Administración de identidad privilegiada
|
Este artículo tiene varios problemas. Por favor ayuda mejorar o hablar de estos temas en la la página de discusión. (Aprender cómo y cuándo quitar estos mensajes de plantilla)
(Aprender cómo y cuándo quitar este mensaje de plantilla)
|
Administración de identidad privilegiada (PIM) es un dominio dentro de gestión de la identidad centrado en las necesidades especiales de las cuentas de gran alcance dentro de la infraestructura de TI de una empresa. Se utiliza con frecuencia como un seguridad de la información y gobernanza herramienta para ayudar a las empresas en reunión cumplimiento de normas Reglamento y para evitar que la interna violaciones de datos mediante el uso de cuentas privilegiadas. La gestión de identidades privilegiadas puede automatizarse para seguir políticas determinadas o modificado para requisitos particulares y los requisitos para una organización o industria.
Véase también gestión de contraseñas privilegiada – puesto que la estrategia habitual para fijar identidades privilegiadas es revolver periódicamente sus contraseñas, firmemente almacenar valores de contraseña actual y controlar la divulgación de las contraseñas.
Participantes en el mercado diferentes se refieren a productos en esta categoría, utilizando terminología similar pero distinta. Como resultado, algunas firmas de analistas denominan a este mercado "PxM" que indica varias posibles palabras para "x":
- Gestión de acceso privilegiado
- Gestión de usuarios con privilegios
- Administración de cuentas privilegiadas
- Administración de identidad privilegiada
- Gestión de contraseñas privilegiada
- Seguridad de la cuenta con privilegios
El punto común es que un marco compartido controla el acceso de usuarios autorizados y otras identidades a privilegios elevados en múltiples sistemas en una organización.
Contenido
- 1 Requisito especial de identidades privilegiadas
- 2 Riesgos de identidades privilegiadas no administrados
- 3 Software
- 4 Referencias
- 5 Acoplamientos externos
Requisito especial de identidades privilegiadas
Una tecnología de administración de identidad privilegiada debe adaptarse a las necesidades especiales de las cuentas privilegiadas, incluyendo su provisión y gestión del ciclo de vida, autenticación de, autorización, gestión de contraseñas, auditoría y controles de acceso.
- Gestión de aprovisionamiento y ciclo de vida – se encarga de los permisos de acceso de un usuario a cuentas privilegiadas compartido/genérico basado en roles y políticas.
- Nota: incorporadas cuentas privilegiadas no son normalmente gestionadas mediante un sistema de gestión de identidad (privilegiado o no), ya que estas cuentas son automáticamente cuando un sistema operativo, base de datos, etc. primero se instala y dado de baja junto con el dispositivo o sistema.
- Autenticación de
- Primer caso de uso – autenticación de control en las cuentas privilegiadas, por ejemplo cambiando regularmente sus contraseñas.
- Segundo uso – autenticación de control en un sistema de gestión de acceso privilegiado, de que un usuario o aplicación puede "revisa" el acceso a una cuenta con privilegios.
- Autorización, controlar qué usuarios y qué aplicaciones se permitieron el acceso a que cuentas privilegiadas o privilegios elevados.
- Primer uso caso – acceso autorizado previamente ("estos usuarios pueden utilizar estas cuentas en estos sistemas cualquier momento.").
- Segundo caso – acceso una sola vez de uso ("estos usuarios pueden solicitar el acceso a estas cuentas en estos sistemas, pero dichas solicitudes para el acceso a corto plazo deben ser primero aprobadas por...").
- Gestión de contraseñas – programados y cambios de contraseña activada por eventos y reglas de complejidad de contraseña, todos los valores contraseña nueva aplicación a cuentas privilegiadas.
- Caja fuerte de contraseñas – almacenamiento de contraseñas de la cuenta con privilegios en una cámara acorazada. Mientras que por lo general codificado, esto sigue siendo un punto potencial de ataque. El SMRTe es uno del único acceso privilegiado sistemas de gestión que no requiere una caja fuerte de contraseñas.
- Auditoría – ambos registros de eventos (que accede que representan, Cuándo, etc.) y la captura de sesión (record/replay lo que sucedió durante una sesión a una cuenta determinada?).
- Controles de acceso – Control de lo que puede hacer un usuario, conectado a una cuenta privilegiada dada, en un sistema dado. Dos principios de diseño deben equilibrarse aquí: la principio de privilegio mínimo y un deseo de reducir al mínimo la necesidad de desarrollar y mantener las normas de control de acceso complejo.
- Sesión de grabación – la capacidad de registro acceso a cuentas privilegiadas es vital tanto desde una perspectiva de seguridad y cumplimiento.
- Aislamiento de la sesión – control del acceso a cuentas privilegiadas con una sesión de proxy (o servidor de salto de próxima generación) puede prevenir problemas tales como Pass-the-hash propagación de malware y ataques.
Riesgos de identidades privilegiadas no administrados
Identidad privilegiada no administrado puede ser explotado por los iniciados y los atacantes externos. Si ellos no son supervisados, rendir cuentas, y activamente controlados, que los iniciados, incluyendo a los administradores de sistema, pueden robar información sensible o causar un daño significativo a los sistemas.
Un informe de 2009 elaborado por un Comité del Congreso de Estados Unidos por Northrop Grumman Corporation[1] detalles de cómo Estados Unidos corporativos y redes de gobierno son comprometidas por los atacantes extranjeros que explotan identidad privilegiada. Según el informe, "gobierno de Estados Unidos y la información del sector privado, una vez inalcanzable o que requieren años de preparación de caro activos tecnológicos y humanos para obtener, ahora se pueden acceder, inventariado y robado con comparativa facilidad utilizando herramientas de operaciones de red de computadoras."
Los intrusos perfilados en el informe combinan vulnerabilidades de día cero desarrolladas internamente con hazañas sociales inteligentes para acceder a equipos individuales dentro de redes específicas. Una vez que un solo equipo está comprometido, los atacantes explotan "altamente cuentas con privilegios administrativas" en toda la organización hasta que la infraestructura se asigna información sensible puede ser extraída con la suficiente rapidez para burlar medidas de seguridad convencionales.
Las contraseñas de la cuenta con privilegios que son aseguradas por un marco de administración de identidad privilegiada para ser criptográficamente compleja, había cambiado con frecuencia y no compartido entre oferta de sistemas y aplicaciones independiente a fin de mitigar la amenaza a otros equipos que se presenta cuando un solo sistema en una red se vea comprometido.[2]
Software
Porque común gestión de acceso a la identidad Marcos no gestionar ni controlar identidad privilegiada,[3] software de administración de identidad privilegiada comenzó a emerger después del año 2000.
Entre las razones para una categoría especial de software para acceso seguro a cuentas privilegiadas (en lugar de utilizar soluciones de gestión de identidad y acceso "genéricas"):
- En un sistema típico de IAM, hay unos sistemas integrados, pero miles de identidades administradas en cada uno.
- En cambio, en un típico PAM sistema, hay miles de sistemas gestionados, pero sólo unas pocas identidades administrados en cada uno.
- IAM sistemas están diseñados para crear o eliminar identificadores y administrar sus derechos de seguridad.
- En cambio, en un sistema típico de PAM, compartido, ID privilegiada ya existe, y es el acceso a ellos (por los usuarios que ya tienen identificadores) que se administra.
- Los derechos concedidos en un sistema típico de IAM se conceden sobre una base permanente, persistente. "Usuario X tendrá derecho Y de ahora en adelante".
- En cambio, en un sistema típico de PAM, el acceso a cuentas privilegiadas o se conceden privilegios elevados para windows de tiempo muy corto (del orden de minutos de horas), tiempo suficiente para realizar una tarea.
Entornos de software de administración de identidad privilegiada administración cada uno de los requisitos especiales mencionados anteriormente incluyendo discovery, autenticación, autorización, gestión de contraseñas con cambios programados, auditoría, generación de informes y controles de acceso. Los marcos generalmente requieren los administradores ver las contraseñas de la cuenta con privilegios antes de cada uso, provocando solicitantes para documentar el motivo de cada acceso y volver a aleatorizaba la contraseña inmediatamente después de su uso. Incluso después de iniciar sesión, acciones de administrador se gestionan mediante controles de acceso.
Al hacerlo, software de administración de identidad privilegiada puede protegerse contra indocumentado acceso a opciones de configuración y datos privados, hacer cumplir las disposiciones de las prácticas de gestión de servicio IT como ITIL,[4] y auditoría definitivo para demostrar el cumplimiento de estándares tales como HIPAA § 45 164.308(1)(D) y PCI-DSS 10.2. Asimismo, los marcos más avanzados también realizan descubrimiento de servicios interdependientes, sincronización de cambios de contraseña entre cuentas interdependientes para evitar interrupciones de servicio que resultan lo contrario.[5]
Referencias
- ^ Capacidad de la República Popular de China para llevar a cabo la guerra cibernética y la explotación de red de computadora de Northrop Grumman Corporation
- ^ Administran cuentas privilegiadas: Una nueva amenaza para sus datos sensibles por Chris Stoneff
- ^ Behr, Kim y Spafford, "El manual de Ops Visible," p. 28.
Acoplamientos externos
- Cloud Computing Journal "Requisitos para la nueva generación el privilegio de gestión de la identidad"Octubre de 2013
- Gobierno seguridad News"Protección de última generación para el híbrido federal Cloud"Octubre de 2013
- Wall St. Journal "La mayor amenaza de seguridad cibernética puede ser su propio personal"De junio de 2012
- Wall St. Journal "Malware objetivos vulnerables administrador cuentas"De junio de 2012
- Cloud Security Alliance "Guía de implementación SecaaS, categoría 1: Identidad y gestión de acceso"De septiembre de 2012