Felügyelni a lehetetlent
Gyakori probléma, hogy a rendszereket üzemeltető informatikai személyzet a mindennapi munkája során az indokoltnál sokkal szélesebb jogkörökkel rendelkező hozzáféréseket biztosító felhasználói fiókok segítségével végzi a napi üzemeltetési tevékenységet. Ez pedig lehetőséget teremt vétlen vagy szándékos visszaélések, szabotázsok elkövetésére, a bizalmas információkhoz való illetéktelen hozzáférésre.
Az adminisztrátori jogkörrel végrehajtott visszaélések, jogosulatlan információszerzések az esetek többségében nem tudódnak ki, hiszen azokat a nyomokat, amelyek az incidens felfedezéséhez vezetnének az adminisztrátori jogot birtokló rendszergazda képes manipulálni, törölni.
A kontrollálatlan rendszergazdai hozzáférések kockázatának csökkentésére cégünk, az InnoMatrix Services Kft. egy saját megoldást fejlesztett ki, amelyet IdMatrix PUM néven forgalmaz.
Mi az a PUM?
A PUM (Privileged User Management) széles körű jogosultságokkal – jellemzően rendszergazdai, root vagy superuser – rendelkező hozzáférési fiókok felügyeletét biztosító szoftver. Célja, hogy a jelentős kockázatot hordozó hozzáférések esetében kikényszerítse a négy szem elv (four eyes) és szerepkörkizárás (SoD) biztonsági szempontok alkalmazását, mindezt integrálva egy előre definiált folyamatba.
PUM a gyakorlatban
A termék alkalmazása a gyakorlatban azt jelenti, hogy a privilegizált felhasználói fiókok felügyeletét és menedzsmentjét a PUM szoftver veszi át. Ez a szoftver biztosítja a különböző rendszergazdai fiókok használatához szükséges igénylési és többszintű engedélyezési folyamatot, lehetővé teszi a jelszavak kezelését, a hozzáférések kiosztását, visszavonását, valamint a hozzáférés ideje alatt a tevékenység rögzítését.
Amennyiben az üzemeltető személyzet tervezett karbantartást végez és szüksége van a karbantartás idejére egy vagy több rendszerhez rendszergazdai hozzáférésre, a PUM rendszeren keresztül elindítanak egy igénylési folyamatot, amelyben megadják, mely rendszerekhez milyen szintű hozzáférésre van szükségük. Az igénylés során – a négy szem elv teljesülése érdekében – szükséges megadni mindkét szakembert, akik a feladatot közösen fogják végezni, továbbá a jogosultság birtoklásának időintervallumát.
A rendszer a jogosultságok igénylésekor képes figyelembe venni SoD szabályokat is, így például megvalósíthatók jogosultságkizárási, illetve felhasználókizárási funkciók is.
Az igénylés többszintű jóváhagyási folyamaton megy keresztül, amelyben jóváhagyó lehet a Change Manager, illetve a biztonsági vezető is. Ha minden jóváhagyói szinten pozitív a válasz, az igénylés alanyai automatizált módon megkaphatják a hozzáférést.
Az igénylésben szereplő rendszergazdai hozzáféréshez szükséges hitelesítési adatok kiküldése néhány perccel a jogosultság kezdetének életbelépése előtt történik meg, megosztva az igénylésben megnevezett személyek között. A hozzáférés megosztásával a feladat idejére mindkét személy jelenléte megkövetelhető, ami a tevékenység technikai rögzítése mellett erősebb kontrollt is biztosít. A jogosultság visszavonása az igényelt határidő leteltével azonnal megvalósul, az érintett rendszergazdai fiók automatikus kijelentkeztetésével történik.
A termék audit támogatása fejlett, számos riport segítségével nyomon követhető, mi történt korábban, milyen időszakban, kik adminisztrálták az integrált erőforrásokat.
PUM bevezetési folyamata
A megvalósítás alapját kétlépcsős folyamat biztosítja:
- jogosultságracionalizálás: ennek keretében megtörténik a meglévő privilegizált jogosultság kiosztási metodika felülvizsgálata, a kritikus változtatással járó beavatkozások szétválasztása a napi üzemeltetési tevékenységektől, és a szükséges változtatások végrehajtása ahhoz, hogy utóbbiakat a PUM használata nélkül lehessen továbbra is végrehajtani, míg előbbiek kezelése PUM által felügyelten történjen.
- PUM bevezetése: a termék telepítése és testreszabása.
Támogatott rendszerek
- Címtár: MS AD, LDAP
- Hálózat: Cisco
- ERP rendszer: SAP, Oracle
- Operációs rendszer: Windows, Linux, Unix
- Adatbázis: (Oracle, DB2, MSSQL, MySQL)
- Egyedi rendszerek