Turvaa ja hallinnoi korotetut käyttäjätunnukset PAM-työkalulla

Korotettujen käyttöoikeuksien hallintaa käsittelevän blogisarjan jälkimmäisessä osassa tutustumme hallintaa toteuttavien teknisten työkalujen ominaisuuksiin. Lue ensimmäinen osa täältä.

Salasanaholveista istuntojen videotallentamiseen

Korotettujen käyttäjätunnusten hallintajärjestelmiä, PAM-työkaluja, on tarjolla iso joukko vaihtelevin ominaisuuksin. Ratkaisut alkavat salasanaholveista, joista oikeutetut käyttäjät voivat kuitata korotettuja käyttöoikeuksia omaavan tilin salasanan itselleen ulos. Salasanaholvit usein myös huolehtivat automaattisesti salasanojen säännöllisestä vaihtamisesta. Kehittyneemmissä ratkaisuissa pelkän salasanaholvin lisäksi PAM-työkalu huolehtii myös esimerkiksi organisaatiolla käytössä olevien korotettujen käyttäjätunnusten automaattisesta skannaamisesta ja löytämisestä sekä korotetun käyttäjäistunnon avaamisesta, istunnon reaaliaikaisesta monitoroinnista käyttäytymisanalytiikka hyödyntäen, lokittamisesta ja videotallenteiden laatimisesta.

Kun PAM-työkalu hallitsee salasanojen ja kryptografisten avainten lisäksi myös korotettua istuntoa, ei salasanaa yleensä missään vaiheessa edes paljasteta käyttäjälle. Sen sijaan PAM-työkalu avaa työkalun web-portaaliin kirjautuneelle käyttäjälle hyppykoneen kautta korotetun istunnon kohdepalveluun automaattisesti, tietenkin käyttäjän käyttöoikeuksien sallimissa rajoissa. Välittömästi istunnon päättymisen jälkeen PAM-työkalu puolestaan vaihtaa käytetyn salasanan. Joissakin PAM-ratkaisuissa jatkuvasti korotettujen käyttäjätunnusten mallista on luovuttu kokonaan. Vaihtoehtoisessa lähestymistavassa käyttäjän peruskäyttäjätunnus korotetaan väliaikaisesti vain tiettyjen politiikassa ennalta määriteltyjen toimintojen suorittamiseksi.

Hyökkääjän urakka muuttuu PAM-työkalun käyttöönoton myötä merkittävästi vaikeammaksi. Korotettujen käyttäjätilien salasanojen ja muiden tunnistautumismetodien ollessa keskitetysti hallittuja, organisaatiolla on koko ajan tieto siitä kuka tai mikä tunnuksia käyttää ja missä. Istuntojen monitorointiratkaisut puolestaan hälyttävät normaalista poikkeavasta tunnusten käyttämisestä ja lokit sekä videotallenteet helpottavat huomattavasti tietomurron jälkiselvittelyssä, jos hyökkääjä onnistuu läpäisemään estävät kontrollit.

Kypsyyttä askel askeleelta

Kun lähdetään hankkimaan PAM-työkalua, tulee hinnan lisäksi arvioida organisaatioiden toimintaympäristöstä nousevia tarpeita: tuleeko työkalun esimerkiksi tukea sekä Windows että Unix-käyttöjärjestelmiä, halutaanko ratkaisu pilvestä vai omaan konesaliin asennettuna, millaisia integraatiokyvykkyyksiä tuotteella on organisaatiossa jo käytössä olevien IAM- ja SIEM ratkaisuiden tai DevOps-maailman CI/CD-työkalujen suhteen sekä millainen on tarve IoT-laitteiden hallinnalle.

Yleisenä periaatteena matalan PAM-kyvykkyyden omaavan organisaation ei kannata kerralla lähteä tavoittelemaan hienojakoisinta korotettujen käyttöoikeuksien hallintaa ja tehokkaimpia istuntojen monitorointiominaisuuksia. Projekti voi näin kaatua nopeasti omaan mahdottomuuteensa, sillä toimiakseen teknologia vaatii ison määrän manuaalista työtä käyttöoikeuspolitiikkojen muodostamiseksi. Pienin eteenpäin menevin askelin saavutetaan paras lopputulos. Tätä lähestymistapaa tukee myös suurimpien toimittajien PAM-tuotteiden modulaarisuus, jolloin kypsyystasoa nostavia lisäominaisuuksia voidaan ottaa käyttöön sitä mukaa kun perustaa on saatu laitettua kuntoon.