A PAM (Privileged Access Management) rendszerek az IT infrastruktúra védelmének egyik legfontosabb elemét képezik. Főként névtelen fiókok (megosztott fiókok és technikai fiókok) hitelesítésének védelmére alkalmazzák, különösen az informatikai környezet kritikus elemeinél. A root, admin, sys, dba stb. fiókok jelszavainak biztonságának megőrzése érdekében alkalmazott megfelelő politikák alkalmazása gyakran nehézségekbe ütközik és kézi munkát igényel az IT csapatoktól. Az azonosítók kezelési folyamatának (beleértve a jelszavak rotációját és titkosítását) automatizálása, valamint a magas jogosultságú fiókokhoz való hozzáférés biztosítása és ellenőrzése alapvetővé válik a kritikus infrastruktúra jogosulatlan hozzáféréstől való védelme érdekében.
- A PIM/PAM területet (Privilege Identity Management, Privilege Access Management) a Gartner a legfontosabb IT biztonsági beruházások egyikének tartja.
- A PAM rendszerek három alapvető igényt céloznak meg – a privilégiumos fiókok jelszavainak kezelését, a hozzáférés szervezését és a magas jogosultságú fiókok használatának nyomon követését, valamint a távoli munkamenetek rögzítését.
- A PAM rendszerek természetes kiterjesztése a PEDM megoldások (Privilege Elevation and Delegation Management), amelyek lehetővé teszik a jogosultságok pontos szabályozását a fiókok számára.
- A PAM rendszerek alapvető célja a megosztott és műszaki fiókok kezelése, de ajánlott támogatni a privilégiumos név szerinti fiókokat is.
- A PAM rendszer megfelelő bevezetése általában 4-8 hétig tartó folyamat.
Nem csak a munkamenetek rögzítése.
PIM/PAM megoldások (Privilege Identity Management, Privilege Access Management) gyakran az IT adminisztrátorok és alvállalkozók távoli munkameneteit rögzítő rendszereknek tekintik. Természetesen a munkamenetek rögzítése az egyik kulcsfontosságú funkciója ennek a kategóriának, azonban érdemes figyelembe venni, hogy a privilégiumos hozzáférés kezelésének lényege nem merül ki kizárólag a felvételekben. Nagyon fontos kérdés, különösen a kritikus fiókok védelme szempontjából, a privilégiumos fiókok használatának korlátozása és nyomon követése.
Ugyanilyen fontos tervezési szempont a biztonság szempontjából az, hogy a felhasználókat elkülönítse a jelszavaktól. A megfelelően bevezetett PIM/PAM rendszer lehetővé teszi az adminisztrátorok számára, hogy munkájukat végezzék, anélkül hogy korlátoznák a termelékenységüket, a privilégiumos fiókkal történő munkamenet megkezdésével és az adott fiók hitelesítő adatainak automatikus beszúrásával. Az adminisztrátor ezáltal műveleteket végezhet kritikus fiókokkal, de nem terheli a jelszó ismeretéből eredő felelősség. A jelszóváltoztatási folyamatot – legyen az ciklikusan vagy minden fiókhasználat után – a PAM rendszer kezeli.
PAM rendszer és alvállalkozók
Az egyik fő hajtóerő a magas jogosultságú fiókok védelmével kapcsolatos projektekben az a vágy, hogy ellenőrzésünk legyen a szolgáltatásokat nyújtó alvállalkozók tevékenysége felett, akik szervizszerződések keretében hozzáférést kapnak a kritikus informatikai infrastruktúrához. Függetlenül attól, hogy hálózati eszközökről, szerverekről vagy OT/SCADA környezetekről van szó – a harmadik fél cégek képviselőinek tevékenysége felett való ellenőrzés hiánya aggodalmat kelt az IT és biztonsági csapatokban. Amikor a kockázat tudatossága és a terület kezelésének igénye magas, a szervezetek elkezdik fontolóra venni a biztonsági mechanizmusokat. Ilyen helyzetekben a PIM/PAM rendszer az első választás. Természetesen a privilégiumos hozzáférés kezelése rendszerek, az előre fejlett hozzáférési ellenőrzési mechanizmusok, az azonosító adatok cseréje és a munkamenetek rögzítése révén jóval túlmutatnak az ilyen felhasználási esetekre vonatkozó igényeken. Fontos azonban megjegyezni, hogy ezek a rendszerek főként belső infrastruktúrára épültek, és elsődleges céljuk az IT környezet védelme a szervezet belső fenyegetéseitől.