Princip nejnižších oprávnění je myšlenka spočívající v omezení privilegií přiřazených jednotlivým uživatelům, programům a procesům na minimální míru nutnou pro vykonání jejich práce. Jednoznačným benefitem principu nejnižších oprávnění je minimalizace rizik vyplývajících z kompromitace účtů a následného zneužití nadbytečných oprávnění, která jsou mnohdy klíčová i pro propagaci škodlivého kódu. Kompletní a funkční prosazení tohoto principu bylo doposud spíše teoretickým konceptem, a to zejména vzhledem k četným provozním překážkám a s nimi spojenou zátěží vyvíjenou na IT oddělení – Pojďme se zaměřit na to, jak ho nyní můžeme uvést do praxe.
Jedna ze stěžejních dílčích myšlenek tohoto principu je, že administrátorská oprávnění nepatří do rukou běžných uživatelů. Jak si však poradit s nesčetným množstvím business-critical aplikací a programů, když právě tuto míru privilegií potřebují ke svému provozu? Běžně se setkáváme s nezanedbatelným množstvím uživatelů, kteří pracují s proprietárními programy či specifickým softwarem vyžadujícím privilegované účty mimo ruce administrátorů – diagnostické počítače autoservisů, aplikace pro obsluhu zdravotnických zařízení, program pro řízení výroby a mnoho dalších. Druhým trnem v oku principu nejnižších privilegií mohou být uživatelé, kteří pro výkon své práce potřebují průběžně instalovat a spravovat aplikace bez možnosti centrálního řízení – Zde se IT oddělení opět mnohdy uchýlí k cestě menšího odporu a trvale míru oprávnění zvýší.
Snadné a efektivní řešení těchto komplikací přináší technologie WALLIX BestSafe. Jedná se o produkt adresující oblasti EPM (Endpoint Privilege Management) a PEDM (Privilege Elevation and Delegation Management) prostřednictvím nenáročného agenta, který na úrovni koncových stanic umožní oddělit oprávnění od identit. Takto granulární řízení nám pak v praxi umožní snadno realizovat například následující scénář – Finanční oddělení pracuje s administrátorskými účty kvůli custom aplikaci, která je vyžaduje pro svůj chod. Změníme oprávnění účtů z administrátorských na běžné a pro funkčnost aplikace s pomocí BestSafe vydefinujeme její spouštění v kontextu administrátora.
Stejným způsobem umožní BestSafe omezit i oprávnění administrátorů a externích kontraktorů. Připomeňme si například masivní únik vysoce utajených informací provedený Edwardem Snowdenem. Jeho role nepochybně vyžadovala vyšší míru oprávnění za účelem provádění záloh databází. Za předpokladu, že by jeho oprávnění byla limitována pouze na vykonání této akce, nebyl by obdobný únik dat z jeho pozice proveditelný.
Funkce nástroje BestSafe dále umožňují snadné a dočasné povýšení oprávnění pro nepravidelné úkony prostřednictvím jednoduchého schvalovacího procesu či tvorbu vlastního seznamu aplikací, které mohou uživatelé instalovat a spravovat bez zásahu administrátora. Nástroj může fungovat zcela samostatně, či jako doplněk kaskády řízení privilegovaných přístupů, kde dále rozšíří funkcionality PAM technologie WALLIX Bastion.
Chcete zjistit, jak může BestSafe pomoci povýšení úrovně zabezpečení limitací oprávnění ve vaší organizaci? Rádi Vám poskytneme bližší informace a řešení ukážeme v našem prostředí. Neváhejte se obrátit na lukas.babcicky@comguard.cz či sales@comguard.cz
Lukáš Babčický, vendor manager, COMGUARD a.s.
Zdroj: Comguard