fb
IT Systems 6/2016 IT Security 9. 8. 2016 12:24

11 důležitých funkcí pro správu privilegovaných uživatelů

CA CEEŠiroké využívání virtualizace a cloudu a neustále rostoucí dynamika dnešních výpočetních prostředí zvyšují jak důležitost, tak i složitost dlouho známého problému: efektivní správy a ochrany hesel k privilegovaným účtům. Správa privilegovaných hesel v rámci širokého rozsahu tradiční infrastruktury (síťové prvky, servery, mainframe atd.) vytváří dlouhodobý problém z hlediska bezpečnosti a shody s předpisy. Další komplikací je pro většinu organizací mnoho privilegovaných přihlašovacích údajů pevně vestavěných do aplikací a pokračující rozšiřování autentizace bez použití hesel, které je třeba také zahrnout do bezpečnostních politik a procesů. Příkladem takového přihlašování mohou být klíče SSH nebo PEM.

Tento článek se podrobně věnuje všem těmto problémům a vysvětluje 11 nepostradatelných funkcí definujících správu privilegovaných přihlašovacích údajů nové generace. S produkty splňujícími tyto požadavky získáte ucelenou sadu nástrojů pro ochranu a správu všech typů přihlašovacích údajů pro všechny typy prostředků, ať už jsou umístěny kdekoli, a to způsobem vhodným jak pro současná, tak i pro nová hybridní cloudová prostředí. Jednoznačným přínosem použití správného řešení je výrazné snížení rizik a nákladů na provoz, které lze jen stěží dosáhnout s produkty neposkytujícími dostatečnou úroveň kontroly, šířku pokrytí ani funkce specifické pro cloudové prostředí.

Hesla k privilegovaným účtům se od hesel běžných koncových uživatelů liší tím, že zpřístupňují ty nejcitlivější prostředky organizace – zejména účty pro správu (např. admin, root, SYS a sa) a s nimi související možnosti konfigurace a správy prakticky celé IT infrastruktury. Vzhledem k velmi vysoké míře rizika je zřejmé, že správa a ochrana těchto přihlašovacích údajů je velmi důležitá – což je mimo jiné závěr, který stvrzuje celá řada relevantních doporučení, stanovených v běžných bezpečnostních standardech a regulacích, nebo i zákon č. 181/2014 Sb., tedy tzv. „zákon o kybernetické bezpečnosti“.

I bez požadavků daných předpisy a standardy je zřejmé, že správa privilegovaných hesel není jen doporučeným postupem z hlediska řízení rizik, ale také základním prvkem pro překonání nebezpečných zvyků a postupů, které jsou v dnešních organizacích bohužel běžné. Slabá, dlouho nezměněná nebo prozrazená hesla (například proto, že jsou uchovávána na lístku na monitoru nebo v nešifrovaném souboru), příliš mnoho hesel, sdílení hesel, chybějící jasná zodpovědnost za privilegované účty, chybějící možnost silného ověřování a chybějící možnost centrálního zrušení platnosti oprávnění jsou jen některé z problémů, se kterými se běžně setkáváme.

Hlavní ohrožení však spočívá v tom, že kterýkoli z těchto problémů může vést k úspěšnému phishingovému útoku, cílenému APT útoku, a v důsledku ke krádeži dat – nemluvě o porušení shody s předpisy. Potřebujete důkaz? Podle zprávy o vyšetřování úniků dat, kterou zveřejnila společnost Verizon v roce 2013, lze 76 procent úniků dat připsat odcizeným přihlašovacím údajům a dalších 13 procent zneužitím ze strany důvěryhodných interních pracovníků. Díky tomuto a obdobným zjištěním je naprosto jasné, proč dnešní organizace potřebují při správě, ochraně a řízení přístupu k privilegovaným přihlašovacím údajům využívat robustní řešení splňující velmi náročné požadavky na bezpečnost, efektivitu a současně na uživatelský komfort.

Tradiční problémy shrnuté výše jsou však pouze špičkou ledovce. Vezmeme-li v úvahu výhody nízkých nákladů, flexibility a rychlosti, které přináší hybridní cloud (kde IT služby a aplikace využívají jak tradiční, tak i virtuální infrastrukturu v rámci podnikových i cloudových datových center), je široké rozšíření této technologie jen otázkou času. Kromě výhod však hybridní cloud přináší také několik nových problémů, a to i v oblasti správy privilegovaných účtů:

  • větší objem – rostoucí provozní požadavky a jednoduchost nasazení dalších virtuálních strojů znamenají více entit vyžadujících privilegovaný přístup (a tím i privilegovaná hesla),
  • větší rozsah – koncentrovaná síla konzolí pro správu virtualizace a cloudu přidává do IT prostředí nové typy privilegovaných prostředků a účtů,
  • větší dynamika – neboť nové servery a systémy je možné přidávat téměř okamžitě a dokonce hromadně (i desítky až stovky systémů najednou),
  • potenciál pro vytváření ostrůvků identit – neboť každá jednotlivá cloudová služba má své vlastní úložiště identit a infrastrukturu.

Kromě výzev, které před manažery IT bezpečnosti staví hybridní cloud, musejí při vyhodnocování možných řešení pamatovat také na dva další aspekty problému správy privilegovaných hesel. Za prvé je třeba vzít v úvahu scénáře stroj–stroj nebo aplikace–aplikace (A2A), kdy jsou hesla používaná jedním systémem nebo aplikací pro získání přístupu k jinému systému nebo aplikaci pevně zakódována v cílové aplikaci, nebo jsou zpřístupněna ve formě textového konfiguračního souboru či skriptu.

Druhou věcí, kterou je třeba zvážit, je často přehlížený problém existence tisíců klíčů (např. SSH), které, ačkoli nejde o tradiční hesla, slouží stejně jako hesla k zajištění přístupu k privilegovaným účtům. Proto také vyžadují minimálně stejnou úroveň správy a ochrany.

Pokud jde o vyhodnocení vhodného řešení správy privilegovaných hesel pro vaše konkrétní účely, doporučujeme nejprve ověřit, zda dané řešení nabízí ucelenou sadu funkcí, které bezpečnostním týmům pomohou překonat rizika plynoucí z tradičních přístupů k vytváření, správě a používání citlivých administrátorských přihlašovacích údajů. Mezi konkrétní oblasti, které je třeba zvážit, patří detekce privilegovaných účtů a hesel, jejich bezpečné ukládání a správa, vynucování bezpečnostních politik, bezpečné a auditované poskytování hesel, automatizované přihlašování typu SSO, nahrávání administrátorských relací a v neposlední řadě podpora kompletní správy privilegovaných identit. 

CA CEE


1. Automatizovaná detekce účtů

Bez nástrojů pro automatizovanou detekci nebo alespoň pro podporu detekce může být proces zahrnování privilegovaných hesel pod jednotnou správu velmi obtížný. Řešení by tedy mělo poskytovat metody pro detekci systémů a účtů. Navíc by mělo být možné snadno hromadně tyto informace importovat, ale i vkládat jednotlivé záznamy z grafické konzole pro správu. A nakonec je také důležité si uvědomit, že by tato detekce a import měl být ideálně bezagentový, tedy bez nutnosti cokoliv instalovat na spravované systémy.

2. Zabezpečené úložiště hesel

Šifrované úložiště slouží jako centralizované a kontrolované místo a je klíčovým řešením pro eliminaci nebezpečných metod ukládání hesel (jako jsou například tabulky aplikace Excel), které usnadňují sdílení a vyzrazení přihlašovacích údajů. Ideálním řešením je úložiště se šifrováním odpovídajícím standardu FIPS 140-2. Přínosem může v této oblasti dále být:

  • Možnost integrace s HSM moduly, což je zvláště důležité pro velké společnosti a rizikové oblasti, například v případě finančních a bankovních systémů, kde je žádoucí ukládat klíče použité k zašifrování hesel odděleně od samotných zašifrovaných hesel.
  • Použití ověřených procesů k ochraně šifrovacích klíčů v době, kdy se používají (tj. v paměti). Tento přístup zabraňuje hackerům v zachycení a poskládání klíčů při monitorování standardních šifrovacích rozhraní API a paměti a je výrazně účinnější než slabší alternativy založené na dělení klíčů a jednoduchém maskování.

3. Automatické vynucování bezpečnostních politik

Ideální řešení pro správu privilegovaných účtů automatizuje vytváření, používání a pravidelnou obměnu hesel a tím eliminuje jejich opakované používání nebo vytváření slabých hesel. Dále musí být možné flexibilně nastavovat politiky a vynutit tak dostatečnou složitost hesel, implementovat požadované obnovování hesel – například změnu hesel v závislosti na čase (např. každý den nebo každý týden) nebo v reakci na určitou událost (např. po každém použití) – a řídit jejich používání (např. povolit přístup pouze v určených časových oknech nebo vyžadovat dvojité či vícenásobné ověřování při přístupu k heslům). Přidáním nového systému do určité skupiny by mělo dojít k automatické aplikaci politik této skupiny.

4. Bezpečné použití hesel

Uložení přihlašovacích údajů k privilegovaným účtům do sejfu je zbytečné, pokud neexistuje způsob jejich bezpečného získání a použití. Prvním krokem tohoto procesu je silné ověření entity (ať už osoby, aplikace nebo skriptu), která se snaží uložené přihlašovací údaje použít. Řešení následně předá uložené přihlašovací údaje oprávněné entity (uživatele nebo aplikace) přímo cílovému systému. Oproti běžným řešením typu „uložit/vyzvednout“ v tomto případě uživatel svá hesla vůbec neuvidí ani nezíská. Tím se výrazně snižuje riziko jejich vyzrazení. Navíc protože ověření na cílovém systému je plně automatické, a uživatelé si tedy nemusí pamatovat ani přepisovat svá hesla, je možné nastavit politiky s výrazně vyššími požadavky na složitost hesel.

5. Pokrytí heterogenního prostředí

Vámi vybrané řešení pro správu privilegovaných uživatelů by již v základu mělo umožňovat integraci se všemi běžnými typy IT infrastruktury, síťovými zařízeními a aplikacemi, zejména:

  • Doménové a lokální účty Windows
  • Linuxové a Unixové distribuce
  • Databáze
  • Vámi používaná síťová a bezpečnostní zařízení
  • Váš ERP, HR, help-desk a další systémy
  • Systémové a aplikační servery

Řešení by také mělo být dost flexibilní na to, aby bylo snadno rozšiřitelné i na proprietární a interně vyvíjené systémy.

6. Podpora hypervizorů a cloudu

Pokrytí správy a ochrany přihlašovacích údajů by se nemělo týkat jen tradičních systémů; zahrnovat musí také vaše hypervizory a cloudová řešení, ať už je to VMware, Amazon Web Services či Microsoft Online Services. Pokryty musí být jak jednotlivé instance virtuálních strojů, tak příslušné konzole pro správu, protože si vzhledem k možnostem, které poskytují, zaslouží zařazení do své vlastní kategorie privilegovaných prostředků.

7. A2A

Jak již bylo zmíněno, lidé nejsou jedinými uživateli privilegovaných přihlašovacích údajů. Ve většině organizací mohou mít k citlivým prostředkům, například aplikacím nebo databázím, přístup také různé skripty a aplikace. To se typicky realizuje vestavěním příslušných přihlašovacích údajů přímo do kódu příslušného skriptu nebo aplikace, což je však velmi nebezpečné. Vámi vybrané řešení by tak mělo poskytovat i bezpečné řešení pro případy A2A umožňující vývojářům zahrnout do jejich aplikací možnost dynamického získávání hesel.

8. Správa životního cyklu SSH klíčů

Kromě podpory šifrování se také mnoho klíčů používá pro ověření identity držitele. Ačkoli tyto klíče nejsou hesly v tradičním smyslu, fungují velmi podobně a jsou vystaveny také podobným rizikům a hrozbám, jako jsou kopírování, sdílení, nechtěné prozrazení a neauditovaná zadní vrátka. Protože se tyto klíče často vkládají přímo do kódu nebo jsou používány transparentně, aby uživatelé nebyli zatěžováni jejich relativní složitostí, jsou také více ohroženy zastaráním nebo zcizením. Je proto logické na tyto klíče uplatnit stejné postupy, které se používají pro správu a ochranu hesel.

9. Volba mezi softwarem, hardwarem a službou

Každá společnost a instituce preferuje jiný způsob nasazení – buď jako hardwarový server, jako software pro instalaci do svého prostředí, nebo jako službu poskytovanou z cloudu. Vámi vybrané řešení by mělo tuto flexibilitu poskytovat a nenutit vás do nasazení, které se neslučuje s vašimi požadavky.

10. Všechno v jednom

Nechcete-li vynakládat další prostředky do nákupu, implementace a provozu operačních systémů, databází, aplikačních serverů, atd., měli byste se ujistit, že vámi vybraný systém pro správu privilegovaných uživatelů obsahuje již vše potřebné pro svůj provoz v ceně licence, ideálně v „all-in-one“ zabezpečeném serveru.

11. Škálovatelnost a spolehlivost

Správa privilegovaných přihlašovacích údajů je kritickým prvkem IT infrastruktury každé organizace. A platí to dvojnásob, když se implementace rozšíří o scénáře A2A, které pracují zcela automatickým způsobem. Za tím účelem musí vámi vybrané řešení nabízet klastrování a rozdělování zátěže, takže bude schopné se plně vyrovnat s požadavky na vysokou dostupnost a možnosti škálování, ideálně ve formě active–active.

Závěr

Správa a ochrana privilegovaných přihlašovacích údajů je zásadní pro snížení rizik a dosažení shody s předpisy. Složitost a důležitost tohoto problému také neustále roste s tím, jak se v hybridních cloudových prostředích objevují nebývale výkonné konzole pro správu, které umožňují pomocí několika kliknutí myši vytvářet nebo odebírat doslova stovky cílových systémů najednou.

Organizace hledající řešení pro tuto kriticky důležitou oblast bezpečnostní strategie musí vyhodnotit dostupná řešení z hlediska jejich hloubky, rozsahu pokrytí a podpory cloudového prostředí, které nabízejí. Soustřeďte se tedy na řešení nové generace, které zajistí snížení rizik, zlepšení provozní efektivity a které ochrání investice do IT díky jednotné podpoře tradiční, virtuální i cloudové infrastruktury.

David Matějů, CA CEE David Matějů
Autor článku je Senior Security Consultant ve společnosti CA CEE, s.r.o.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Kontakty - Více o časopisu
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 3 IT Systems 1-2 IT Systems 12 IT Systems 11
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1