Privileged Access Management (PAM) – zarządzanie kontami admin i rotacja haseł

Privileged Access Management (PAM) to system kontroli dostępu do kont uprzywilejowanych (admin, root, domain admin). Dzięki temu organizacje chronią się przed atakami wykorzystującymi skradzione hasła administratorów. Ponadto PAM automatyzuje rotację haseł, loguje wszystkie sesje admin oraz ogranicza dostęp do minimum niezbędnego (least privilege). W rezultacie firmy redukują ryzyko credential theft, privilege escalation i ataków lateral movement wewnątrz sieci.

Wprowadzenie do PAM

Privileged Access Management to proces zarządzania dostępem do kluczowych systemów i danych w organizacji. Rozwiązania tej klasy umożliwiają tworzenie i dystrybucję poświadczeń dla kont uprzywilejowanych wyłącznie przez te systemy, zazwyczaj poprzez zaszyfrowany sejf na hasła.

Rozwiązania PAM są zaprojektowane tak, aby chronić najcenniejsze zasoby firmy przed nieautoryzowanym dostępem. Pomagają również kontrolować, kto może korzystać z uprzywilejowanego konta i uzyskać dostęp do krytycznych systemów i serwerów.

PAM – dla kogo jest niezbędny?

PAM staje się kluczowy w następujących sytuacjach:

Masz konta admin z niezmienianymi hasłami.
Konta administrator, root, sa, domain admin mają hasła ustawione lata temu. W związku z tym każdy kto kiedyś miał dostęp, nadal może się zalogować. PAM wymusza automatyczną rotację haseł co 30/60/90 dni.

Serwisanci mają stałe konta z uprawnieniami admin.
Firmy zewnętrzne potrzebują dostępu do serwerów. Często dostaję stałe konto admin. Dlatego ryzyko rośnie z każdym serwisantem. PAM tworzy tymczasowe konta, które wygasają po X godzinach.

Nie wiesz kto i kiedy logował się na konta admin.
Admin wykonał ryzykowną operację. Ponadto nie ma logów kto to był i co zrobił. W efekcie brak accountability. PAM nagrywa wszystkie sesje uprzywilejowane (screen recording).

Potrzebujesz zgodności z NIS2, ISO 27001, PCI DSS.
Audytorzy wymagają dowodów zarządzania dostępem uprzywilejowanym. Tym samym PAM dostarcza raporty: kto miał dostęp, kiedy, do jakich systemów, czy hasła są rotowane.

Jak działa Privileged Access Management?

PAM składa się z kilku mechanizmów:

Sejf na hasła (password vault).
Wszystkie hasła admin są przechowywane w zaszyfrowanym sejfie. Administrator nie zna hasła. W związku z tym logowanie odbywa się przez PAM, który automatycznie wstawia credentials.

Automatyczna rotacja haseł.
PAM zmienia hasła do kont uprzywilejowanych co X dni. Ponadto każda zmiana jest logowana. Dzięki temu stare hasła przestają działać automatycznie.

Session recording.
Każda sesja admin jest nagrywana (video + komendy). W rezultacie można zobaczyć co dokładnie administrator robił podczas sesji.

Just-in-Time Access.
Zamiast stałych uprawnień admin dostaje tymczasowy dostęp na 2h. Po tym czasie dostęp wygasa automatycznie. Tym samym surface attack jest mniejszy.

Least Privilege Enforcement.
PAM egzekwuje zasadę minimalnych uprawnień. Dlatego użytkownik dostaje tylko te uprawnienia, które są potrzebne do zadania.