Problem z przywilejami

Dla administratora odpowiedzialnego za bezpieczeństwo prawdziwą udrękę stanowią tzw. tożsamości uprzywilejowane, a więc wszelkiego rodzaju konta z wysokim poziomem uprawnień, typu administrator, root, DBA itp. Możemy sobie wyobrazić przynajmniej kilka grup poważnych problemów z nimi związanych. Pierwsza wiąże się z zarządzaniem. Specyfika kont uprzywilejowanych polega na tym, że - w przeciwieństwie do "normalnych" - nie są przywiązane do konkretnej osoby, co oznacza, że do konta root może mieć dostęp równie dobrze jedna, jak i dwadzieścia osób. Zdarza się również, że takie konta specjalne są wykorzystywane nie tylko przez ludzi, ale również przez usługi oraz obiekty (np. COM+/DCOM).

Do częstych należą również sytuacje, kiedy konta uprzywilejowane wymykają się centralnym mechanizmom zarządzania i omijają wymagania polityki bezpieczeństwa. Przykładem takich odstępstw może być choćby nieprzestrzeganie polityki zmiany haseł. Mogą to być również sytuacje udostępniania takich kont ad-hoc - z reguły, jeżeli potrzebny jest do nich dostęp, to zwykle natychmiast, a więc z ominięciem procedur. Pół biedy, jeżeli konta specjalne byłyby wykorzystywane tylko przez pracowników organizacji. Specyfika funkcjonowania współczesnych firm sprawia jednak, że coraz więcej zadań związanych z utrzymaniem i zarządzaniem infrastrukturą spoczywa w rękach firm zewnętrznych. A skoro tak, to oni również będą potrzebowali dostępu do kont specjalnych.

Kolejna grupa problemów - ściśle wiążąca się z tym, co powiedziano wcześniej - to reglamentacja dostępu do tożsamości uprzywilejowanych. Jeszcze inna wiąże się z monitorowaniem i audytowaniem tego, co zostało za pomocą kont specjalnych zrobione. Rozmawiając z osobami odpowiedzialnymi za bezpieczeństwo w wielu polskich firmach, widać, że to właśnie ten ostatni problem najczęściej skłania do bliższego zainteresowania się tematem. Potrzebują oni przede wszystkim możliwości weryfikacji, co i kto zrobił podczas korzystania z tożsamości specjalnej. Zainteresowanie to potęguje się zwłaszcza wtedy, gdy coś się zepsuło i nie ma winnego.

Wspomniane aspekty, oczywiście, nie wyczerpują całości zagadnienia. Jest to zaledwie ułamek problemów, z którymi możemy mieć do czynienia w związku z tożsamościami uprzywilejowanymi. Powagę sytuacji potwierdzają badania.

Narzędzia o wielu nazwach

Przyglądając się rynkowi, możemy dostrzec różne metody podejścia do złożonego problemu zarządzania kontami. Niektórzy starają się to robić kompleksowo, inni skupiają się na poszczególnych elementach.

Również nazewnictwo stwarza pewne problemy. Jedni (np. Gartner) mówią o rozwiązaniach PAAM (Privileged Account Activity Management), inni o PIM (Privileged Identity Management). Natomiast, jeśli skupiamy się na monitorowaniu, to będziemy myśleli o narzędziach PSM (Privileged Session Monitoring). Jednak bez względu na nomenklaturę, celem jest: kontrola kont specjalnych, automatyzacja ręcznych do tej pory procesów, a także audyt i monitorowanie aktywności prowadzonych za pomocą tych kont.

Na rynku w przeciągu kilku ostatnich lat zrobiło się dość tłoczno. Możemy spotkać narzędzia zarówno typu all-in-one, jak i bardziej specjalizowane. Niektóre koncentrują się na zarządzaniu hasłami, inne na monitorowaniu, a jeszcze inne na reglamentacji dostępu. W Polsce do najczęściej spotykanych należą rozwiązania dostarczane przez takich producentów, jak: BeyondTrust, CA, Cyber-Ark, ObserveIT, Quest (dawniej E-DMZ), Xceedium. Ale powoli torują sobie drogę także inni mocni gracze, jak BalaBit, Centrify, czy Lieberman.