Trace Id is missing
Ugrás a tartalomtörzsre
Microsoft Biztonság

Mi a Privileged Access Management (PAM)?

A kritikus erőforrásokhoz való jogosulatlan emelt szintű hozzáférés figyelésével, észlelésével és megelőzésével megvédheti a szervezetét a kiberfenyegetésektől.

Mi a Privileged Access Management (PAM)?

A Privileged Access Management (PAM) egy olyan identitásbiztonsági megoldás, amely a kritikus fontosságú erőforrásokhoz való jogosulatlan emelt szintű hozzáférés figyelésével, észlelésével és megelőzésével segít a szervezetek kibertámadások elleni védelmében. A PAM különböző embereket, folyamatokat és technológiákat kombinálva működik, és betekintést nyújt abba, hogy kik használják a jogosultságot igénylő fiókokat, és milyen tevékenységeket végeznek, miközben be vannak jelentkezve. A rendszergazdai funkciókhoz hozzáférő felhasználók számának korlátozásával növelhető a rendszer biztonsága, a további védelmi rétegek pedig mérséklik az adatokkal való visszaéléseket.

Hogyan működik az emelt szintű hozzáférés kezelése?

A PAM-megoldások azonosítják az emelt szintű hozzáférést igénylő személyeket, folyamatokat és technológiákat, és meghatározzák a rájuk vonatkozó házirendeket. A PAM-megoldásnak rendelkeznie kell olyan funkciókkal, amelyek támogatják az Ön által lefektetett házirendeket (például automatizált jelszókezelés és többtényezős hitelesítés), a rendszergazdáknak pedig képesnek kell lenniük arra, hogy automatizálják a fiókok létrehozását, módosítását és törlését. A PAM-megoldásnak ezenkívül folyamatosan figyelnie kell a munkameneteket, hogy jelentéseket készíthessen az anomáliák azonosítása és kivizsgálása érdekében.

Az emelt szintű hozzáférés kezelése két elsődleges használati esete megakadályozza a hitelesítő adatok ellopását, és hozzájárul a megfelelőség eléréséhez.

Hitelesítőadat-lopásról akkor beszélünk, ha egy fenyegetést jelentő szereplő bejelentkezési adatokat tulajdonít el, hogy hozzáférést nyerjen egy felhasználói fiókhoz. Miután bejelentkeztek, hozzáférhetnek a szervezeti adatokhoz, kártevőket telepíthetnek különböző eszközökre, és magasabb szintű rendszerekhez nyerhetnek hozzáférést. A PAM-megoldások úgy csökkenthetik ezt a kockázatot, hogy minden rendszergazdai identitás és fiók számára csak az adott időben érvényes és csak a kellő szintű hozzáférést biztosítják, és többtényezős hitelesítést tesznek lehetővé.

A szervezetre vonatkozó megfelelőségi szabványoktól függetlenül a bizalmas adatok, például a fizetési vagy a személyes egészségügyi adatok védelméhez valószínűleg szükség van egy minimális jogosultságot biztosító házirendre. A PAM-megoldások azt is lehetővé teszik, hogy igazolja a megfelelőségét úgy, hogy jelentéseket készít a jogosultságot igénylő felhasználói tevékenységekről – arról, hogy kik és miért férnek hozzá az adatokhoz.

A további használati esetek közé tartozik a felhasználói életciklus (például a fiókok létrehozásának, kiépítésének és megszüntetésének) automatizálása, a jogosultságot igénylő fiókok figyelése és rögzítése, a távoli hozzáférés védelme és a külső hozzáférés szabályozása. A PAM-megoldások eszközökre (a eszközök internetes hálózatára), felhőkörnyezetekre és DevOps-projektekre is alkalmazhatók.

Az emelt szintű hozzáféréssel való visszaélés olyan kiberbiztonsági fenyegetés, amely súlyos és sok mindenre kiterjedő károkat okozhat a szervezeteknek. A PAM-megoldások olyan erőteljes funkciókat kínálnak, amelyek segítenek lépést tartani a kockázatokkal.

  • Csak az adott időben érvényes hozzáférést biztosíthat a kritikus fontosságú erőforrásokhoz.
  • Biztonságos távoli hozzáférést tehet lehetővé jelszavak helyett titkosított átjárók használatával.
  • A kiemelt munkamenetek figyelésével támogathatja az auditvizsgálatokat.
  • Elemezheti azokat a szokatlan, jogosultságot igénylő tevékenységeket, amelyek károsak lehetnek a szervezetére.
  • Rögzítheti a jogosultságot igénylő fiókokkal kapcsolatos eseményeket a megfelelőségi auditokhoz.
  • Jelentéseket készíthet az emelt szintű felhasználói hozzáférésről és tevékenységekről.
  • Integrált jelszóvédelemmel gondoskodhat a DevOps védelméről

A jogosultságot igénylő fiókok típusai

A kiemelt felhasználói fiókok olyan jogosultságot igénylő fiókok, amelyeket azok a rendszergazdák használnak, akik korlátlan hozzáféréssel rendelkeznek a fájlokhoz, könyvtárakhoz és erőforrásokhoz. Szoftvereket telepíthetnek, módosíthatják a konfigurációkat és a beállításokat, és törölhetik a felhasználókat és az adatokat.

Jogosultságot igénylő fiókok

A jogosultságot igénylő fiókok a jogosultságot nem igénylő fiókokon (például az normál felhasználói fiókokon és a vendégfelhasználói fiókokon) túl is biztosítanak hozzáférést és jogosultságokat.

Tartományi rendszergazdafiókok

A tartományi rendszergazdafiókok a rendszer legmagasabb szintű irányítási szintjét biztosítják. Ezek a fiókok a tartomány összes munkaállomásához és kiszolgálójához hozzáférnek, és a rendszerkonfigurációk, a rendszergazdafiókok és a csoporttagságok szabályozásáért felelősek.

Helyi rendszergazdafiókok

A helyi rendszergazdafiókok rendszergazdai felügyelettel rendelkeznek adott kiszolgálók vagy munkaállomások fölött, és gyakran karbantartási feladatok ellátására hozták létre őket.

Alkalmazás-rendszergazdai fiókok

Az alkalmazás-rendszergazdai fiókok teljes hozzáféréssel rendelkeznek bizonyos alkalmazásokhoz és a bennük tárolt adatokhoz.

Szolgáltatásfiókok

A szolgáltatásfiókok segítségével az alkalmazások biztonságosabban tudnak kommunikálni az operációs rendszerrel.

Üzleti, jogosultságot igénylő felhasználói fiókok

Az üzleti, jogosultságot igénylő felhasználói fiókok a munkaköri feladatok alapján kapott, magas szintű jogosultságokkal rendelkeznek.

Vészhelyzeti fiókok

A vészhelyzeti fiókok rendszergazdai hozzáférést biztosítanak a jogosultsággal nem rendelkező felhasználóknak a biztonságos rendszerekhez vészhelyzet vagy szolgáltatáskimaradás esetén.

A PAM és a PIM

Az emelt szintű hozzáférés kezelése segít a szervezeteknek az identitások kezelésében, és megnehezíti a fenyegetést jelentő szereplők számára a hálózatba való behatolást és a jogosultságot igénylő fiókokhoz való hozzáférés megszerzését. Védelmet nyújt azoknak a jogosultsággal rendelkező csoportoknak, amelyek a tartományhoz csatlakoztatott számítógépekhez és az ezeken a számítógépeken futó alkalmazásokhoz való hozzáférést szabályozzák. A PAM ezenkívül figyelési, láthatósági és részletes vezérlőket is biztosít, így Ön láthatja, hogy kik az emelt szintű hozzáféréssel rendelkező rendszergazdák, és hogyan használják a fiókjukat.

A Privileged identity management (PIM) időalapú és jóváhagyáson alapuló szerepkör-aktiválást biztosít a szervezet bizalmas erőforrásaihoz való túlzott, szükségtelen vagy helytelenül alkalmazott hozzáférések kockázatának mérséklése érdekében azáltal, hogy csak az adott időpontban érvényes és csak a kellő szintű hozzáférést kényszerít ezekhez a fiókokhoz. Ezeknek a jogosultságot igénylő fiókoknak a további védelme érdekében a PIM lehetővé teszi különböző házirend-beállítások, például a többtényezős hitelesítés kényszerítését.

Bár a PAM és a PIM sok hasonlóságot mutat, a PAM különféle eszközök és technológiák használatával szabályozza és figyeli az erőforrásokhoz való hozzáférést, és a minimális jogosultság elve alapján működik (így gondoskodva arról, hogy az alkalmazottak éppen csak a munkájukhoz szükséges szintű hozzáféréssel rendelkezzenek), míg a PIM az időhöz kötött hozzáféréssel rendelkező rendszergazdákat és kiemelt felhasználókat szabályozza, és biztonságossá teszi ezeket a jogosultságot igénylő fiókokat.

Az emelt szintű hozzáférés kezelésével kapcsolatos ajánlott eljárások

Vannak olyan ajánlott eljárások, amelyeket érdemes szem előtt tartani a PAM-megoldás megtervezése és megvalósítása során. Ezek segítenek a biztonság fokozásában és a szervez kockázatainak csökkentésében.

Többtényezős hitelesítés megkövetelése

A többtényezős hitelesítéssel további védelmi réteggel láthatja el a bejelentkezési folyamatot. Fiókok vagy alkalmazások elérésekor a felhasználóknak további személyazonosság-ellenőrzést kell végezniük egy másik ellenőrzött eszközön keresztül.

A biztonság automatizálása

A biztonsági környezet automatizálásával csökkentheti az emberi hibák kockázatát, és növelheti a hatékonyságot. Automatikusan korlátozhatja például a jogosultságokat, és megakadályozhatja a nem biztonságos vagy jogosulatlan műveleteket egy veszélyforrás észlelésekor.

Végponti felhasználók eltávolítása

Azonosíthatja és eltávolíthatja a szükségtelen végponti felhasználókat a helyi rendszergazdák csoportjából az informatikai Windows-munkaállomásokon. A fenyegető szereplők arra használhatják a rendszergazdai fiókokat, hogy munkaállomásról munkaállomásra váltsanak, más hitelesítő adatokat lopjanak el, és emeljék a jogosultságaikat a hálózaton keresztüli mozgás megkönnyítése érdekében.

Az alapkövetelmények lefektetése és az eltérések figyelése

Az emelt szintű hozzáférést igénylő tevékenységek naplózásával nyomon követheti, hogy ki mit csinál a rendszerben, és ki hogyan használja az emelt szintű hozzáférést biztosító jelszavakat. Az elfogadható tevékenységek alapkövetelményeinek ismerete segít kiszúrni azokat az eltéréseket, amelyek veszélyeztethetik a rendszert.

 

Igény szerinti hozzáférés biztosítása

Mindenre és mindenkire a minimális jogosultságot biztosító házirendet alkalmazza, majd szükség szerint emelje a jogosultságokat. Így könnyebben tudja majd szegmentálni a rendszereket és a hálózatokat a felhasználók és folyamatok felé, a megbízhatóság, az igények és a jogosultságok alapján.

Az állandó emelt szintű hozzáférés elkerülése

Az állandó emelt szintű hozzáférés helyett fontolja meg az ideiglenes, csak az adott időpontban érvényes és csak a kellő szintű hozzáférés biztosítását. Így könnyebben gondoskodhat arról, hogy a felhasználóknak megalapozott indokkal, és csak a szükséges ideig legyen ilyen hozzáférésük.

Tevékenységalapú hozzáférés-vezérlés használata

Csak azokhoz az erőforrásokhoz adjon jogosultságokat, amelyeket az adott személy ténylegesen használni szokott a korábbi tevékenységei és használati adatai alapján. Törekedjen a megadott és a használt jogosultságok közötti rés megszüntetésére.

 

Az emelt szintű hozzáférés kezelésének jelentősége

A rendszerbiztonság szempontjából az emberek jelentik a leggyengébb láncszemet, a jogosultságot igénylő fiókok pedig jelentős kockázatot jelentenek a szervezet számára. A PAM jóvoltából a biztonsági csapatok azonosítani tudják a jogosultságokkal való visszaélés következtében előforduló káros tevékenységeket, és azonnali lépéseket tudnak tenni a kockázatok enyhítése érdekében. A PAM-megoldások biztosíthatják, hogy az alkalmazottak csak a munkájuk elvégzéséhez szükséges hozzáférési szintekkel rendelkezzenek.

A jogosultsággal való visszaéléshez kapcsolódó rosszindulatú tevékenységek azonosítása mellett a PAM-megoldás a következőkben is segíthet a szervezetének:

  • Minimalizálhatja a biztonsági incidensek esélyét. Ha biztonsági incidens történik, a PAM-megoldás segít korlátozni a rendszerben való terjedését.
  • Csökkentheti a fenyegetést jelentő szereplők megjelenésének és lehetséges útvonalainak számát. A személyek, folyamatok és alkalmazások korlátozott jogosultságai védelmet nyújtanak a belső és a külső fenyegetések ellen.
  • Megelőzheti a kártevőtámadásokat. Ha a kártevők mégis megvetnék a lábukat, a túlzott jogosultságok eltávolítása segíthet a terjedés csökkentésében.
  • Naplózásra alkalmasabb környezetet alakíthat ki. A gyanús tevékenységek figyelését és észlelését segítő tevékenységnaplókkal átfogó biztonsági és kockázatkezelési stratégiát alakíthat ki.

A PAM-biztonság megvalósítása

Az emelt szintű hozzáférés kezelésének első lépéseihez olyan tervre van szüksége, amely:

  1. Teljes láthatóságot biztosít az összes, jogosultságot igénylő fiók és identitás számára. A PAM-megoldásnak lehetővé kell tennie az emberi felhasználók és a számítási feladatok által használt összes jogosultság megtekintését. Miután megkapta ezt a láthatóságot, szüntesse meg az alapértelmezett rendszergazdafiókokat, és alkalmazza a minimális jogosultság elvét.
  2. Képes az emelt szintű hozzáférés irányítására és szabályozására. Naprakésznek kell maradnia az emelt szintű hozzáféréssel kapcsolatban, és fenn kell tartania a jogosultságiszint-emelés fölötti irányítást, hogy ne kerüljön ki a kezei közül, és nehogy veszélybe kerüljön a szervezet kiberbiztonsága.
  3. Figyelni és naplózni tudja a jogosultságot igénylő tevékenységeket. Olyan házirendeket alkalmazhat, amelyek meghatározzák a szabályszerű viselkedést a jogosultsággal rendelkező felhasználók számára, és azonosítják azokat a műveleteket, amelyek sértik ezeket a házirendeket.
  4. Automatizálhatja a PAM-megoldásokat. A megoldás több millió, jogosultsággal rendelkező fiók, felhasználó és eszköz esetében is használható a biztonság és a megfelelőség javítása érdekében. A felderítést, a kezelést és a figyelést automatizálva csökkentheti a felügyeleti feladatok számát és az összetettséget.

Az IT-részlegtől függően előfordulhat, hogy azonnal használatba veheti a PAM-megoldását, és fokozatosan adhat hozzá modulokat a nagyobb méretekben is működő és hatékonyabb funkciók támogatásához. A megfelelőségi szabályozásoknak való megfelelés érdekében a biztonság szabályozásával kapcsolatos javaslatokat is figyelembe kell vennie.

A PAM-megoldás továbbá integrálható az Ön által használt  biztonságiinformáció- és -esemény-kezelési (SIEM) megoldással is.

Az emelt szintű hozzáférés kezelésére épülő megoldások

A technológia önmagában nem elegendő ahhoz, hogy megvédje a szervezetét a kibertámadások ellen. Olyan megoldást kell használni, amely az embereket, a folyamatokat és a technológiát egyaránt szem előtt tartja.

Ismerje meg, hogy a Microsoft Biztonság identitás- és hozzáférés-kezelési megoldásai hogyan segítik a szervezet védelmét azáltal, hogy minden felhasználó, intelligens eszköz és szolgáltatás számára biztonságos hozzáférést biztosítanak az összekapcsolt világhoz.

További információ a Microsoft Biztonságról

Identitás- és hozzáférés-kezelési megoldások

A hozzáférést az összes felhasználója, intelligens eszköze és szolgáltatása számára biztonságossá téve hozzájárulhat a szervezete védelméhez.

További információ

Privileged Identity Management

A kritikus műveletekhez való hozzáférés korlátozásával biztonságba helyezheti a rendszergazdafiókokat.

További információ

Feltételes hozzáférés

A részletes hozzáférés-vezérlés valós idejű adaptív házirendekkel való kényszerítésével gondoskodhat a munkaerő biztonságáról.

További információ

Gyakori kérdések

  • Az identitás- és hozzáférés-kezelés (IAM) olyan szabályokból és házirendekből áll, amelyek azt határozzák meg, hogy ki vagy mi, mikor, hol és hogyan férhet hozzá az erőforrásokhoz. Idetartozik a jelszókezelés, a többtényezős hitelesítés, azegyszeri bejelentkezés (SSO) és a felhasználói életciklus-menedzsment.

    A Privileged Access Management (PAM) a jogosultsággal rendelkező fiókok védelméhez szükséges folyamatokkal és technológiákkal foglalkozik. Az IAM egy olyan részhalmaza, amely lehetővé teszi a jogosultsággal (a normál felhasználókhoz képest magasabb szintű hozzáféréssel) rendelkező felhasználók tevékenységeinek szabályozását és nyomon követését, miután bejelentkeztek a rendszerbe.

  • A hatékony munkamenet-kezelés például egy olyan PAM-alapú biztonsági eszköz, amellyel láthatja, hogy mit tesznek a jogosultsággal rendelkező felhasználók (a szervezetben a rendszerekhez és eszközökhöz gyökérszintű hozzáféréssel bíró tagok), miután bejelentkeztek. Az eredményül kapott auditnaplók figyelmeztetik az emelt szintű hozzáféréssel való véletlen vagy szándékos visszaélésekre.

  • A Privileged Access Management (PAM) a szervezet biztonsági állapotának megerősítésére használható. Lehetővé teszi az infrastruktúrához és az adatokhoz való hozzáférés szabályozását, a rendszerek konfigurálását és a biztonsági rések megkeresését.

  • A PAM-megoldások előnyei közé tartozik a biztonsági kockázatok mérséklése, a működési költségek és az összetettség csökkentése, a láthatóság és a helyzetfelismerés fokozása a teljes szervezetben, illetve a jogszabályi megfelelőség javítása.

  • Amikor PAM-megoldást választ a szervezete számára, ügyeljen arra, hogy a megoldás többtényezős hitelesítést, munkamenet-kezelést és igény szerinti hozzáférési funkciókat, szerepköralapú biztonságot, valós idejű értesítéseket, automatizálást, illetve naplózási és jelentéskészítési funkciókat is tartalmazzon.

A Microsoft követése