Việc triển khai PAM trong một tổ chức đòi hỏi phải xem xét một số khía cạnh, chẳng hạn như sự cân bằng giữa bảo mật và khả năng truy cập dễ dàng, tích hợp với cơ sở hạ tầng CNTT, điều chỉnh chính sách truy cập, đào tạo nhân viên và những thay đổi trong văn hóa doanh nghiệp. Hãy cùng phân tích cách khắc phục vấn đề dựa trên kinh nghiệm của Tập đoàn Solar.
- Giới thiệu
- Giới thiệu về quản lý quyền truy cập đặc quyền
- Phân tích quốc tế về giải pháp PAM
- Những khó khăn về mặt kỹ thuật và tổ chức trong việc triển khai PAM
- Chức năng và khả năng của PAM Solar SafeInspect
- kết luận
Giới thiệu
Với các mối đe dọa mạng ngày càng tăng và các yêu cầu bảo mật dữ liệu nghiêm ngặt, việc triển khai hệ thống Quản lý truy cập đặc quyền (PAM) đang trở thành một phần không thể thiếu trong chiến lược bảo mật thông tin của các tổ chức. Tuy nhiên, giống như bất kỳ công nghệ phức tạp nào, quá trình triển khai PAM không phải là không có thách thức.
Hãy nói về những gì có thể được đưa ra như những giải pháp thiết thực để khắc phục một cách hiệu quả các vấn đề về kỹ thuật và tổ chức. Chúng ta sẽ xem xét các chủ đề về tích hợp, kiểm soát quyền truy cập qua các giao thức khác nhau, đảm bảo trải nghiệm người dùng và giá trị kinh doanh của PAM cũng như những mối lo ngại mà khách hàng có thể có.
Giới thiệu về quản lý quyền truy cập đặc quyền
Gartner định nghĩa PAM làm công cụ bảo vệ những tài khoản cung cấp mức truy cập cao hơn để quản trị hoặc định cấu hình hệ thống và ứng dụng. Hệ thống PAM quản lý quyền truy cập đặc quyền cho mọi người (quản trị viên hệ thống và những người khác) và máy móc (hệ thống hoặc ứng dụng). Gartner xác định bốn loại công cụ PAM chính:
- quản lý phiên và tài khoản đặc quyền (PASM),
- quản lý ủy quyền và leo thang đặc quyền (PEDM),
- quản lý bí mật,
- quản lý đặc quyền cơ sở hạ tầng đám mây (CIEM).
Quản lý quyền truy cập đặc quyền là một chức năng bảo mật quan trọng đối với mọi tổ chức. Thiết bị bảo hộ thông thường không thể thực hiện việc này một cách hiệu quả, vì vậy cần phải có các quy trình và công cụ đặc biệt. Một số trong số chúng cung cấp bảo mật cho tài khoản, một số khác kiểm soát các lệnh kiểm soát do quản trị viên nhập vào.
Để bảo vệ các tài khoản đặc quyền, PAM có thể thường xuyên thay đổi và lưu trữ mật khẩu hoặc khóa, đồng thời đóng vai trò trung gian (nhà môi giới) trong các quy trình đăng nhập hệ thống, khi thông tin đăng nhập được nhập bởi chính hệ thống chứ không phải bởi quản trị viên. Đối với dịch vụ và tài khoản dịch vụ được máy sử dụng, hệ thống PAM đảm bảo rằng thông tin xác thực được xử lý để chúng không bị tiết lộ trong ứng dụng và mã.
Kiểm soát lệnh chỉ cho phép thực hiện một số hành động nhất định và nếu cần, sẽ tạm thời tăng đặc quyền của người dùng.
Tất cả các hệ thống PAM đều cung cấp khả năng hiển thị về việc sử dụng các tài khoản và lệnh đặc quyền bằng cách theo dõi và ghi lại các phiên để kiểm tra sau này.
Hình 1. Mức độ trưởng thành của thực hành PAM và mức độ rủi ro
Sự kết hợp các biện pháp kiểm soát kỹ thuật do hệ thống PAM cung cấp có thể thực thi nguyên tắc đặc quyền tối thiểu, trong đó người dùng chỉ được cấp các đặc quyền cần thiết và chỉ trong suốt thời gian hoạt động.
Phân tích quốc tế về giải pháp PAM
Quy mô thị trường thế giới Ngành quản lý truy cập đặc quyền (PAM) được dự đoán sẽ tăng từ 2,9 tỷ USD vào năm 2023 lên 7,7 tỷ USD vào năm 2028, với tốc độ tăng trưởng hàng năm là 21,5%.
Hình 2. Dự báo tăng trưởng thị trường PAM quốc tế
Thị trường PAM đang mở rộng đáng chú ý, chủ yếu là do sự tiến bộ không ngừng của công nghệ kỹ thuật số và quá trình chuyển đổi sang đám mây. Những lo ngại về việc có thể sử dụng sai mục đích tài khoản và mật khẩu dùng chung cũng góp phần làm gia tăng. Ngoài ra, mối đe dọa ngày càng tăng về cuộc tấn công nội bộ độc hại làm nổi bật nhu cầu cấp thiết về các giải pháp PAM đáng tin cậy. Các quy định pháp lý cũng cung cấp nhu cầu về PAM, từ đó hỗ trợ quỹ đạo đi lên của thị trường.
Nếu chúng ta nói về các chức năng mà hệ thống PAM nên có, thì bạn có thể chú ý đến ý kiến của Gartner (Bảng 1).
Bảng 1. Khả năng PAM
|
Bắt buộc |
|
Quản lý tập trung và cung cấp quyền kiểm soát quyền truy cập đặc quyền, bao gồm quản lý quyền truy cập vào tài khoản và thông tin xác thực đặc quyền, cũng như giám sát việc thực thi các lệnh đặc quyền |
|
Quản lý và sắp xếp quyền truy cập đặc quyền cho người dùng được ủy quyền (chẳng hạn như quản trị viên hệ thống, người vận hành, nhân viên bộ phận trợ giúp, v.v.) trên cơ sở tạm thời |
|
Tiêu chuẩn |
|
Lưu trữ và quản lý thông tin xác thực cho các tài khoản đặc quyền |
|
Kiểm soát leo thang đặc quyền trên hệ điều hành Windows, UNIX/Linux hoặc macOS |
|
Khám phá các tài khoản đặc quyền trên nhiều hệ thống, ứng dụng và nhà cung cấp cơ sở hạ tầng đám mây |
|
Quản trị, giám sát, ghi âm và truy cập các phiên đặc quyền |
|
Khả năng kiểm tra để xác định ai đã sử dụng quyền truy cập đặc quyền và ở đâu |
|
Thêm vào |
|
Quản lý bí mật cho ứng dụng |
|
Quản lý vòng đời của các tài khoản đặc quyền và quyền truy cập đặc quyền từ xa dành cho nhà cung cấp dịch vụ, nhà cung cấp dịch vụ và những người dùng bên ngoài khác yêu cầu quyền truy cập kỹ thuật |
|
Quản lý đặc quyền đúng lúc (JIT) để giảm thiểu thời gian và phạm vi cấp đặc quyền cho người dùng |
|
Quản lý quyền cơ sở hạ tầng đám mây (CIEM) |
Những khó khăn về mặt kỹ thuật và tổ chức trong việc triển khai PAM
Chúng tôi đã nói chuyện với các đồng nghiệp từ Solar Group of Companies và dựa trên kinh nghiệm của họ trong việc triển khai và hỗ trợ hệ thống PAM, chúng tôi đã xác định được các vấn đề về mặt tổ chức và kỹ thuật mà khách hàng thường gặp phải.
Bảng 2. Khó khăn kỹ thuật khi triển khai PAM
|
Vùng đất |
Sự miêu tả |
Giải pháp khả thi |
|
Khó khăn hội nhập |
Sự cần thiết phải hiểu cơ sở hạ tầng mạng của khách hàng |
Tiến hành phân tích kỹ lưỡng cơ sở hạ tầng mạng của khách hàng trước khi triển khai PAM. Phát triển các chiến lược tích hợp riêng lẻ, có tính đến các đặc thù của giao thức mạng và các công cụ bảo mật. Đảm bảo sự hợp tác chặt chẽ với nhóm CNTT của khách hàng để triển khai PAM một cách hiệu quả vào cơ sở hạ tầng hiện có |
|
Khó khăn về cấu hình và tích hợp |
Ví dụ: các sự cố khi giám sát phiên RDP, trong đó giải pháp PAM tạo ra sự cố cho các kết nối, yêu cầu phân tích, chẩn đoán bổ sung và thay đổi chính sách |
Tương tác tích cực với các chuyên gia CNTT của khách hàng để phân tích và giải quyết các vấn đề với phiên RDP. Cung cấp thêm nguồn lực để chẩn đoán và thay đổi chính sách |
|
Sự cố kỹ thuật khi đặt chỗ |
Các vấn đề khi thiết lập cụm chuyển đổi dự phòng yêu cầu các bước bổ sung, chẩn đoán và thậm chí là phỏng đoán về cài đặt ảo hóa của khách hàng |
Tiến hành cấu hình sơ bộ kỹ lưỡng cụm chuyển đổi dự phòng với sự hợp tác chặt chẽ với các chuyên gia kỹ thuật của khách hàng. Cung cấp hướng dẫn chi tiết và tài nguyên chẩn đoán. Cung cấp tư vấn ảo hóa để cấu hình thành công dự phòng |
Nhìn chung, những khó khăn kỹ thuật có thể phát sinh khi triển khai PAM đòi hỏi sự hiểu biết sâu sắc về cơ sở hạ tầng của khách hàng và nỗ lực bổ sung để giải quyết thành công các vấn đề.
Bảng 3. Những khó khăn về tổ chức trong việc thực hiện PAM
|
Vùng đất |
Sự miêu tả |
Giải pháp khả thi |
|
Sự phản kháng từ nhân viên |
Một trong những thách thức tổ chức đầu tiên khi triển khai PAM là sự phản đối của nhân viên. Việc đột ngột đưa ra một hệ thống mới, đặc biệt là trong lĩnh vực quản lý quyền truy cập đặc quyền, có thể gây ra sự phản đối từ những nhân viên đã quen với trật tự cũ |
Hoạt động của hệ thống PAM ở chế độ minh bạch không ảnh hưởng đến quy trình làm việc thông thường. Ở chế độ cầu nối mạng hoặc bộ định tuyến, người dùng không cần đăng nhập thêm hoặc tương tác với hệ thống Solar SafeInspect |
|
Sự không chắc chắn và sợ thay đổi |
Các tổ chức đã quen với các quy trình bảo mật hiện tại có thể phải đối mặt với sự không chắc chắn và lo sợ về những thay đổi liên quan đến việc triển khai PAM |
Điều quan trọng là cung cấp sự hiểu biết rõ ràng về lý do và lợi ích của việc triển khai PAM để giảm bớt những lo ngại tiềm ẩn và chứng minh tính hữu ích của hệ thống mới |
|
Tích hợp với các hệ thống bảo mật hiện có |
Các tổ chức thường phải đối mặt với thách thức tích hợp PAM với các hệ thống bảo mật hiện có. Thiếu tính nhất quán giữa PAM và các công cụ bảo mật thông tin khác có thể cản trở việc quản lý và kiểm soát đặc quyền hiệu quả |
Lập kế hoạch và phối hợp tích hợp trở thành yếu tố quan trọng để vượt qua thách thức này |
|
Thiếu hiểu biết rõ ràng về mục tiêu thực hiện |
Nếu mọi người trong tổ chức không hiểu tại sao hệ thống PAM lại được triển khai và nó mang lại lợi ích gì thì sẽ có nguy cơ hiểu sai các mục tiêu. Điều này có thể dẫn đến sự hỗ trợ không đầy đủ từ nhân viên và thậm chí là phá hoại nội bộ. |
Đảm bảo rằng các mục tiêu được truyền đạt rõ ràng sẽ trở thành một yếu tố quan trọng để thực hiện PAM thành công. |
|
Khó khăn trong việc phát triển và thực hiện các chính sách bảo mật |
Việc tạo và triển khai các chính sách bảo mật hiệu quả để quản lý quyền truy cập đặc quyền đòi hỏi phải lập kế hoạch cẩn thận và các quy tắc nhất quán. |
Xây dựng các quy tắc rõ ràng để thực hiện hoặc chuyển đổi sang PAM |
|
Quản lý thay đổi và thích ứng với các quy trình mới |
Việc chuyển đổi sang hệ thống quản lý quyền truy cập đặc quyền mới yêu cầu tổ chức phải quản lý sự thay đổi |
Nhân viên phải được chuẩn bị để thích ứng với các quy trình mới, điều này đôi khi gây ra sự phản kháng và đòi hỏi một chiến lược quản lý thay đổi hiệu quả |
|
Thiếu đào tạo và cập nhật thường xuyên |
Bảo mật thông tin không ngừng phát triển và việc thiếu đào tạo và cập nhật thường xuyên cho nhân viên có thể tạo ra lỗ hổng trong hiểu biết và sử dụng hệ thống PAM |
Các chương trình đào tạo và cập nhật thường xuyên là chìa khóa để giải quyết thành công vấn đề này. |
|
Mức độ liên quan đến kinh doanh của PAM |
Chịu trách nhiệm cao về hoạt động chính xác vì quyền truy cập vào máy chủ bảo mật được cung cấp thông qua PAM |
Thiết lập các giao thức và thủ tục hỗ trợ nghiêm ngặt, bao gồm giám sát và kiểm toán thường xuyên. Cung cấp đào tạo cho nhân viên khách hàng về cách sử dụng hiệu quả PAM. Xây dựng kế hoạch khắc phục thảm họa để giảm thiểu thời gian ngừng hoạt động |
Vượt qua các rào cản của tổ chức đòi hỏi những nỗ lực tập trung, bao gồm đào tạo nhân viên, chính sách bảo mật rõ ràng và quản lý thay đổi hiệu quả. Việc triển khai thành công PAM có thể cải thiện đáng kể tính bảo mật thông tin và bảo vệ quyền truy cập đặc quyền, điều này đang trở thành một yếu tố quan trọng của chiến lược an ninh mạng hiện đại.
Chức năng và khả năng của PAM Solar SafeInspect
Solar SafeInspect là giải pháp quản lý tài khoản đặc quyền (PAM) giúp giảm rủi ro bảo mật thông tin và cung cấp khả năng kiểm soát truy cập cho người dùng đặc quyền. Hãy xem xét các khả năng chính của nó (Hình 3).
Hình 3. Các tính năng chính của Solar SafeInspect
Sản phẩm cung cấp khả năng cách ly (ủy quyền) các phiên đặc quyền, ngăn chặn quyền truy cập trực tiếp vào các hệ thống quan trọng. Hoạt động của người dùng đặc quyền được theo dõi theo thời gian thực, có khả năng làm gián đoạn hoạt động. Các công cụ có sẵn để phát hiện và phân tích thông tin nhằm giúp bạn điều tra và ứng phó với các mối đe dọa tiềm ẩn trước khi chúng được kích hoạt.
Hệ thống tự động phát hiện tất cả người dùng có đặc quyền nâng cao, phản hồi nhanh chóng những thay đổi về quyền. Quyền truy cập chi tiết dựa trên chính sách bảo mật mang lại sự linh hoạt về cấu hình dựa trên vai trò của người dùng. Có thể tạo một cơ sở lưu trữ an toàn và biệt lập, được bảo vệ khỏi sự truy cập trái phép vào hồ sơ.
Hình 4. Sơ đồ hoạt động Solar SafeInspect
Solar SafeInspect tích hợp và tương tác với Solar inRights (IGA/IdM), tạo ra giải pháp toàn diện để bảo mật và quản lý hiệu quả các tài khoản đặc quyền. Trong kịch bản này, Solar inRights cung cấp các khả năng quan trọng bổ sung cho chức năng của Solar SafeInspect: quản lý quyền truy cập tự động dựa trên các sự kiện trong hệ thống nhân sự, phân định quyền truy cập dựa trên vai trò và mô hình vai trò, khả năng kiểm tra và kiểm tra nâng cao, bao gồm chứng nhận lại quyền và ma trận các quyền xung đột (SOD).
Cả hai giải pháp đều tích hợp với hệ thống quản lý dịch vụ CNTT (ITSM), hệ thống quản lý tài liệu và các công cụ bảo mật khác nhau (SSO, SIEM, PKI, hệ thống kiểm soát truy cập, DLP, chống gian lận, DCAP). Đồng thời, Solar inRights hỗ trợ tự động hóa các quy trình cấp, thay đổi và kiểm soát quyền truy cập và Solar SafeInspect cung cấp bảo mật trong lĩnh vực tài khoản đặc quyền.
Việc sử dụng Solar SafeInspect (PAM) cùng với Solar inRights (IGA/IdM) cung cấp một giải pháp toàn diện không chỉ quản lý hiệu quả các tài khoản đặc quyền mà còn triển khai quản lý nhất quán toàn bộ vòng đời truy cập của người dùng. Sự kết hợp này cung cấp mức độ bảo mật, tự động hóa và minh bạch cao trong việc quản lý tài sản thông tin. Sự hỗ trợ từ các kỹ sư của Solar Group có thể giúp giải quyết một số vấn đề phức tạp và thường gặp nhất khi triển khai PAM và nhân rộng nó trên toàn bộ tổ chức.
kết luận
Ngày nay, các sản phẩm Quản lý quyền truy cập đặc quyền (PAM) đang trở thành một phần không thể thiếu trong chiến lược bảo mật thông tin của các tổ chức. Tuy nhiên, dù được sử dụng rộng rãi nhưng nhiều doanh nghiệp vẫn gặp khó khăn trong việc triển khai. Trong bối cảnh này, một số nhà cung cấp giải pháp PAM giải quyết các thách thức thành công hơn những nhà cung cấp khác.
Xu hướng chính trong lĩnh vực quản lý quyền truy cập đặc quyền là chuyển từ kiểm soát đơn lẻ, thủ công, phi tập trung sang các hệ thống phức tạp và thích ứng hơn. Các tổ chức đang tìm cách mở rộng khả năng PAM để bao gồm hỗ trợ khám phá tài khoản và quản lý danh tính máy. Một đặc điểm quan trọng của giải pháp PAM hiện đại là khả năng ghi lại phiên, thay thế và ẩn thông tin xác thực, góp phần kiểm soát các đặc quyền cẩn thận hơn.
Trước những xu hướng và thách thức này, các doanh nghiệp đánh giá cẩn thận nhu cầu bảo mật của mình và chọn giải pháp PAM phù hợp nhất với yêu cầu và quy trình kinh doanh của mình. Trong phân khúc PAM của thị trường bảo mật thông tin, những người tham gia mới đang nổi lên, mở rộng phạm vi giải pháp sẵn có cho các tổ chức. Solar Group, công ty kiến trúc về an ninh mạng toàn diện cung cấp sự bảo vệ cho hơn 850 công ty lớn nhất của Nga, cũng đang tham gia phát triển phân khúc này, hứa hẹn những triển vọng mới trong lĩnh vực quản lý quyền truy cập đặc quyền.
