PIM? PAM?….. IAM とは何か違う?
PIM、PAM、IAM の略語に入る前に、まず基本について少し説明しましょう。はい、心配しないでください。できるだけシンプルにしますので、できるだけ読んで楽しむことができます。
簡単な部分に分解し、認証について知っていることから始めて流れに沿って進み、この記事の行をさらに進めていくときに特定の用語が何であるかを理解できるようにします.
認証とは基本的に、誰かまたは何かが実際に誰であるか、または彼らが主張するものであるかを判断するプロセスであることは誰もが知っています。その特定のフライトに乗ることを要求しています。
ただし、認証と認証は 2 つの異なるものであることを常に覚えておいてください。一方が身元を特定して検証する間、もう一方はリソースへのアクセス許可を付与します。覚えておいてください、それらは異なります。
それでは、IAM または Identity Access Management とは何かについて少し話しましょう。
Identity Access Management (IAM) は基本的に、適切なタイミングで適切なリソースへのアクセスを提供しながら、ID を統合および管理するための効率的な方法です。したがって、別の意味では、IAM は認証と承認の両方を使用するため、両方の長所を活用していると言えます。
バニラアイスクリームとチョコレートシロップの相性は最高
カバーする必要のある前提条件をカバーしたので、ようやく実際のトピックに移ることができます。
PIM と PAM とは何かを説明する前に、まず、PIM と PAM は IAM とは完全に異なる概念ではなく、どちらも Identity Access Management のサブセットであることを理解する必要があります。これは IAM のサブセットですが、互いに分離して設定できる理由を強調するさまざまなシナリオがありますが、この記事を進める中でそれについて説明します。
Privileged Identity Management ( PIM ) は、企業の IT インフラストラクチャ内のスーパーユーザー アカウントの監視、管理、および保護として知られる、高度な特権アクセスを処理する特定の要件に対処するセキュリティ ソリューションです。一般的な観点では、スーパーユーザー アカウントは、データベース管理者 (DBA)、CIO、CEO などを指す場合があります。
PIM製品は、特に特権アカウントに重点を置いて、IT インフラストラクチャにアクセスできるすべてのユーザー アカウントの寿命を監視します。最初に、すべての重要な IT 資産と、それらにアクセスできる特権アカウントとロールを特定して文書化します。次に、パスワードの難易度や使用時間など、それらのアカウントの制限が守られていることを確認します。また、各特権アクセス要求を記録、監視、および監査し、疑わしいまたは不適切と見なされるたびにアラームを発行します。
しかし今、あなたはスーパーユーザーアカウントが本当に何を意味するのか疑問に思っているに違いありません..それはそのアカウント内であなたにスーパーパワーを与えるものですか? 正確ではありませんが、別の見方をすれば、超大国がアカウントを強化したようなものです。より賢明な説明は次のようになります。
スーパーユーザー アカウントとは、ユーザーがすべてのアプリにアクセスでき、あらゆる種類のウィンドウ プロセスを変更または終了できることを意味します。
考えてみれば、特に会社のマシンやデバイスで作業している人にとっては、非常に強力です
これらの種類のアカウントの悪用や悪用を防ぐために、監視が非常に必要です。監視されていないスーパーユーザー アカウントは、システムを危険にさらすマルウェアや、重要な企業データの損失または盗難につながる可能性があります。
したがって、これらのアカウントを慎重に管理して監視し、会社のネットワークを悪用から保護するためにPIM手順とシステムを導入することが重要です。
これらの手順が整っていることを確認するために、PIMは提供される多数の役割で構成されています。
- 「ジャストインタイム」アクセスの 提供 : ユーザー、アプリケーション、またはシステムに特権アクセスを提供しますが、必要なときにのみ短時間のみアクセスできます
- カスタム定義された期間のアクセスを許可します
- 多要素認証を実装する
- アクセス権の記録を見る
- レポートを生成する
IAM のサブセットである PIM と PAM について以前に議論したことの間で点がゆっくりとつながり始めていることを確認してください
Privileged Identity ManagementまたはPIMには、次のような多数の利点があります。
- アクセシビリティを容易にする
- セキュリティを強化
- 規制コンプライアンスに対応
- IT と監査のコストを削減
- 使用されていないアクティブなアカウントに関連するリスクに対処します
Bonus Content
Implementation of PIM
----------------------
1. Create a policy that specifies how highly privileged accounts will be controlled, together with the rights and restrictions that apply to the users of these accounts.
2. Build a management model that designates the person who is accountable for ensuring that the aforementioned policies are followed.
3. Identify and monitor all superuser accounts.
4. Establish procedures and deploy technologies for management, such as provisioning tools or specialized PIM solutions.
特権アクセスの簡単な定義は、標準ユーザー アクセスを超える機能またはアクセスの種類を具体化することです。特権を通じて、特定のセキュリティ制限をバイパスしたり、システムをシャットダウンしたり、システムまたはネットワーク構成を有効にしたり、別のクラウド アカウントを構成したりできます。
特権アクセスの恩恵を受けるアカウントは、特権アカウントと呼ばれます。特権ユーザー アカウントと特権サービス アカウントの 2 つの主なカテゴリに分類されます。組織/施設内のこれらのタイプの特権的な権利は、重要なインフラストラクチャと機密データの保護に不可欠です。
それはさておき、いよいよPAMまたはPrivileged Access Managementとは何かに移ることができます。
PAMは基本的に、企業がさらに機密性の高いデータやリソースへのアクセスを保護、制限、および追跡できるようにするツールキットとテクノロジで構成される Infosec メカニズムです。
PAMのサブカテゴリには次のようなものがあります。
- 共有フォルダのパスワード ポリシー
- 特権アクセス制御
- ベンダー特権アクセス管理 (VPAM)
- アプリのアクセス管理
PAMは最小特権 (POLP) の原則に基づいており、ユーザーは職務を遂行するために必要な最小限のアクセス レベルのみを受け取ります。最小権限の原則は、サイバー セキュリティのベスト プラクティスであると広く考えられており、価値の高いデータや資産への特権アクセスを保護するための基本的な手順です。
最小特権の原則 (POLP) では、サブジェクトには 、そのタスクを完了するために必要な特権のみを与える必要があると述べています。サブジェクトがアクセス権を必要としない場合、サブジェクトはその権利を持つべきではありません。さらに、サブジェクトの機能 (アイデンティティとは対照的に) が権利の割り当てを制御する必要があります。特定のアクションでサブジェクトのアクセス権を強化する必要がある場合、それらの余分な権利は、アクションの完了後すぐに放棄する必要があります。
Privileged Access Managementの原則について少し話しましょう。PAMには 3 つの基本原則があります。
- 指導原則 1 : 資格情報の盗難を防止する
複雑な攻撃を開始するために、不満を抱いた従業員や外部の侵入者は、休眠アカウントや古いパスワードを悪用する可能性があります。したがって、資格情報の盗難を防止することが最優先事項であることを確認することが義務付けられています。
- 指導原則 2 : 上下左右の動きを収縮させて止める
- より良い、より価値のある資格情報を発見することを期待して、同じ「リスク階層」内を横方向に移動します。
- あるリスク レイヤーから次のリスク レイヤーへ (たとえば、ワークステーションからサーバーへ) 垂直に移動して、ターゲットに近づきます。
- 指導原則 3 : 権限昇格と悪用を制限する
問題をさらに悪化させているのは、多くの企業がエンドユーザーとアプリケーション プロセスに過剰な権限を与え、実際のニーズに関係なく完全な管理機能を与えていることです。特権アカウントの急増、および管理上の可視性と制御の欠如により、敵対的な内部関係者や外国の攻撃者が利用できる大きな攻撃対象領域が提供されます。
したがって、特権および関連する特権アカウントに関して、悪用を抑止することが重要です。
これらすべての情報を取り入れるのは少し大変だったことは承知していますが、すぐにすべてのギグを理解できると信じてください。
PAMまたはPrivileged Access Managementには、次のようなすべてを結び付ける多数の機能があります。
- 管理者には多要素認証 (MFA) が必要です
- 承認と機密ユーザー データの管理
- 特権パスワードを安全に保管するパスワード保管庫
- 特権アクセスが付与されると、セッションを追跡できるようになります
- 一定時間だけアクセスを提供するなどの動的認証機能
- 内部関係者の脅威を減らすために、プロビジョニングとプロビジョニング解除を自動化する
- 組織がコンプライアンスを達成するのを支援する監査ログ ソフトウェア。
- 内部と外部の両方の脅威から保護する凝縮された攻撃面
- マルウェアの感染と伝播の減少
- 運用性能の向上
- コンプライアンスの達成と証明が容易
- コンプライアンスの確保を支援
- 権利の監視と管理の改善
- ローカル権限の削除
- 生産性を促進
PAMシステムは、悪意のある人物が内部アカウントを介して企業の機密データにアクセスするのを防ぐことにより、組織が外部の脅威から保護するための最良の方法の 1 つです。
Bonus Content
Best Practices of PAM
----------------------
1. Eliminate irreversible network takeover attacks.
2. Control and secure infrastructure accounts.
3. Limit lateral movement.
4. Protect credentials for third-party applications.
5. Manage *NIX SSH keys.
6. Defend DevOps secrets in the cloud and on premise.
7. Secure SaaS admins and privileged business users.
8. Invest in periodic Red Team exercises to test defenses.
9. Establish and enforce a comprehensive privilege management policy
10. Segment systems and networks
11. Enforce password security best practices
12. Lock down infrastructure
13. Monitor and audit all privileged activity
14. Implement dynamic, context-based access
15. Secure privileged task automation (PTA) workflows
16. Implement privileged threat/user analytics
17. Enforce separation of privileges and separation of duties
IAM、PIM、およびPAMについて説明したので、いよいよPIM、PAMはIAMとは異なるという本当のトピックに入ることができます。
まず、 PIMとPAMの間のこの観点を見てみましょう。
+---------------------------------------------------------------------+
| Parameters | PAM | PIM |
|---------------------------------------------------------------------|
| Description | A system for securing, | A system for managing, |
| | managing, monitoring, | controlling, and monitoring |
| | and controlling | access to resources in the |
| | privileges. | company that has superuser |
| | | access. |
|--------------|------------------------|-----------------------------|
| Technologies | LDAP & SAML | LDAP |
|--------------|------------------------|-----------------------------|
| Applications | One Identity, Foxpass, | ManageEngine, Microsoft |
| | Hitachi ID, etc. | Azure, Okta identity cloud, |
| | | Auth0, etc. |
+---------------------------------------------------------------------+
しかし、IAM 間で比較すると、 PIMとPAMが以下の表とは異なるかどうかについて結論を出すことができます。
+-----------------------------------------------------------------------------------------+
| PIM | PAM | IAM |
|-----------------------------------------------------------------------------------------|
| Concentrates on the rights | The layer that secures a | Applies to all users in the |
| assigned (typically set by | certain access level and | organization who have an |
| IT departments or System | the data that can be | identity, which will be |
| Admins) to various identities. | accessed by a privilege. | monitored and handled. |
|--------------------------------|--------------------------|-----------------------------|
| Also assists in the control of | Maintains privileged | Keeps the overall network |
| unchecked IAM areas. | identities under | safe. |
| | protection & ensures the | |
| | ones with admin rights | |
| | do not engage in abuse | |
| | of privileges. | |
+-----------------------------------------------------------------------------------------+
このように、 PIM と PAM は互いに異なるものではなく、 IAM のサブセットであり、機密データとリソースの安全を確保するためにすべてが連携していると言えます。
これで、PIM、PAM、および IAM についてまとめて、この記事のまとめになります。このことから何かを学び、IAM の領域をさらに探求することに興味を持っていただければ幸いです。
いつものように、輝きを放ち続け、さらに多くのエキサイティングなものがあなたの元にやってくるのを楽しみにしていてください. 熱心に働き続け、好奇心を持ち続け、勇気を持って新しいことに挑戦したり、毎日新しいことを学んだりしてください。お互いに気をつけて、揺れ続けてください。
これは、親しみやすい近所の UX/UI 中毒者のサインオフです。またね。平和✌️
![とにかく、リンクリストとは何ですか?[パート1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
