Kiedy w czerwcu 2013 roku Edward Joseph Snowden mył stopy w zlewie na lotnisku Szeremietiewo, myślał zapewne o dwóch rzeczach: zastanawiał się, kiedy wreszcie znajdzie się w Wenezueli i jak bardzo dość ma siedzenia w tej cholernej Moskwie oraz, że jego losy to gotowy scenariusz na film i fajnie jak by go zagrał jakiś przystojny aktor. Może Fabio albo jakiś młody Arnold Schwarzenegger nie daj Boże jakaś ciamajda w stylu Josepha Gordona-Levitt-a. Zdjął zaparowane okulary. Patrzył w swą ciągle jeszcze młodą, teraz zmęczoną wiecznymi podróżami twarz, nie zdawał sobie sprawy, że zapoczątkował boom na trend w Cyberbezpieczeństwie – zarządzenie kontami uprzywilejowanymi.


Co to jest PIM? Co to jest PAM? Co to jest PSM? Co to jest zarządzanie kontami uprzywilejowanymi?

Czy polityki dostępu oraz priorytetyzacja uprawnień istniały przed Snowdenem? Ależ oczywiście, ale niewątpliwie jego perypetie śledzone przez telewizje całego świata uzmysłowiły decydentom, ile może zrobić techniczna osoba z dostępem do wrażliwych informacji. Zwłaszcza jeżeli współtworzy systemy, które mają śledzić dosłownie wszystkich. Zaczęto zauważać problem dostępów administracyjnych. Rozumieć potrzebę uregulowania tego problemu. Przede wszystkim narzędzia do zarządzania kontami uprzywilejowanymi zaczęły być postrzegane jako zabezpieczenia przed zagrożeniami wewnętrznymi (insider threats). Bicz Boży na Administratorów, a nie jako narzędzia do kontroli uprawnień. Na przestrzeni kilku dosłownie lat systemy do zarządzania tożsamością uprzywilejowaną stały się numerem jeden na liście wymagań działów bezpieczeństwa każdej większej organizacji.

Tożsamości uprzywilejowane to upraszczając, wszelkiego rodzaju konta z wysokim poziomem uprawnień, typu administrator, root, DBA itp. Do kont tych z reguły nie są przywiązane konkretnej osoby, tzn. przywiązane są grupy osób najczęściej administratorów danego systemu dziedzinowego. Często takie konta wykorzystywane są nie przez ludzi, ale również przez usługi oraz obiekty systemów informatycznych (konta aplikacyjne).

Konta uprzywilejowane wymykają się centralnym mechanizmom zarządzania i omijają wymagania polityki bezpieczeństwa. Przede wszystkim kuleje przestrzeganie polityki zmiany haseł. Nagminne jest udostępnianie takich kont w chwili awarii z ominięciem procedur.
Ponieważ to z reguły firmy zewnętrzne są zobligowane umowami do dokonywania napraw w infrastrukturze IT, oddawane są w chwilach kryzysowych uprawnienia, które stanowią „klucz do królestwa”.


Co to jest PIM? Co to jest PAM?

Podstawową funkcjonalnością tych narzędzi jest zarządzanie uprawnieniami. Realizowane jest poprzez PAAM (Privileged Account Activity Management), nazywany czasem PIM (Privileged Identity Management).
Są to zatem zaawansowane elektroniczne sejfy (zabezpieczone serwery), które pozwalają przede wszystkim bezpiecznie przechowywać poświadczenia i generować nowe hasła, czy zarządzać wydawaniem haseł uprawnionym do tego osobom. I to jest podstawowa funkcjonalność. Metaforycznie mówiąc narzędzie pozwala zabrać karteczkę z hasłem do bazy przyklejoną pod monitorem i umieścić ją w elektronicznym sejfie, do którego wnioskujemy o hasło. Niektóre rozwiązania wykraczają poza funkcje sejfów. Pozwalają na zbudowanie procesu, w oparciu o który możliwe jest budowanie zarządzania poświadczeniami i decydowanie: kto, kiedy, na jak długo oraz w jakim celu otrzyma do nich dostęp. Na rynku dostępne są również PIM-y udostępniające API, które pozwala na szerokie spektrum integracji, na przykład z katalogiem LDAP, rozwiązaniami SIEM, Service Desk, czy na multifaktorowe uwierzytelnianie.

Rozwiązania PIM/PAM powinny także umożliwiać zarządzanie kontami, którymi nie posługują się ludzie, ale usługi czy inne obiekty infrastruktury informatycznej. Potrzebne jest to wtedy, kiedy aplikacja rozmawia z aplikacją i potrzebuje się uwierzytelnić. Takie sytuacje również powinniśmy monitorować.


Co to jest PSM?

Drugą podstawową funkcjonalnością jest monitorowanie dostępu. Mówimy o PSM (Privileged Session Monitoring). W tej funkcjonalności chodzi przede wszystkim o rejestrowanie i monitorowanie samej sesji uprzywilejowanej.
Niektóre rozwiązania dostępne na rynku nagrywają pełne filmy (w postaci plików wideo). Inne robią zrzuty ekranu tylko wtedy, gdy jest odnotowywana jakaś aktywność. Warto tutaj pamiętać o przestrzeni koniecznej do magazynowania nagrań. Część narzędzi jest bardzo oszczędna (kilka/kilkanaście MB na nagranie), lecz pozostałe już niekoniecznie. W dużych środowiskach może być wymagane nawet kilka TB do przechowywania nagrań. Druga sprawa to możliwości przeszukiwania nagrań. Są rozwiązania, które mają mechanizmy indeksowania sesji, jak i takie, które prowadzą tylko i wyłącznie rejestr wideo. Indeksowanie polega na zapisywaniu dodatkowych metadanych, jak np. wydane polecenia, zmiany wprowadzone w plikach.

Ostatnie 6 lat (od Snowdena) zmieniły Polski rynek i właściwie możemy mówić o tym, że rozwiązania z tego obszaru są dojrzałe i szeroko znane. Mamy lidera rynku, mamy firmy z dużym potencjałem, mamy polskiego silnego gracza. Może teraz warto by było pokusić się o zintegrowane podejście? Ale o tym w innym artykule.