции стратегического покупателя.