Uprzywilejowani i kontrolowani
- Patryk Królikowski,
- 08.06.2012, godz. 09:00
Wymagana funkcjonalność
Czego więc możemy spodziewać się po rozwiązaniach do zarządzania kontami?
Sercem narzędzi jest zarządzanie uprawnieniami. Sposoby podejścia do tego zagadnienia również są zróżnicowane. Niektórzy traktują tę część jako trzon, wokół którego dobudowuje się poszczególne funkcjonalności. Są to zatem zaawansowane sejfy, które w mniej lub bardziej złożony sposób pozwalają przede wszystkim bezpiecznie przechowywać poświadczenia i generować nowe hasła, czy wydawać je uprawnionym do tego osobom. Bardziej zaawansowane rozwiązania znacznie wykraczają poza funkcje sejfów. Pozwalają na zbudowanie procesu, w oparciu o który możliwe jest manipulowanie poświadczeniami i decydowanie: kto, kiedy, na jak długo oraz w jakim celu otrzyma do nich dostęp. Udostępniają także API, które pozwala na szerokie spektrum integracji, na przykład z katalogiem LDAP, rozwiązaniami SIEM, Service Desk, czy wieloelementowe uwierzytelnianie.
Rozwiązania PIM powinny także umożliwiać zarządzanie kontami, którymi nie posługują się ludzie, ale usługi czy inne obiekty. Wspominaliśmy, że jedną z funkcji sejfów jest egzekwowanie polityki haseł. Ta może wymagać, aby hasła dla kont specjalnych były jednokrotnego użytku. To z kolei powoduje, że po każdym użyciu do konta powinno zostać wygenerowane nowe hasło. Jeżeli takie konto wykorzystywane jest w wielu miejscach (np. usługach), musimy mieć pewność, że zmiana zostanie rozpropagowana wszędzie. Przykładowo, jeden z analityków zatrudnionych w instytucji finansowej w rozmowie z tygodnikiem "Network World" powiedział, że hasła administracyjne posiadanego serwera BES (BlackBerry Enterprise Server) są wykorzystywane w 28 różnych usługach. Odnalezienie wszystkich usług i ręczna synchronizacja haseł spowodowałaby konieczność wyłączenia systemu z produkcji na pewien czas.
• Wykrywanie kont uprzywilejowanych w organizacji.
• Wzmocnienie zarządzania kontami uprzywilejowanymi (współdzielonymi) oraz opartego na rolach procesu wnioskowania i przydzielania uprawnień.
• Bezpieczne przechowywanie poświadczeń.
• Automatyzowanie procesu generowania i zmiany poświadczeń.
• Integrację z innymi systemami (np. IDM, SIEM, uwierzytelniania, service desk).
• Audytowanie działań prowadzonych z wykorzystaniem kont specjalnych.
• Monitorowanie i kontrolę sesji.
• Kontrolę operacji (w tym np. przesyłania plików) w ramach sesji.
Indeksowanie polega na zapisywaniu dodatkowych metadanych, jak np. wydane polecenia, zmiany wprowadzone w plikach. Warto też zwrócić uwagę, czy takie indeksowanie jest możliwe zarówno wobec systemu *nix (i jakich), jak i Windows. W przypadku zwykłych rejestratorów wideo sprawdzenie konkretnej aktywności wymaga przejrzenia całego nagrania, które może trwać od kilku minut do kilku godzin. Należy również zaznaczyć, że od strony wymagań technicznych monitorowanie pomiędzy produktami również może znacząco się różnić. Najbardziej wyrazisty przykład, to podejście wymagające instalacji agentów lub bezagentowe.