privileged access management что это
обзор лабораторной среды тестирования MIM PAM
подход PAM, предоставляемый MIM, предназначен для использования в собственной архитектуре для изолированных сред, в которых доступ к интернету недоступен, если такая конфигурация необходима для регулирования или в изолированных средах, таких как автономные исследовательские лаборатории, а также отключенные операционные технологии, средства управления и среды получения данных. Если Active Directory является частью среды, подключенной к Интернету, см. раздел Защита привилегированного доступа для получения дополнительных сведений о начале работы.
чтобы настроить тестовую лабораторию MIM PAM, можно установить программное обеспечение на виртуальных машинах. Для Privileged Access Management используются виртуальные машины с отдельными дисками, подключенными друг к другу в общей сети. Эти виртуальные машины могут работать под управлением Windows 8.1, Windows Server 2012 R2 или платформ на базе других операционных систем.
Вам потребуются как минимум три виртуальные машины. Если у вас еще нет домена AD для PAM, потребуется еще одна виртуальная машина, которая будет выступать как контроллер домена CORP. Еще две виртуальные машины понадобятся, если вы хотите настроить программное обеспечение PRIV для обеспечения высокой доступности.
На дисках, где хранятся образы дисков виртуальных машин, должно быть не менее 120 ГБ свободного пространства. Если вы планируете развертывание высокой доступности, убедитесь в том, что подсистема диска соответствует требованиям к общему хранилищу SQL. Общее хранилище может иметь форму дисков отказоустойчивой кластеризации Windows Server, дисков в сети хранения данных (SAN) или общих папок на сервере SMB.
Для среды бастиона следует выделить хранилище. Не рекомендуется одновременно использовать это хранилище для других рабочих нагрузок за пределами среды бастиона, так как это может нарушить ее целостность.
Управление привилегированным доступом для доменных служб Active Directory
MIM Privileged Access Management (PAM) — это решение, которое помогает организациям ограничивать привилегированный доступ в существующей и изолированной Active Directory среде.
Управления привилегированным доступом преследует две цели:
MIM PAM отличается от Azure Active Directory Privileged Identity Management (PIM). MIM PAM предназначен для изолированных локальных сред AD. azure ad PIM — это служба в azure ad, которая позволяет управлять и контролировать доступ к ресурсам в azure ad, azure и другим службам Microsoft Online Services, таким как Microsoft 365 или Microsoft Intune. Рекомендации по локальным подключенным к Интернету средам и гибридным средам см. в разделе Защита привилегированного доступа для получения дополнительных сведений.
какие проблемы MIM решить с помощью PAM?
Сейчас злоумышленники слишком просты для получения учетных данных администратора домена, и в этом случае слишком трудно обнаружить эти атаки. Управление привилегированным доступом (PAM) призвано уменьшить возможности получения доступа для злоумышленников и в то же время увеличить контроль и осведомленность о состоянии среды.
PAM затрудняет злоумышленникам проникновение в сеть и получение доступа к привилегированной учетной записи. PAM усиливает защиту привилегированных групп, которые управляют доступом на присоединенных к домену компьютерах и в приложениях на этих компьютерах. Это решение также расширяет возможности мониторинга, видимости и детализированного управления. Благодаря этому организации всегда будут знать, кем являются их привилегированные администраторы и что они делают. PAM предоставляет организациям больше возможностей регулировать использование административных учетных записей.
подход PAM, предоставляемый MIM, предназначен для использования в собственной архитектуре для изолированных сред, в которых доступ к интернету недоступен, если такая конфигурация необходима для регулирования или в изолированных средах, таких как автономные исследовательские лаборатории, а также отключенные операционные технологии, средства управления и среды получения данных. Если Active Directory является частью среды, подключенной к Интернету, см. раздел Защита привилегированного доступа для получения дополнительных сведений о начале работы.
настройка MIM PAM
В основе PAM лежит принцип JIT-администрирования (just-in-time ― точно в срок), связанный с JEA-администрированием (just enough — сколько нужно). JEA — это набор средств Windows PowerShell, который определяет набор команд для выполнения привилегированных действий. Это конечная точка, в которой администраторы могут получить разрешение на выполнение команд. В JEA администратор решает, что пользователь с определенной привилегией может выполнять определенную задачу. Каждый раз, когда соответствующему пользователю необходимо выполнить эту задачу, он получает нужное разрешение. По истечении указанного времени срок действия разрешений истечет, и злоумышленник не сможет получить доступ.
Настройка и применение PAM включает четыре шага.
как работает MIM PAM?
В основе PAM лежат новые возможности доменных служб Active Directory, в частности авторизация и проверка подлинности учетной записи домена, а также новые возможности MIM. PAM отделяет привилегированные учетные записи от существующей среды Active Directory. Если возникнет необходимость использовать привилегированную учетную запись, ее нужно сначала запросить, а затем утвердить. После утверждения привилегированной учетной записи предоставляется разрешение через внешнюю главную группу в новом лесу-бастионе, а не в текущем лесу пользователя или приложения. Использование леса-бастиона предоставляет организации больше возможностей для контроля. Например, позволяет определять, может ли пользователь быть членом привилегированной группы и как пользователь должен проходить проверку подлинности.
Active Directory, служба MIM и другие составные части этого решения также могут быть развернуты в конфигурации высокого уровня доступности.
В следующем примере применение PIM показано подробнее.
Лес бастиона выдает ограниченное по времени членство в группах, которое, в свою очередь, формирует билеты предоставления билетов (TGT). Приложения и службы на основе Kerberos учитывают и применяют такие TGT, если приложения и службы существуют в лесах, доверяющих лесу бастиона.
Учетные записи обычных пользователей перемещать в новый лес необязательно. То же самое справедливо и для компьютеров, приложений и их групп. Они остаются в существующем лесу. Рассмотрим пример организации, которая озабочена упомянутыми выше проблемами кибербезопасности, но пока не планирует немедленно обновить инфраструктуру серверов до следующей версии Windows Server. Эта организация может воспользоваться описанным здесь комбинированным решением, то есть использовать MIM и новый лес-бастион, чтобы лучше управлять доступом к существующим ресурсам.
PAM предоставляет следующие преимущества.
Изоляция или ограничение привилегий. Пользователи не имеют привилегий в отношении учетных записей, которые также используются для выполнения задач, не требующих привилегированного доступа, таких как проверка электронной почты или поиск в Интернете. Пользователи должны запрашивать привилегии. Запросы утверждаются или отклоняются на основе политик MIM, определенных администратором PAM. Пока запрос не утвержден, привилегированный доступ не предоставляется.
Повышение уровня и дополнительная защита. Эти новые меры по совершенствованию проверки подлинности и авторизации помогают управлять жизненным циклом отдельных учетных записей администраторов. Пользователь может запросить повышение прав учетной записи администратора, после чего этот запрос проходит процедуры MIM.
Более подробное ведение журнала. Кроме встроенных рабочих процессов MIM предусмотрены дополнительные записи в журнал для PIM, по которым можно видеть запрос, его авторизацию и события, происходящие после утверждения запроса.
Настраиваемый рабочий процесс. Рабочие процессы MIM можно настроить для различных сценариев. Можно применять несколько рабочих процессов на основе параметров запрашивающего пользователя или запрошенных ролей.
Каким образом пользователи могут запрашивать привилегированный доступ?
Пользователь может отправлять запросы различными способами, включая следующие:
Какие предусмотрены рабочие процессы и возможности мониторинга?
Например, предположим, что пользователь был членом административной группы до настройки PAM. В ходе установки PAM пользователь удаляется из административной группы, а в MIM создается политика. Политика указывает, что если этот пользователь запрашивает права администратора, запрос утверждается и отдельная учетная запись для пользователя будет добавлена в привилегированную группу в лесу бастиона.
Если запрос утвержден, рабочий процесс «Действие» обращается напрямую к лесу-бастиону Active Directory, чтобы поместить пользователя в группу. Например, Клава запрашивает право на администрирование базы данных персонала предприятия, в результате чего за несколько секунд для нее добавляется учетная запись администратора в привилегированную группу в лесу-бастионе. Членство своей учетной записи администратора в этой группе будет истечь после истечения предельного времени. в Windows Server 2016 или более поздней версии это членство связано в Active Directory с ограничением по времени.
При добавлении нового члена в группу необходимо реплицировать это изменение в другие контроллеры домена (DC) в лесу-бастионе. Задержка из-за репликации может повлиять на возможность пользователей обращаться к ресурсам. Дополнительные сведения о задержке из-за репликации см. в статье How Active Directory Replication Topology Works(Как работает топология репликации в Active Directory).
В отличие от этого срок действия ссылки оценивается в режиме реального времени диспетчером управления лицензиями (SAM). Несмотря на то, что добавление члена группы должно реплицироваться контроллером домена, который получает запрос на доступ, удаление члена группы в любом контроллере домена оценивается мгновенно.
Такой рабочий процесс специально предназначен для этих административных учетных записей. Администраторы (или даже скрипты), которым иногда требуется доступ к привилегированным группам, могут запрашивать именно такой доступ. MIM записывает запрос и изменения в Active Directory, и вы можете просматривать их в окне просмотра событий или отправлять данные в решения корпоративного мониторинга, такие как System Center 2012 — Operations Manager Audit Collection Services (ACS) или средства других разработчиков.
Контроль привилегированных пользователей (PAM)
Системы контроля действий привилегированных пользователей, Privileged Access Management (PAM)
Выбор средств защиты
Поиск
Мнение
Описание и назначение
Контроль привилегированных пользователей, или Privileged Account Management (PAM) – это группа решений, предназначенных для осуществления мониторинга и контроля учетных записей сотрудников IT-подразделений, системных администраторов, сотрудников аутсорсинговых организаций, занимающихся администрированием инфраструктуры компании, управления аутентификацией и авторизацией указанных сотрудников, аудита выполняемых действий, контроля доступа и записи их сессий. Помимо аббревиатуры PAM для обозначения систем контроля привилегированных пользователей, встречаются другие наименования данного класса решений, например, Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Access Management (PAM), Privileged Password Management (PPM), Privileged Account Security (PAS).
Решения, позволяющие контролировать действия учетных записей сотрудников, имеющих расширенные права, относятся к группе систем управления учетными данными (IdM/IAM-системы). Требования по мониторингу действий, выполняемых от имени учетных записей с повышенными привилегиями, возникли в связи с потребностью многих организаций передавать некоторые задачи администрирования и обслуживания инфраструктуры в руки сторонних организаций. Передача критичных ресурсов на IT-аутсорсинг подразумевает под собой серьезные риски. PAM-системы подразумевают под собой наличие следующих функций:
В зависимости от выполняемых функций, системы контроля пользователей с расширенными возможностями делятся на четыре категории:
Указанные функции позволяют решать такие бизнес-задачи, как увеличение эффективности работы сотрудников с привилегированными учетными записями, сокращение издержек на нелояльный персонал, предотвращение утечек конфиденциальных данных.
По своей архитектуре PAM-системы могут быть выполнены как в виде программных, так и программно-аппаратных решений. Более того, по организации PAM-системы могут быть:
Учитывая современные тенденции развития технологий и использования мобильных устройств для работы с конфиденциальной информацией или администрирования систем, решения по контролю привилегированных пользователей не могут стоять на месте и им приходится совершенствоваться день ото дня. При этом возникают такие сложности, как:
Privileged Access Management как приоритетная задача в ИБ (на примере Fudo PAM)
Есть довольно интересный документ CIS Controls, который рассматривает Информационную безопасность с применением принципа Парето (80/20). Этот принцип гласит, что 20% защитных мер дают 80% результата с точки зрения защищенности компании. Ознакомившись с этим документом многие “безопасники” обнаруживают, что при выборе защитных мер они начинают не с самых эффективных мер. В документе выделяют 5 ключевых мер защиты, которые оказывают наибольший эффект на ИБ:
Fudo PAM
Буквально пару слов о решении. Fudo PAM это относительно новое решение по управлению привилегированным доступом. Из ключевых особенностей:
Для тех, кому интересен продукт, в …. состоится вебинар с подробным обзором и демонстрацией функционала. Мы же перейдем к реальным проблемам, которые удается обнаружить в рамках пилотных проектов систем управления привилегированным доступом.
1. Администраторы сети регулярно открывают себе доступ к запрещенным ресурсам
Как ни странно, но первые инциденты, которые удается обнаружить — нарушения со стороны администраторов. Чаще всего — неправомерное изменение списков доступа на сетевом оборудование. Например, чтобы открыть доступ до запрещенного сайта или для запрещенного приложения. Следует отметить, что такие изменения могут затем годами оставаться в конфигурации оборудования.
2. Использование одной учетной записи сразу несколькими администраторами
Еще одна частая проблема связанная с администраторами. “Шарить” одну учетку между коллегами очень частая практика. Удобно, но после этого довольно трудно понять, кто именно ответственен за то или иное действие.
3. Удаленные сотрудники работают менее 2х часов в день
Во многих компаниях есть удаленные сотрудники или партнеры, которым нужен доступ к внутренним ресурсам (чаще всего удаленный рабочий стол). Fudo PAM позволяет мониторить реальную активность в рамках таких сессий. Часто обнаруживается, что удаленные сотрудники работают гораздо меньше, чем заявлено.
4. Используется одинаковый пароль для множества систем
Довольно серьезная проблема. Запоминать несколько паролей всегда сложно, поэтому часто пользователи используют единственный пароль абсолютно для всех систем. Если такой пароль “утечет”, то потенциальный нарушитель сможет получить доступ практически ко всей ИТ-инфраструктуре.
5. Пользователи обладают бОльшими правами, чем предполагалось
Часто обнаруживается, что пользователи, с казалось бы урезанными правами, оказывается обладают бОльшими привилегиями, чем положено. Например могут перезагружать контролируемое устройство. Как правило это либо ошибка выдававшего права, либо просто недостатки встроенной системы разграничения прав.
Вебинар
Если вам интересна тема PAM, то приглашаем вас на предстоящий вебинар по Fudo PAM, который состоится 21 ноября.
Это не последний наш вебинар в этом году, который мы собираемся провести, так что следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog)!
Подробнее об управлении привилегированным доступом
Управление привилегированным доступом обеспечивает точное управление доступом к привилегированным задачам администрирования в Office 365 Это помогает защитить организацию от нарушений безопасности, при которых используются существующие привилегированные учетные записи администраторов с постоянным доступом к конфиденциальным данным или важным параметрам конфигурации. Для управления привилегированным доступом пользователи запрашивают JIT-доступ, чтобы выполнять привилегированные задачи и действия, требующие высокого уровня доступа, через рабочий процесс утверждения, который имеет жесткие ограничения и временные рамки. Эта конфигурация предоставляет пользователям необходимый доступ для выполнения задач без риска раскрытия конфиденциальных данных или критически важных параметров конфигурации. Включение управления привилегированным доступом в Microsoft 365 позволяет вашей организации работать с нулевыми привилегиями и обеспечивать защиту от постоянных уязвимостей административного доступа.
Краткий обзор интегрированного рабочего процесса управления клиентской блокировкой и привилегированным доступом см. в этом видео для управления блокировкой и привилегированным доступом.
Уровни защиты
Управление привилегированным доступом дополняет другие средства защиты данных и доступа в архитектуре безопасности Microsoft 365. Включение управления привилегированным доступом в рамках интегрированного и многоуровневого подхода к безопасности обеспечивает модель безопасности, которая максимизирует защиту конфиденциальной информации и параметров конфигурации Microsoft 365. Как показано на схеме, управление привилегированным доступом основано на защите данных, обеспечиваемой встроенным шифрованием данных Microsoft 365 и основанной на ролях модели безопасности управления доступом для служб Microsoft 365. При их управление привилегированными пользователями Azure ADэти две функции обеспечивают управление доступом с доступом в разных сферах.
Управление привилегированным доступом определяется и охватывается на уровне задач, в то время как Azure AD управление привилегированными пользователями применяет защиту на уровне ролей с возможностью выполнения нескольких задач. Управление привилегированными пользователями Azure AD в основном позволяет управлять доступом к ролям и группам ролей AD, а управление привилегированным доступом в Microsoft 365 применяется только на уровне задач.
Включение управления привилегированным доступом при использовании Azure AD управление привилегированными пользователями: Добавление управления привилегированным доступом обеспечивает еще один гранулированный уровень возможностей защиты и аудита для привилегированного доступа к Microsoft 365 данным.
Включение службы Azure AD управление привилегированными пользователями уже с помощью управления привилегированным доступом в Office 365: Добавление azure AD управление привилегированными пользователями для управления привилегированным доступом может расширить привилегированный доступ к данным за пределами Microsoft 365, которые в основном определяются ролями пользователей или удостоверениями.
Архитектура управления привилегированным доступом и поток процессов
Каждый из следующих потоков процесса описывает архитектуру привилегированного доступа и его взаимодействие с Microsoft 365, аудитом и пространством управления Exchange управления.
Шаг 1. Настройка политики привилегированного доступа
При настройке политики привилегированного доступа с помощью Центр администрирования Microsoft 365 или Exchange Management PowerShell определяется политика и процессы функций привилегированного доступа и атрибуты политики в подстрате Microsoft 365. Действия регистрируются в Центре соответствия & требованиям безопасности. Политика включена и готова к обработке входящих запросов на утверждение.
Шаг 2. Запрос на доступ
В Центр администрирования Microsoft 365 или в Exchange PowerShell пользователи могут запрашивать доступ к повышенным или привилегированным задачам. Функция привилегированного доступа отправляет запрос в Microsoft 365 для обработки в соответствии с настроенной политикой доступа к привилегиям и записи действий в журналах Центра соответствия требованиям & безопасности.
Шаг 3. Утверждение доступа
Создается запрос на утверждение, и уведомление об ожидающем запросе отправляется утверждающим по электронной почте. В случае утверждения запрос на привилегированный доступ обрабатывается как утверждение, и задача готова к выполнению. В случае отказа задача блокируется, и запрашивающей стороне не предоставляется доступ. Запрашивающая сторона получает уведомление об утверждении или отклонении запроса по электронной почте.
Шаг 4. Обработка доступа
Для утвержденного запроса задача обрабатывается пространством выполнения управления Exchange. Утверждение проверяется на соответствие политике привилегированного доступа и обрабатывается подложкой Microsoft 365. Все действия для задачи регистрируются в Центре соответствия & требованиям безопасности.
Вопросы и ответы
Какие skUs могут использовать привилегированный доступ в Office 365?
Управление привилегированным доступом доступно для клиентов для широкого Microsoft 365 и Office 365 и надстройок. Подробные сведения см. в материале «Начало работы с управлением привилегированным доступом».
Когда поддержка привилегированного доступа Office 365 нагрузки за Exchange?
Управление привилегированным доступом скоро будет доступно в других Office 365 рабочих нагрузках. Дополнительные сведения Microsoft 365 дорожную карту.
Моей организации требуется более 30 политик привилегированного доступа, будет ли увеличено это ограничение?
Да, повышение текущего лимита в 30 политик привилегированного доступа для одной организации находится в дорожной карте функции.
Должен ли я быть глобальным администратором для управления привилегированным доступом в Office 365?
Нет, вам нужна роль Exchange роли, назначенная учетным записям, которые управляют привилегированным доступом в Office 365. Если вы не хотите настраивать роль управления ролью в качестве отдельного разрешения учетной записи, роль глобального администратора включает эту роль по умолчанию и может управлять привилегированным доступом. Пользователям, включенным в группу одобрений, не требуется быть глобальным администратором или им назначена роль управления ролью для рассмотрения и утверждения запросов с помощью PowerShell.
Как управление привилегированным доступом связано с клиентской блокировкой?
Lockbox клиента позволяет контролировать доступ к организациям при доступе к данным Корпорации Майкрософт. Управление привилегированным доступом позволяет контролировать доступ в организации для всех Microsoft 365 привилегированных задач.