ID スプロールによるセキュリティ リスク。 企業がクラウド、ビッグデータ、DevOps、コンテナー、マイクロサービスなどの新しいテクノロジーをますます使用するようになると、この複雑さが増し、ID およびアクセス管理に新たな課題が生じます。
これらの新しいテクノロジにより、ワークロードとデータ量が増加し、ますますクラウドに常駐しています。 その結果、人間と機械の ID の数が指数関数的に増加しています。 したがって、これらの新しい攻撃面を封じ込めるためには、ハイブリッド エンタープライズ インフラストラクチャ全体で断片化された ID を一元化し、特権アクセスに一貫したセキュリティ モデルを適用することが不可欠になります。
アイデンティティ スプロール: アイデンティティ スプロールの危険性
ID スプロールでは、ユーザーの ID が、相互に同期されていない複数のサイロ化されたシステムまたはディレクトリによって管理されるため、ユーザーごとに複数の ID が発生し、脆弱な攻撃ベクトルが発生する可能性があります。 多くの場合、このような状況は、アプリケーションまたはシステムが企業の中央ディレクトリ サービスに統合されていない、または統合できない場合に発生します。 これには、そのアプリケーションまたはシステムへのアクセスをサポートするために、別のユーザー ID のセットを維持する必要があります。 これにより、管理作業と関連コストが増加し、統一されたセキュリティとコンプライアンスのガイドラインを適用することが非常に困難になる可能性があります。 ID スプロールは、ユーザーがサービス間でパスワードを再利用するリスクももたらし、組織は資格情報のスヌーピングに対して脆弱になります。
十字線の特権ユーザー アカウント
広範なアクセス許可を持つ特権ユーザー アカウントは、特に攻撃者の標的になります。 これは、これらのアカウントが貴重なデータと会社のリソースへの鍵を提供し、サイバー犯罪者が信頼できるユーザーを装って活動し、一度に何ヶ月も検出されないことを可能にするためです. ただし、組織内のこれらの特権アカウントの数を制限することで、攻撃対象領域を狭め、悪意のある内部関係者や外部の脅威アクターによる悪用のリスクを軽減することもできます。
今日のインフラストラクチャおよびセキュリティ チームのニーズを満たすには、ID の統合に重点を置き、ゼロ トラストの原則に基づく特権アクセス管理への包括的なアプローチが必要です。 ここでは、組織が堅牢な ID 統合と特権昇格のセキュリティ戦略を実装するために使用できる XNUMX つのベスト プラクティスを紹介します。
ID の統合と権限昇格の XNUMX つのベスト プラクティス
1. 信頼できる唯一の情報源としての ID ディレクトリ内のすべての ID の集中化
選択した特権アクセス管理 (PAM) ソリューションは、会社で使用される ID ディレクトリに関して最大限の柔軟性を提供する必要があります。 つまり、組織がどの ID ディレクトリ (Active Directory、Okta、Ping など) を使用してもかまいません。 たとえば、このテクノロジは、AD ブリッジングを使用して UNIX および Linux システムを Active Directory に接続できる必要がありますが、クラウド変換の一部として IaaS 環境の統合機能も提供する必要があります。 マルチディレクトリ ブローカリング機能を備えた最新の PAM ソリューションにより、任意のユーザー ディレクトリに対してユーザーを認証し、ID 管理を一元化し、ID スプロールを最小限に抑えることができます。
2. 優先ディレクトリ内の ID にすべての特権をバインドします。
すべての権限、アクセス許可、特権を組織の優先ディレクトリ内の ID にバインドすると、管理オーバーヘッドが削減されるだけでなく、一貫したセキュリティ ポリシーとコンプライアンス ポリシーの適用が簡素化されます。 共有アカウントの使用とは対照的に、個々の責任はそれぞれのアイデンティティにリンクされているためです。
3. 優先ディレクトリからのリソースへのフェデレーション アクセス
リソース (サーバー、データベース、クラウド ワークロードなど) へのフェデレーション アクセスにより、従業員は自分自身としてログオンするだけで、常に適切なアクセス許可を取得できます。 これにより、効率的なワークフローが保証され、従業員の生産性が向上します。
4.時間制限のある十分なアクセスのためのきめ細かな制御
Thycotic Centrify のセールス ディレクター、Özkan Topal 氏
アクセス権のレベルが高いため、攻撃者の手に渡った場合、特権アカウントは組織に深刻な脅威をもたらします。 したがって、最小権限アプローチを権限エスカレーションと組み合わせて実行し、詳細なアクセス制御を実施する必要があります。 権限の昇格とは、ジョブ機能と一致するタスクを実行するための追加のロールと権限をユーザーに一時的に付与することを意味し、ジョブを完了するのに必要な正確な時間に十分な権限のみを付与します。 たとえば、Web サーバーおよび関連する管理ツールを実行しているシステムへの Web 管理者のアクセスを許可することは正当な場合があります。 ただし、クレジット カード取引を処理するマシンへのログインは正当なものではなく、ブロックされたままです。
5.タスクが完了した後、永続的な権限はありません
企業は、ID が永続的な承認 (永続的な権限なし) を持っていないことを確認する必要がありますが、制限された期間内にそれぞれのタスクを実行するために、権限は常にジャストインタイムで増加する必要があります。 たとえば、従業員は営業時間中または特定の時間だけ特定のサーバーにアクセスできます。 セッションが終了すると、アクセス権が取り消されます (ただし、最新の PAM ソリューションでは、必要に応じてアクセス権を簡単に付与できるはずです)。 これにより、ユーザー アカウントが危険にさらされた場合に、潜在的な攻撃者が侵入する機会も閉じられます。
企業インフラストラクチャの複雑さが増しているため、機密性の高いリソースやデータに誰が、どの程度、どのくらいの期間アクセスできるかを包括的に制御する必要があります。 ID の統合と特権の昇格により、ID の一元化と、アクセス許可の詳細なガバナンスと制御が提供されます。 これにより、ID のスプロールと関連するセキュリティ リスクが軽減され、管理作業負荷が軽減され、従業員の生産性が向上します。 このアプローチにより、組織は、許可された人、マシン、またはサービスのみが、適切なタイミングで適切な理由で適切なリソースにアクセスできるようにすることができます。
詳細は Centrify.com をご覧ください
Thycotic Centrify について ThycoticCentrify は、大規模なデジタル変革を可能にするクラウド ID セキュリティ ソリューションの大手プロバイダーです。 ThycoticCentrify の業界をリードする Privileged Access Management (PAM) ソリューションは、クラウド、オンプレミス、およびハイブリッド環境全体で企業のデータ、デバイス、およびコードを保護しながら、リスク、複雑さ、およびコストを削減します。 ThycoticCentrify は、Fortune 14.000 の半分以上を含む、世界中の 100 以上の大手企業から信頼されています。 顧客には、世界最大の金融機関、諜報機関、重要インフラ企業が含まれます。 人間でも機械でも、クラウドでもオンプレミスでも - ThycoticCentrify を使用すると、特権アクセスが安全になります。