พิม? PAM?….. สิ่งที่แตกต่างจาก IAM?
ก่อนที่เราจะเข้าใจว่า PIM, PAM & IAM หมายถึงอะไร เรามาทำความเข้าใจข้อมูลพื้นฐานกันก่อน และใช่ ไม่ต้องกังวล ฉันจะทำให้มันง่ายที่สุดเท่าที่จะเป็นไปได้ เพื่อให้คุณอ่านและสนุกไปกับมันได้มากที่สุด
เรามาแบ่งมันออกเป็นส่วนๆ ง่ายๆ และดำเนินการตามขั้นตอนโดยเริ่มจากสิ่งที่เรารู้เกี่ยวกับการรับรองความถูกต้อง เพื่อให้คุณเข้าใจว่าคำศัพท์บางคำคืออะไร ขณะที่เราดำเนินการต่อไปในบรรทัดของบทความนี้
เราทุกคนทราบดีว่าการรับรองความถูกต้องนั้นเป็นกระบวนการในการตัดสินว่าบุคคลหรือบางสิ่งนั้นแท้จริงแล้วคือใครหรือสิ่งที่พวกเขาอ้างว่าเป็น และการเปรียบเทียบที่ดีที่สุดสำหรับสิ่งนี้คือวิธีที่คุณแสดงหนังสือเดินทางของคุณเป็นรูปแบบการระบุตัวตนเพื่อพิสูจน์ว่าคุณคือบุคคลนั้น ที่ขอขึ้นในเที่ยวบินนั้นๆ
แต่โปรดจำไว้เสมอว่าการรับรองความถูกต้องและการรับรองความถูกต้องเป็นสองสิ่งที่แตกต่างกัน ขณะที่ฝ่ายหนึ่งกำหนดข้อมูลประจำตัวและยืนยันตัวตน อีกฝ่ายให้สิทธิ์ในการเข้าถึงทรัพยากร ดังนั้นจำไว้ว่าพวกเขาแตกต่างกัน
ตอนนี้หมดหนทางแล้ว เรามาพูดถึงสิ่งที่ IAM หรือ Identity Access Management คืออะไร
Identity Access Management หรือ IAM นั้นเป็นวิธีที่มีประสิทธิภาพในการผสานรวมและจัดการข้อมูลประจำตัว ในขณะที่ให้การเข้าถึงทรัพยากรที่ถูกต้องในเวลาที่เหมาะสม ในอีกแง่หนึ่ง เราสามารถพูดได้ว่า IAM ยังใช้ทั้งการพิสูจน์ตัวตนและการอนุญาต ดังนั้นมันจึงเป็นสิ่งที่ดีที่สุดของทั้งสองโลก
เหมือนไอศกรีมวานิลลาคู่กับน้ำเชื่อมช็อกโกแลต เข้ากันสุดๆ
เนื่องจากเราได้ครอบคลุมข้อกำหนดเบื้องต้นที่จำเป็นแล้ว เราจึงสามารถเข้าสู่หัวข้อจริงของเราได้ในที่สุด
ก่อนที่เราจะเข้าใจว่า PIM และ PAM คืออะไร เราต้องเข้าใจก่อนว่าทั้ง PIM และ PAM ไม่ใช่แนวคิดที่แตกต่างจาก IAM แต่ทั้งสองเป็นส่วนย่อยของ Identity Access Management แม้ว่าจะเป็นส่วนย่อยของ IAM แต่ก็มีสถานการณ์ต่างๆ ที่เน้นว่าทำไมจึงสามารถแยกจากกัน แต่เราจะพูดถึงสิ่งนั้นเมื่อเราดำเนินการตามบทความนี้
Privileged Identity ManagementหรือPIMเป็นโซลูชันการรักษาความปลอดภัยที่ตอบสนองความต้องการเฉพาะของการจัดการการเข้าถึงที่มีสิทธิพิเศษสูง หรือที่เรียกว่าการตรวจสอบ การจัดการ และการป้องกันบัญชีผู้ใช้ขั้นสูงภายในโครงสร้างพื้นฐานด้านไอทีขององค์กร ในมุมมองทั่วไป บัญชีผู้ใช้ขั้นสูงอาจหมายถึงผู้ดูแลระบบฐานข้อมูล (DBA), CIO, CEO และอื่นๆ
ผลิตภัณฑ์ PIMจะดูแลอายุการใช้งานของบัญชีผู้ใช้ทั้งหมดที่มีสิทธิ์เข้าถึงโครงสร้างพื้นฐานด้านไอที โดยเน้นเฉพาะที่บัญชีที่มีสิทธิพิเศษ ขั้นแรกจะค้นหาและจัดทำเอกสารสินทรัพย์ด้านไอทีที่จำเป็นทั้งหมด รวมถึงบัญชีและบทบาทที่ได้รับสิทธิพิเศษที่สามารถเข้าถึงได้ จากนั้นจะทำให้แน่ใจว่ามีการปฏิบัติตามข้อจำกัดสำหรับบัญชีเหล่านั้น เช่น ความยากของรหัสผ่านและเวลาในการใช้งาน นอกจากนี้ยังบันทึก เฝ้าติดตาม และตรวจสอบคำขอเข้าใช้สิทธิพิเศษแต่ละรายการ โดยจะส่งสัญญาณเตือนเมื่อใดก็ตามที่เห็นว่าน่าสงสัยหรือไม่เหมาะสม
แต่ตอนนี้คุณต้องสงสัยว่าแท้จริงแล้วบัญชีผู้ใช้ขั้นสูงหมายถึงอะไร….. มันเป็นสิ่งที่ให้พลังพิเศษแก่คุณในบัญชีนั้นหรือไม่? ก็ไม่เชิง แต่ในมุมมองที่ต่างออกไป มันเหมือนกับการมีพลังวิเศษที่ทำให้บัญชีย่อยยับ คำอธิบายที่เหมาะสมกว่าก็คือ
บัญชีผู้ใช้ขั้นสูงหมายความว่าผู้ใช้สามารถเข้าถึงทุกแอพและสามารถแก้ไขหรือยุติกระบวนการหน้าต่างประเภทใดก็ได้
ตอนนี้ถ้าคุณคิดเกี่ยวกับมัน มันมีพลังมาก โดยเฉพาะอย่างยิ่งสำหรับคนที่ทำงานกับเครื่องจักรหรืออุปกรณ์ของบริษัท
เพื่อป้องกันการละเมิดหรือการใช้บัญชีประเภทนี้ในทางที่ผิด จำเป็นต้องมีการตรวจสอบอย่างมาก บัญชี superuser ที่ไม่ได้รับการตรวจสอบอาจส่งผลให้เกิดมัลแวร์ที่บุกรุกระบบหรือทำให้ข้อมูลสำคัญของบริษัทสูญหายหรือถูกขโมย
ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องจัดการและจับตาดูบัญชีเหล่านี้อย่างระมัดระวัง โดยมีขั้นตอนและระบบPIM เพื่อป้องกันเครือข่ายของบริษัทของคุณจากการละเมิด
เพื่อให้แน่ใจว่าขั้นตอนเหล่านี้อยู่ในตำแหน่งPIMประกอบด้วยบทบาทมากมายที่นำเสนอ
- เสนอการเข้าถึงแบบ “ทันเวลาพอดี” : ให้ผู้ใช้ แอปพลิเคชัน หรือระบบได้รับสิทธิพิเศษในการเข้าถึงเพียงช่วงสั้นๆ และเมื่อจำเป็นเท่านั้น
- อนุญาตการเข้าถึงตามระยะเวลาที่กำหนด
- ใช้การรับรองความถูกต้องด้วยหลายปัจจัย
- ดูบันทึกสิทธิ์การเข้าถึง
- สร้างรายงาน
ดูจุดที่ค่อยๆ เริ่มเชื่อมต่อระหว่างสิ่งที่เราคุยกันก่อนหน้านี้ใน PIM และ PAM ซึ่งเป็นส่วนย่อยของ IAM
Privileged Identity ManagementหรือPIMมีประโยชน์มากมาย เช่น
- อำนวยความสะดวกในการเข้าถึง
- ช่วยเพิ่มความปลอดภัย
- ติดตามการปฏิบัติตามกฎระเบียบ
- ลดต้นทุนด้านไอทีและการตรวจสอบ
- ระบุความเสี่ยงที่เกี่ยวข้องกับบัญชีที่ใช้งานซึ่งไม่ได้ใช้
Bonus Content
Implementation of PIM
----------------------
1. Create a policy that specifies how highly privileged accounts will be controlled, together with the rights and restrictions that apply to the users of these accounts.
2. Build a management model that designates the person who is accountable for ensuring that the aforementioned policies are followed.
3. Identify and monitor all superuser accounts.
4. Establish procedures and deploy technologies for management, such as provisioning tools or specialized PIM solutions.
คำจำกัดความง่ายๆ สำหรับการเข้าถึงแบบมีสิทธิพิเศษคือ นี่หมายถึงฟังก์ชันหรือประเภทของการเข้าถึงเหล่านั้นที่เกินการเข้าถึงมาตรฐานของผู้ใช้ ด้วยสิทธิพิเศษ ข้อจำกัดด้านความปลอดภัยบางอย่างสามารถข้ามได้ สามารถปิดระบบได้ เปิดใช้งานการกำหนดค่าระบบหรือเครือข่าย หรือสามารถกำหนดค่าบัญชีคลาวด์อื่นได้ เป็นต้น
บัญชีที่ได้รับประโยชน์จากการเข้าถึงพิเศษเรียกว่าบัญชีสิทธิพิเศษ แบ่งออกเป็นสองประเภทหลัก: บัญชีผู้ใช้พิเศษและบัญชีบริการพิเศษ สิทธิพิเศษประเภทนี้ภายในองค์กร/สถานประกอบการมีความสำคัญต่อโครงสร้างพื้นฐานที่สำคัญและการปกป้องข้อมูลที่ละเอียดอ่อน
ในตอนนี้เนื่องจากเป็นไปไม่ได้ ในที่สุดเราก็สามารถดำเนินการต่อไปได้ว่าPAMหรือPrivileged Access Managementคืออะไร
PAMโดยพื้นฐานแล้วเป็นกลไกของ Infosec ที่ประกอบด้วยชุดเครื่องมือและเทคโนโลยีเพื่อให้บริษัทสามารถปกป้อง จำกัด และติดตามการเข้าถึงข้อมูลและทรัพยากรที่ละเอียดอ่อนมากยิ่งขึ้น
หมวดหมู่ย่อยของPAMได้แก่:
- นโยบายรหัสผ่านของโฟลเดอร์ที่ใช้ร่วมกัน
- การควบคุมการเข้าถึงพิเศษ
- การจัดการการเข้าถึงสิทธิพิเศษของผู้ขาย (VPAM)
- การจัดการการเข้าถึงแอป
PAMมีพื้นฐานมาจากหลักการของสิทธิ์ขั้นต่ำ (POLP) ซึ่งผู้ใช้จะได้รับสิทธิ์การเข้าถึงขั้นต่ำที่จำเป็นในการปฏิบัติงานของตนเท่านั้น หลักการของสิทธิพิเศษน้อยที่สุดได้รับการพิจารณาอย่างกว้างขวางว่าเป็นแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ และเป็นขั้นตอนพื้นฐานในการปกป้องสิทธิ์ในการเข้าถึงข้อมูลและทรัพย์สินที่มีมูลค่าสูง
หลักการสิทธิพิเศษน้อยที่สุด (POLP)ระบุว่า อาสาสมัคร ควรได้รับ เฉพาะสิทธิพิเศษที่จำเป็นสำหรับการทำงานให้สำเร็จ ถ้าบุคคลไม่ต้องการสิทธิ์ในการเข้าถึง บุคคลนั้นไม่ควรมีสิทธิ์นั้น นอกจากนี้ หน้าที่ของหัวเรื่อง (ตรงข้ามกับตัวตนของมัน) ควรควบคุมการกำหนดสิทธิ์ หากการดำเนินการบางอย่างกำหนดให้ต้องเพิ่มสิทธิ์การเข้าถึงของอาสาสมัคร สิทธิ์พิเศษเหล่านั้นควรถูกยกเลิกทันทีเมื่อดำเนินการเสร็จสิ้น
เรา มาพูดถึงหลักการของPrivileged Access Managementกันสักเล็กน้อย มี 3 แนวทางหลักสำหรับPAM ,
- หลักการแนวทางที่ 1 : ป้องกันการโจรกรรมข้อมูลประจำตัว
ในการเริ่มการโจมตีที่ซับซ้อน พนักงานที่ไม่พอใจหรือผู้บุกรุกจากภายนอกสามารถใช้ประโยชน์จากบัญชีที่ไม่มีการเคลื่อนไหวหรือรหัสผ่านที่ล้าสมัย ดังนั้นจึงจำเป็นต้องตรวจสอบให้แน่ใจว่าการป้องกันการโจรกรรมข้อมูลรับรองมีความสำคัญสูงสุด
- หลักการชี้แนะ 2 : บีบและหยุดการเคลื่อนไหวในแนวตั้งและด้านข้าง
- ย้ายไปด้านข้างใน "ระดับความเสี่ยง" เดียวกันโดยหวังว่าจะค้นพบข้อมูลประจำตัวที่ดีและมีค่ามากขึ้น
- การย้ายในแนวตั้งจากชั้นความเสี่ยงหนึ่งไปยังอีกชั้นหนึ่ง (เช่น จากเวิร์กสเตชันไปยังเซิร์ฟเวอร์) เพื่อให้เข้าใกล้เป้าหมายมากขึ้น
- หลักการแนวทางที่ 3 : จำกัดการเพิ่มระดับสิทธิ์และการใช้ในทางที่ผิด
เพื่อทำให้ปัญหาแย่ลง หลายๆ บริษัทให้สิทธิพิเศษแก่ผู้ใช้ปลายทางและกระบวนการของแอปพลิเคชันมากเกินไป ทำให้พวกเขามีความสามารถด้านการดูแลระบบอย่างเต็มที่โดยไม่คำนึงถึงความต้องการที่แท้จริงของพวกเขา การเพิ่มจำนวนของบัญชีที่ได้รับสิทธิพิเศษ ตลอดจนการขาดการมองเห็นและการควบคุมของผู้ดูแลระบบ ทำให้เกิดพื้นที่โจมตีขนาดใหญ่สำหรับบุคคลภายในที่เป็นศัตรูและผู้โจมตีจากต่างประเทศที่จะฉวยโอกาส
ดังนั้นจึงเป็นเรื่องสำคัญที่การแสวงหาผลประโยชน์จะถูกขัดขวางในแง่ของสิทธิพิเศษและบัญชีสิทธิพิเศษที่เกี่ยวข้อง
ฉันรู้ว่ามันค่อนข้างหนักใจเล็กน้อยที่จะรับข้อมูลทั้งหมดเหล่านี้ แต่เชื่อฉันเถอะว่าคุณจะได้รับข้อมูลทั้งหมดในเวลาไม่นาน
PAMหรือPrivileged Access Managementมีคุณสมบัติมากมายที่จะรวมทุกอย่างเข้าด้วยกัน เช่น
- จำเป็นต้องมีการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) สำหรับผู้ดูแลระบบ
- การอนุญาตและการจัดการข้อมูลผู้ใช้ที่เป็นความลับ
- ห้องเก็บรหัสผ่านที่เก็บรหัสผ่านพิเศษไว้อย่างปลอดภัย
- เมื่อคุณได้รับสิทธิพิเศษแล้ว คุณจะสามารถติดตามเซสชันของคุณได้
- ความสามารถในการให้สิทธิ์แบบไดนามิก เช่น การให้สิทธิ์เข้าถึงตามระยะเวลาที่กำหนด
- เพื่อลดภัยคุกคามจากภายใน ให้จัดเตรียมและยกเลิกการจัดเตรียมโดยอัตโนมัติ
- ซอฟต์แวร์การบันทึกการตรวจสอบที่ช่วยให้องค์กรปฏิบัติตามข้อกำหนด
- พื้นผิวการโจมตีแบบย่อที่ป้องกันภัยคุกคามทั้งภายในและภายนอก
- ลดการติดเชื้อและการแพร่กระจายของมัลแวร์
- ปรับปรุงประสิทธิภาพการดำเนินงาน
- บรรลุและพิสูจน์การปฏิบัติตามข้อกำหนดได้ง่ายขึ้น
- ช่วยให้เป็นไปตามข้อกำหนด
- การตรวจสอบและควบคุมสิทธิ์ที่ดีขึ้น
- การกำจัดสิทธิ์ในท้องถิ่น
- อำนวยความสะดวกในการผลิต
ระบบ PAMเป็นหนึ่งในวิธีที่ดีที่สุดสำหรับองค์กรในการป้องกันภัยคุกคามจากภายนอกโดยป้องกันไม่ให้บุคคลที่เป็นอันตรายเข้าถึงข้อมูลสำคัญขององค์กรผ่านบัญชีภายใน
Bonus Content
Best Practices of PAM
----------------------
1. Eliminate irreversible network takeover attacks.
2. Control and secure infrastructure accounts.
3. Limit lateral movement.
4. Protect credentials for third-party applications.
5. Manage *NIX SSH keys.
6. Defend DevOps secrets in the cloud and on premise.
7. Secure SaaS admins and privileged business users.
8. Invest in periodic Red Team exercises to test defenses.
9. Establish and enforce a comprehensive privilege management policy
10. Segment systems and networks
11. Enforce password security best practices
12. Lock down infrastructure
13. Monitor and audit all privileged activity
14. Implement dynamic, context-based access
15. Secure privileged task automation (PTA) workflows
16. Implement privileged threat/user analytics
17. Enforce separation of privileges and separation of duties
ตอนนี้เราได้พูดคุยเกี่ยวกับIAM , PIMและPAMแล้ว ในที่สุดเราก็สามารถเข้าสู่หัวข้อจริงของPIM , PAMต่างกับIAMหรือไม่ ?
มาดูมุมมองนี้ระหว่างPIMและPAMก่อน
+---------------------------------------------------------------------+
| Parameters | PAM | PIM |
|---------------------------------------------------------------------|
| Description | A system for securing, | A system for managing, |
| | managing, monitoring, | controlling, and monitoring |
| | and controlling | access to resources in the |
| | privileges. | company that has superuser |
| | | access. |
|--------------|------------------------|-----------------------------|
| Technologies | LDAP & SAML | LDAP |
|--------------|------------------------|-----------------------------|
| Applications | One Identity, Foxpass, | ManageEngine, Microsoft |
| | Hitachi ID, etc. | Azure, Okta identity cloud, |
| | | Auth0, etc. |
+---------------------------------------------------------------------+
แต่ถ้าเราเปรียบเทียบระหว่าง IAM ก็จะสามารถสรุปได้ว่าPIMและPAMมีอะไรที่แตกต่างกันบ้างจากตารางด้านล่าง
+-----------------------------------------------------------------------------------------+
| PIM | PAM | IAM |
|-----------------------------------------------------------------------------------------|
| Concentrates on the rights | The layer that secures a | Applies to all users in the |
| assigned (typically set by | certain access level and | organization who have an |
| IT departments or System | the data that can be | identity, which will be |
| Admins) to various identities. | accessed by a privilege. | monitored and handled. |
|--------------------------------|--------------------------|-----------------------------|
| Also assists in the control of | Maintains privileged | Keeps the overall network |
| unchecked IAM areas. | identities under | safe. |
| | protection & ensures the | |
| | ones with admin rights | |
| | do not engage in abuse | |
| | of privileges. | |
+-----------------------------------------------------------------------------------------+
และนั่นคือวิธีที่เราสามารถบอกได้ว่าPIM และ PAM เป็นส่วนย่อยของ IAMซึ่งทั้งหมดมาพร้อมกันเพื่อให้แน่ใจว่าข้อมูลและทรัพยากรที่เป็นความลับของคุณปลอดภัย
นั่นคือสรุป PIM, PAM และ IAM และสรุปสำหรับบทความนี้ทุกคน หวังว่าคุณจะได้เรียนรู้บางอย่างจากสิ่งนี้ และสนใจที่จะสำรวจเพิ่มเติมในโดเมนของ IAM
เฉิดฉายอยู่เสมอและคอยติดตามสิ่งที่น่าตื่นเต้นอีกมากมายรอคุณอยู่ ทำงานหนักต่อไป อยากรู้อยากเห็น และกล้าที่จะลองสิ่งใหม่ๆ หรือเรียนรู้สิ่งใหม่ๆ ทุกวัน มองหากันและกันและโยกต่อไป
นี่คือชุมชนขี้ยา UX/UI ที่เป็นมิตรของคุณที่ออกจากระบบ เจอกันคราวหน้า. สันติ ✌️
![รายการที่เชื่อมโยงคืออะไร? [ส่วนที่ 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)