INFORMAČNÁ BEZPEČNOSŤ

Hrozba, keď má admin príliš veľké oprávnenia. Ako na problematiku správy privilegovaných identít?

Strana 1/2

Spo­loč­nos­ti pre­vádz­ku­jú v rám­ci svo­jej IT infra­štruk­tú­ry množ­stvo server­ov, da­ta­báz, vir­tuál­nych server­ov, sie­ťo­vých za­ria­de­ní a ap­li­ká­cií. Všet­ky tie­to kom­po­nen­ty po­dlie­ha­jú sprá­ve pri­vi­le­go­va­ných pou­ží­va­te­ľov, či už ich pred­sta­vu­jú inter­ní za­mes­tnan­ci spo­loč­nos­ti, exter­nis­ti, ale­bo do­dá­va­te­lia.

Tí­to pou­ží­va­te­lia mô­žu ne­pria­mo pred­sta­vo­vať hroz­bu, a to v po­do­be neob­me­dze­ných (ale­bo veľ­mi vy­so­kých) op­ráv­ne­ní pri prís­tu­pe k in­for­mač­ným ak­tí­vam spo­loč­nos­ti. Poz­na­jú aj hes­lá k pri­vi­le­go­va­ným úč­tom, ako root v sys­té­moch Unix/Li­nux, Ad­mi­nis­tra­tor v sys­té­moch Win­dows ale­bo SYS v da­ta­bá­zach Orac­le.

Prob­lé­my s neob­me­dze­ným prís­tu­pom k in­for­mač­ným ak­tí­vam rie­ši prá­ve ob­lasť ria­de­nia pri­vi­le­go­va­ných iden­tít a prís­tu­pu k hes­lám pri­vi­le­go­va­ných úč­tov, ozna­čo­va­ná aj ako Pri­vi­le­ged Iden­ti­ty Ma­na­ge­ment (ďa­lej PIM). V or­ga­ni­zá­ciách sa ria­de­nie pri­vi­le­go­va­ných iden­tít čas­to rie­ši nes­práv­ne a ne­dos­ta­toč­ne a zod­po­ve­da­jú za ňu sa­mi pri­vi­le­go­va­ní pou­ží­va­te­lia. Tí pou­ží­va­jú rôz­ne voľ­ne dos­tup­né nás­tro­je, kto­ré sú pria­mo hroz­bou pre in­for­mač­nú bez­peč­nosť ale­bo ne­pos­ky­tu­jú všet­ky pot­reb­né at­ri­bú­ty, kto­ré od rie­še­nia PIM oča­ká­va­me. Sú me­dzi ni­mi nap­rík­lad audi­to­va­teľ­nosť (kto a ke­dy pris­tú­pil k da­né­mu hes­lu), ove­re­nie plat­nos­ti hes­la či vy­nu­co­va­nie po­li­ti­ky he­siel a iné.

Spô­sob reali­zá­cie

Ako te­da pos­tu­po­vať pri tvor­be rie­še­ní ria­de­nia pri­vi­le­go­va­ných iden­tít a ria­de­nia prís­tu­pu k hes­lám pri­vi­le­go­va­ných úč­tov? Pred reali­zá­ciou tre­ba vy­ko­nať naj­mä ana­lý­zu ak­tuál­ne­ho sta­vu a návrh na­sa­de­nia sys­té­mu PIM. V tej­to ana­lý­ze mu­sí­me byť schop­ní po­me­no­vať:

Ty­py a sku­pi­ny pri­vi­le­go­va­ných pou­ží­va­te­ľov

Prík­la­dom mô­že byť sku­pi­na ad­mi­nis­trá­to­rov Win­dows, li­nuxových ad­mi­nis­trá­to­rov ale­bo ad­mi­nis­trá­to­rov od kon­krét­ne­ho do­dá­va­te­ľa. Kaž­dá sku­pi­na bu­de mať nas­ta­ve­ný iný roz­sah prá­vo­mo­cí, ako nap­rík­lad ad­mi­nis­trá­to­ri do­dá­va­te­ľa, kto­rí ne­mô­žu pris­tu­po­vať k pri­vi­le­go­va­ným úč­tom na pro­duk­čných sys­té­moch.

Ty­py a sku­pi­ny pri­vi­le­go­va­ných úč­tov

Cie­ľom je vy­špe­ci­fi­ko­vať všet­ky pri­vi­le­go­va­né úč­ty a za­ra­diť ich do lo­gic­kých sku­pín na lep­šiu ma­ni­pu­lá­ciu. Prík­la­dom sku­pín mô­žu byť server­y Win­dows v tes­to­va­com pros­tre­dí ale­bo pro­duk­čné da­ta­bá­zy Orac­le. Naj­čas­tej­ší­mi kan­di­dát­mi na ty­py sú spra­vid­la úč­ty ako root, ad­mi­nis­tra­tor ale­bo SYS. Roz­hod­nu­tie, kam za­ra­diť pri­vi­le­go­va­ný účet, res­pek­tí­ve či je vhod­né ho ozna­čiť ako pri­vi­le­go­va­ný, je na or­ga­ni­zá­cii. Tá sa mô­že roz­hod­núť, či me­dzi pri­vi­le­go­va­né úč­ty pat­rí nap­rík­lad aj me­no a hes­lo do fi­rem­né­ho pro­fi­lu na Fa­ce­book. Hes­lo k fi­rem­né­mu fa­ce­boo­ko­vé­mu pro­fi­lu mô­že byť po­mo­cou sys­té­mu PIM spra­vo­va­né s vy­uži­tím rov­na­ko vy­so­kých bez­peč­nos­tných me­cha­niz­mov ako nap­rík­lad ad­mi­nis­trá­tor­ské hes­lo k da­ta­bá­ze s osob­ný­mi údaj­mi za­mes­tnan­cov.

Exis­tu­jú­ce pro­ce­sy sprá­vy pri­vi­le­go­va­ných pou­ží­va­te­ľov a úč­tov

V tom­to prí­pa­de zis­ťu­je­me, ako fun­gu­jú pro­ce­sy sprá­vy pri­vi­le­go­va­ných pou­ží­va­te­ľov, nap­rík­lad pri­ja­tie za­mes­tnan­ca, pre­su­nu­tie na inú po­zí­ciu ale­bo ukon­če­nie pra­cov­né­ho po­me­ru. Dô­le­ži­tej­šie je to hlav­ne v prí­pa­de exter­nis­tov ale­bo do­dá­va­te­ľov, keď­že v tom­to prí­pa­de bý­va si­tuácia me­nej preh­ľad­ná a for­mál­ne pro­ce­sy ani neexis­tu­jú. Pre pro­ce­sy sprá­vy pri­vi­le­go­va­ných úč­tov je zá­ro­veň za­ují­ma­vé zis­tiť, ako fun­gu­je pro­ces vzni­ku (vznik­ne no­vý in­for­mač­ný sys­tém ale­bo server, spô­sob dis­tri­bú­cie hes­la pou­ží­va­te­ľom), zá­ni­ku a pre­vádz­ky (akým spô­so­bom a ako čas­to sa me­nia hes­lá).

V návr­hu rie­še­nia PIM sa mu­sí­me za­me­rať hlav­ne na:

  • vy­tvo­re­nie ka­ta­ló­gu ro­lí pre pri­vi­le­go­va­ných pou­ží­va­te­ľov
  • vy­tvo­re­nie zoz­na­mu pri­vi­le­go­va­ných úč­tov
  • vy­tvo­re­nie prís­tu­po­vej ma­ti­ce, kto­rá ma­pu­je ka­ta­lóg ro­lí so zoz­na­mom pri­vi­le­go­va­ných úč­tov a za­de­fi­no­va­nie úrov­ne prís­tu­pov (nap­rík­lad prís­luš­ník niek­to­rej ro­ly mô­že pre da­ný pri­vi­le­go­va­ný účet da­né hes­lo pou­žiť iba po­mo­cou auto­ma­tic­kých nás­tro­jov bez to­ho, aby mal mož­nosť ho vi­dieť); prís­luš­ník inej ro­ly mô­že to­to hes­lo aj vi­dieť a pod.
  • za­de­fi­no­va­nie pou­ží­va­teľ­ských pro­ce­sov, po­mo­cou kto­rých bu­dú pri­vi­le­go­va­ní pou­ží­va­te­lia pra­co­vať, ako je nap­rík­lad zís­ka­nie ale­bo pou­ži­tie hes­la pri prís­tu­pe k server­u Win­dows
  • vy­tvo­re­nie pre­vádz­ko­vých pro­ce­sov, kto­ré bu­dú jed­noz­nač­ne opi­so­vať iden­ti­fi­ko­va­né pos­tu­py
  • vy­tvo­re­nie bez­peč­nos­tných pro­ce­sov, kto­ré za­bez­pe­čia, že rie­še­nie bu­de v sú­la­de s bez­peč­nos­tný­mi po­žia­dav­ka­mi

Nes­mie­me však za­bú­dať ani na in­teg­rá­ciu s exis­tu­jú­ci­mi sys­té­ma­mi a pro­ces­mi v or­ga­ni­zá­cii, prí­pad­ne na vy­tvo­re­nie no­vých. Nap­rík­lad:

Pre­po­je­nie na exis­tu­jú­cu da­ta­bá­zu pou­ží­va­te­ľov a auten­ti­fi­kač­ných me­tód

V or­ga­ni­zá­cii je nap­rík­lad vy­bu­do­va­ná do­mé­no­vá infra­štruk­tú­ra Win­dows a prih­la­so­va­nie sa po­mo­cou cer­ti­fi­ká­tov X509. Pre­to je vhod­né, aby rie­še­nie PIM vy­uži­lo tú­to da­ta­bá­zu a spô­sob auten­ti­fi­ká­cie. Vhod­né je vy­užiť aj exis­tu­jú­ci ka­ta­lóg ro­lí, čo v tom­to prí­pa­de mô­že byť hie­rar­chia sku­pín Win­dows.

Pre­po­je­nie na exis­tu­jú­ci pro­ces­ný tok v or­ga­ni­zá­cii

PIM mu­sí byť za­po­je­ný do exis­tu­jú­cich ale­bo no­vých pro­ce­sov, ako je od­chod za­mes­tnan­ca, kto­rý mal niek­to­rú z ro­lí pri­vi­le­go­va­né­ho pou­ží­va­te­ľa, vznik ale­bo zá­nik in­for­mač­né­ho sys­té­mu. Pre­po­je­nie na pro­ces­ný tok je väč­ši­nou reali­zo­va­né in­teg­rá­ciou na fi­rem­ný tic­ke­tin­go­vý sys­tém (te­da ad­mi­nis­trá­to­ro­vi PIM je do­ru­če­ná kon­krét­na úlo­ha vy­plý­va­jú­ca z da­né­ho pro­ce­su, ako nap­rík­lad za­blo­ko­va­nie prís­tu­pu do PIM pre kon­krét­ne­ho za­mes­tnan­ca).

Pre­po­je­nie na exis­tu­jú­ci mo­ni­to­ro­va­cí a zá­lo­ho­va­cí sys­tém

To sa us­ku­toč­ňu­je z dô­vo­du za­bez­pe­če­nia vy­so­kej dos­tup­nos­ti rie­še­nia. Tre­ba si uve­do­miť, že hes­lá k pri­vi­le­go­va­ným úč­tom mu­sia byť dos­tup­né neus­tá­le, ako je opí­sa­né ďa­lej pri mož­ných prob­lé­moch.


« prvá strana « predchádzajúca strana ďalšia strana » posledná strana »  

 
 

24 hodín

týždeň

mesiac

Najnovšie články

In­for­mač­ná bez­peč­nosť: Geog­ra­fic­ky dis­tri­buo­va­ná ochra­na dát
Ako minimalizovať výpadok IT služieb a stratu dát v dôsledku nepriaznivých udalostí. Zatiaľ čo v predošlej dekáde stačilo chrániť pred výpadkom niektoré aplikácie.  čítať »
 
Pla­te­ná rek­la­ma vs. op­ti­ma­li­zá­cia SEO – vý­ho­dy, ne­ga­tí­va, mož­nos­ti
Špecialisti na SEO tvrdia, že správnou optimalizáciou webu máte šancu získať oveľa viac ako platenou reklamou. Naproti tomu experti na platenú reklamu argumentujú dosahovaním rýchlych a merateľných výsledkov. čítať »
 
Ar­chi­tekt vs Pro­jek­to­vý ma­na­žér - spo­jen­ci, či ne­pria­te­lia?
Tieto roly existujú v každom väčšom projekte, ale napriek tomu ich spolupráca často neprebieha tak hladko ako by sa očakávalo. Je dôvod v samotných rolách, alebo leží úplne inde? čítať »
 
Ap­pli­ca­tion De­li­ve­ry – efek­tív­na ochra­na pro­ti hac­ke­rom a op­ti­ma­li­zá­cia vý­ko­nu slu­žieb
Sú vaše webové služby chránené proti hackerom? Programátori často urobia chyby, ktoré dokážu útočníci zneužiť.   čítať »
 
Cloud com­pu­ting: Oča­ká­va­nia a reali­ta, preh­ľad pos­ky­to­va­te­ľov (Ama­zon, Goog­le, IBM, Mic­ro­soft)
Cloud computing, technológia predstavujúca model zdieľania hardvérových zdrojov pomocou virtualizácie a automatizácie, v súčasnosti naberá rýchlosť pri globálnom rozširovaní sa do celého spektra sektorov poskytujúcich obrovské množstvo služieb. čítať »
 
Dá­ta nie sú len ved­ľaj­ším pro­duk­tom pre­vádz­ky IS
Na otázku, ako stručne hodnotíte informačný systém vašej organizácie, by sme dostali mnoho rôznych odpovedí. čítať »
 
BYOD pod­po­ru­je ino­vač­né ini­cia­tí­vy ta­len­to­va­ných za­mes­tnan­cov
Jeden z charakteristických atribútov trendu BYOD je možnosť vynútenia technologického pokroku v IT podpore biznisu „zdola", najčastejšie zo strany mladších používateľov. čítať »
 
Li­cen­čnú čis­to­tu je ťaž­ké us­trá­žiť
Pre licenčného manažéra je znalosť aktuálnych licenčných podmienok od dvoch až troch výrobcov softvéru na všetok využívaný softvér v spoločnosti nedosiahnuteľná méta. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter