Ризик безпеки через розповсюдження ідентичності. Оскільки компанії все більше використовують нові технології, такі як хмара, великі дані, DevOps, контейнери або мікросервіси, ця зростаюча складність також створює нові проблеми для ідентифікації та керування доступом.
Завдяки цим новим технологіям робочі навантаження та обсяги даних зростають і все частіше зберігаються в хмарі. У результаті кількість людей і машин зростає експоненціально. Тому, щоб стримувати ці нові поверхні атак, стає вкрай необхідно централізувати фрагментовані ідентифікаційні дані в гібридній корпоративній інфраструктурі та застосувати узгоджену модель безпеки для привілейованого доступу.
Розростання ідентичності: небезпека розростання ідентичності
У разі розповсюдження ідентифікаційних даних ідентифікаційними даними користувача керують кілька систем або каталогів, які не синхронізовані один з одним, що призводить до кількох ідентифікаційних даних для кожного користувача та потенційних вразливих векторів атак. Часто така ситуація виникає, коли програма або система не інтегрована або не може бути інтегрована з центральною службою каталогів компанії. Це вимагає підтримки іншого набору ідентифікаторів користувачів для підтримки доступу до цієї програми чи системи. Це призводить до збільшення адміністративних зусиль і пов’язаних з цим витрат і може значно ускладнити дотримання єдиних інструкцій з безпеки та відповідності. Розповсюдження ідентифікаційних даних також створює ризик повторного використання користувачами своїх паролів у різних службах, що робить організації вразливими до перегляду облікових даних.
Облікові записи привілейованих користувачів у перехресті
Облікові записи привілейованих користувачів із широкими дозволами особливо перебувають у центрі уваги зловмисників. Це пов’язано з тим, що ці облікові записи надають ключ до цінних даних і ресурсів компанії, дозволяючи кіберзлочинцям діяти під виглядом довіреного користувача та залишатися непоміченими протягом місяців. Однак обмеження кількості цих привілейованих облікових записів в організації також може звузити зону атаки та зменшити ризик зловживань з боку зловмисних інсайдерів або зовнішніх загроз.
Задоволення потреб сучасної інфраструктури та команд безпеки вимагає комплексного підходу до керування привілейованим доступом, який зосереджується на консолідації ідентифікаційних даних і базується на принципах нульової довіри. Ось п’ять найкращих практик, які організації можуть використати для реалізації надійної стратегії безпеки консолідації ідентифікаційних даних і підвищення привілеїв.
П’ять найкращих практик консолідації ідентифікаційних даних і підвищення привілеїв
1. Централізація всіх ідентифікаційних даних у каталозі ідентифікаційних даних як єдине джерело істини
Вибране рішення керування привілеями доступу (PAM) має забезпечувати найбільшу гнучкість щодо каталогу ідентифікаційних даних, який використовується в компанії. Це означає, що не має значення, який каталог ідентифікації (наприклад, Active Directory, Okta, Ping тощо) використовує організація. Наприклад, ця технологія повинна мати можливість підключати системи UNIX і Linux до Active Directory за допомогою мосту AD, а також запропонувати можливості консолідації середовищ IaaS як частину хмарної трансформації. Сучасні рішення PAM із можливістю посередництва в кількох каталогах дозволяють автентифікувати користувачів у будь-якому каталозі користувачів, централізувати керування ідентифікацією та мінімізувати розповсюдження ідентифікаційних даних.
2. Прив’яжіть усі привілеї до ідентифікаторів у бажаному каталозі
Прив’язка всіх повноважень, дозволів і привілеїв до ідентифікаційних даних у бажаному каталозі організації не тільки зменшує адміністративні витрати, але й спрощує застосування узгоджених політик безпеки та відповідності. Оскільки на відміну від використання спільних облікових записів, індивідуальна відповідальність пов’язана з відповідною ідентичністю.
3. Об’єднаний доступ до ресурсів із бажаного каталогу
Завдяки федеративному доступу до ресурсів (таких як сервери, бази даних або хмарні робочі навантаження) співробітники можуть просто увійти в систему як самі та завжди отримувати відповідні дозволи. Це забезпечує ефективні робочі процеси та сприяє продуктивності співробітників.
4. Деталізовані елементи керування для достатнього, обмеженого за часом доступу
Озкан Топал, директор з продажу Thycotic Centrify
Завдяки високому рівню привілеїв доступу привілейовані облікові записи становлять серйозну загрозу для організацій, якщо вони потраплять до рук зловмисника. Таким чином, слід дотримуватися підходу найменших привілеїв у поєднанні з ескалацією привілеїв, щоб забезпечити детальне керування доступом. Підвищення привілеїв означає тимчасове надання користувачеві додаткових ролей і привілеїв для виконання завдання, яке відповідає його посадовій функції, з привілеями, достатніми для точної кількості часу, необхідного для виконання роботи. Наприклад, дозволити веб-адміністратору доступ до систем, на яких працюють веб-сервери та відповідні інструменти керування, може бути законним. Однак вхід до машин, які обробляють транзакції кредитними картками, не є законним і залишається заблокованим.
5. Немає постійних дозволів після виконання завдання
Компанії повинні переконатися, що особи не мають постійних авторизацій (нульові постійні привілеї), але що привілеї завжди збільшуються точно вчасно для виконання відповідних завдань протягом обмеженого періоду часу. Наприклад, працівник може отримати доступ до певного сервера лише в робочі години або протягом певного часу. Після завершення сеансу права доступу скасовуються (хоча сучасне рішення PAM також повинно легко надати доступ знову, якщо це необхідно). Це також закриває вікно можливостей для потенційних зловмисників, якщо обліковий запис користувача буде зламано.
У зв’язку зі зростаючою складністю інфраструктури компаній сьогодні потрібен комплексний контроль того, хто має доступ до конфіденційних ресурсів і даних, в якому обсязі та як довго. Консолідація ідентифікаційних даних і підвищення привілеїв забезпечує централізацію ідентифікаційних даних і детальне управління та контроль дозволів. Це зменшує розповсюдження ідентифікаційних даних і пов’язані з цим ризики безпеки, зменшує адміністративне навантаження та підвищує продуктивність співробітників. Завдяки такому підходу організації можуть гарантувати, що лише авторизовані люди, машини чи служби отримають доступ до потрібних ресурсів у потрібний час і з потрібних причин.
Більше на Centrify.com
Про Thycotic Centrify ThycoticCentrify є провідним постачальником рішень безпеки хмарної ідентифікації, які забезпечують масштабну цифрову трансформацію. Провідні в галузі рішення управління привілейованим доступом (PAM) ThycoticCentrify знижують ризики, складність і вартість, одночасно захищаючи корпоративні дані, пристрої та код у хмарних, локальних і гібридних середовищах. ThycoticCentrify довіряють понад 14.000 100 провідних компаній у всьому світі, включаючи більше половини зі списку Fortune XNUMX. Клієнти включають найбільші фінансові установи світу, розвідувальні агентства та компанії критичної інфраструктури. Людина чи машина, у хмарі чи локально – привілейований доступ ThycoticCentrify безпечний.