Uprzywilejowani i kontrolowani
- Patryk Królikowski,
- 08.06.2012, godz. 09:00
Zarządzanie tożsamością w organizacji to obszar znany od dawna, gdzie sprawdzają się rozwiązania należące do grup IDM (Identity Management) czy IAM (Identity Access Management). Realizują one wiele funkcji związanych z cyklem życia tożsamości, włączając je w procesy biznesowe. Tym razem przyglądamy się narzędziom do zarządzania kontami uprzywilejowanymi, określanymi jako PIM/PSM, których zadaniem jest: kontrola kont specjalnych, automatyzacja procesów, a także audyt i monitorowanie aktywności.
Problem z przywilejami
Dla administratora odpowiedzialnego za bezpieczeństwo prawdziwą udrękę stanowią tzw. tożsamości uprzywilejowane, a więc wszelkiego rodzaju konta z wysokim poziomem uprawnień, typu administrator, root, DBA itp. Możemy sobie wyobrazić przynajmniej kilka grup poważnych problemów z nimi związanych. Pierwsza wiąże się z zarządzaniem. Specyfika kont uprzywilejowanych polega na tym, że - w przeciwieństwie do "normalnych" - nie są przywiązane do konkretnej osoby, co oznacza, że do konta root może mieć dostęp równie dobrze jedna, jak i dwadzieścia osób. Zdarza się również, że takie konta specjalne są wykorzystywane nie tylko przez ludzi, ale również przez usługi oraz obiekty (np. COM+/DCOM).
Kolejna grupa problemów - ściśle wiążąca się z tym, co powiedziano wcześniej - to reglamentacja dostępu do tożsamości uprzywilejowanych. Jeszcze inna wiąże się z monitorowaniem i audytowaniem tego, co zostało za pomocą kont specjalnych zrobione. Rozmawiając z osobami odpowiedzialnymi za bezpieczeństwo w wielu polskich firmach, widać, że to właśnie ten ostatni problem najczęściej skłania do bliższego zainteresowania się tematem. Potrzebują oni przede wszystkim możliwości weryfikacji, co i kto zrobił podczas korzystania z tożsamości specjalnej. Zainteresowanie to potęguje się zwłaszcza wtedy, gdy coś się zepsuło i nie ma winnego.
Wspomniane aspekty, oczywiście, nie wyczerpują całości zagadnienia. Jest to zaledwie ułamek problemów, z którymi możemy mieć do czynienia w związku z tożsamościami uprzywilejowanymi. Powagę sytuacji potwierdzają badania.
Narzędzia o wielu nazwach
Przyglądając się rynkowi, możemy dostrzec różne metody podejścia do złożonego problemu zarządzania kontami. Niektórzy starają się to robić kompleksowo, inni skupiają się na poszczególnych elementach.
Dobrze znany ze swoich analiz instytut Ponemon przeprowadził na grupie ponad 5500 menedżerów IT badania dotyczące ryzyka, z jakim wiążą się tożsamości uprzywilejowane. Bardzo interesujące są wyniki tego badania, które - co warto podkreślić - nie przeprowadzono nie tylko w USA, ale również w 12 innych krajach. Aż 77% ankietowanych uważa, że ze względu na charakter pracy musi korzystać z takich tożsamości. Ponad połowa twierdzi, że uprawnienia specjalne są przyznawane znacznie szerzej niż wynika to z danej roli, według reguły: "dam więcej, żeby nie mówił, że nie działa". Z kolei 41% zadeklarowało, że proces przyznawania uprawnień do kont specjalnych jest realizowany w trybie "ad-hoc" i nie wiąże się z realizacją zdefiniowanych procesów w tym obszarze.
Na rynku w przeciągu kilku ostatnich lat zrobiło się dość tłoczno. Możemy spotkać narzędzia zarówno typu all-in-one, jak i bardziej specjalizowane. Niektóre koncentrują się na zarządzaniu hasłami, inne na monitorowaniu, a jeszcze inne na reglamentacji dostępu. W Polsce do najczęściej spotykanych należą rozwiązania dostarczane przez takich producentów, jak: BeyondTrust, CA, Cyber-Ark, ObserveIT, Quest (dawniej E-DMZ), Xceedium. Ale powoli torują sobie drogę także inni mocni gracze, jak BalaBit, Centrify, czy Lieberman.