Princip nejnižších oprávnění. Proč je důležitý a jak ho prosadit?

13. 12. 2021
Doba čtení: 3 minuty

Sdílet

 Autor: Comguard
Obecně platí, že uživatelé, aplikace a procesy by měli disponovat pouze takovými privilegii, která jsou nezbytná pro jejich práci. Seznamte se s technologiemi, které vám pomohou tato oprávnění nastavovat a spravovat.

Princip nejnižších oprávnění je myšlenka spočívající v omezení privilegií přiřazených jednotlivým uživatelům, programům a procesům na minimální míru nutnou pro vykonání jejich práce. Jednoznačným benefitem principu nejnižších oprávnění je minimalizace rizik vyplývajících z kompromitace účtů a následného zneužití nadbytečných oprávnění, která jsou mnohdy klíčová i pro propagaci škodlivého kódu. Kompletní a funkční prosazení tohoto principu bylo doposud spíše teoretickým konceptem, a to zejména vzhledem k četným provozním překážkám a s nimi spojenou zátěží vyvíjenou na IT oddělení – Pojďme se zaměřit na to, jak ho nyní můžeme uvést do praxe.

Jedna ze stěžejních dílčích myšlenek tohoto principu je, že administrátorská oprávnění nepatří do rukou běžných uživatelů. Jak si však poradit s nesčetným množstvím business-critical aplikací a programů, když právě tuto míru privilegií potřebují ke svému provozu? Běžně se setkáváme s nezanedbatelným množstvím uživatelů, kteří pracují s proprietárními programy či specifickým softwarem vyžadujícím privilegované účty mimo ruce administrátorů – diagnostické počítače autoservisů, aplikace pro obsluhu zdravotnických zařízení, program pro řízení výroby a mnoho dalších. Druhým trnem v oku principu nejnižších privilegií mohou být uživatelé, kteří pro výkon své práce potřebují průběžně instalovat a spravovat aplikace bez možnosti centrálního řízení – Zde se IT oddělení opět mnohdy uchýlí k cestě menšího odporu a trvale míru oprávnění zvýší.

Snadné a efektivní řešení těchto komplikací přináší technologie WALLIX BestSafe. Jedná se o produkt adresující oblasti EPM (Endpoint Privilege Management) a PEDM (Privilege Elevation and Delegation Management) prostřednictvím nenáročného agenta, který na úrovni koncových stanic umožní oddělit oprávnění od identit. Takto granulární řízení nám pak v praxi umožní snadno realizovat například následující scénář – Finanční oddělení pracuje s administrátorskými účty kvůli custom aplikaci, která je vyžaduje pro svůj chod. Změníme oprávnění účtů z administrátorských na běžné a pro funkčnost aplikace s pomocí BestSafe vydefinujeme její spouštění v kontextu administrátora.

Stejným způsobem umožní BestSafe omezit i oprávnění administrátorů a externích kontraktorů. Připomeňme si například masivní únik vysoce utajených informací provedený Edwardem Snowdenem. Jeho role nepochybně vyžadovala vyšší míru oprávnění za účelem provádění záloh databází. Za předpokladu, že by jeho oprávnění byla limitována pouze na vykonání této akce, nebyl by obdobný únik dat z jeho pozice proveditelný.

Funkce nástroje BestSafe dále umožňují snadné a dočasné povýšení oprávnění pro nepravidelné úkony prostřednictvím jednoduchého schvalovacího procesu či tvorbu vlastního seznamu aplikací, které mohou uživatelé instalovat a spravovat bez zásahu administrátora. Nástroj může fungovat zcela samostatně, či jako doplněk kaskády řízení privilegovaných přístupů, kde dále rozšíří funkcionality PAM technologie WALLIX Bastion.

Chcete zjistit, jak může BestSafe pomoci povýšení úrovně zabezpečení limitací oprávnění ve vaší organizaci? Rádi Vám poskytneme bližší informace a řešení ukážeme v našem prostředí. Neváhejte se obrátit na lukas.babcicky@comguard.cz či sales@comguard.cz

bitcoin školení listopad 24

Lukáš Babčický, vendor manager, COMGUARD a.s.

Zdroj: Comguard

Čtěte dále

ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky
Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
AT Computers je IDG Distributorem roku společnosti Lenovo
AT Computers je IDG Distributorem roku společnosti Lenovo