Управління привілейованими обліковими записами

Навіщо керувати?

Якщо у Вас є 3 комп'ютери, один роутер і нудний адміністратор, то ніякого особливого управління, швидше за все, не буде потрібно. Потреба управлінні привілейованим доступом зазвичай виникає у великих компаніях (наприклад, у банках, страхових компаніях), у яких велика клієнтська база. Інформаційні системи таких компаній управляють фінансовими та персональними даними, роботу з якими небезпечно пускати на самоплив. Існують нормативні документи, які описують деякі вимоги, яким мають відповідати процеси організації. Зокрема важливо забезпечити:

  1. Чітке розуміння, хто саме і в який час міг мати доступ до системи
  2. Можливість отримати інформацію, хто саме звертався до системи у певний момент часу, що він там робив і навіщо

Все це потрібно, головним чином, для готовності до розбору польотів, якщо раптом щось трапиться.

обліковими

Як керувати?

Управління привілейованими обліковими записами відрізняється від керування звичайними, персональними обліковими записами.

З привілейованими обліковими записами ситуація трохи інша. Управління привілейованими обліковими записами зводиться до організації такого процесу, у якому завжди достовірно відомо, хто саме й у який час працював під обліковим записом адміністратора. Як правило, одним і тим же обліковим записом користуються відразу кілька людей. При цьому визначити, хто саме може знати пароль адміністратора – досить складно. Люди приходять та йдуть, а пароль залишається. Для забезпечення контролю необхідно, щоб у кожниймомент часу повний доступом до системі (навіть теоретично) мав мінімум співробітників, ідеалі – ніхто.

Таким чином ми приходимо до несподіваного рішення: паролі від привілейованих облікових записів роздавати нікому не треба. Співробітник отримуватиме пароль тільки на час, коли йому потрібно щось зробити в системі. А як тільки він свою роботу зробив – пароль змінюється, і його знову ніхто не знає. А якщо не знає – то й зробити нічого не може, навіть теоретично. А щоб ніхто не зміг підібрати пароль за розумний час, змінюється він на щось незручне, криптографічно складне і т.п. Алібі адміністраторам забезпечено (див. вище приклад про витік даних). На практиці такий процес зазвичай реалізується одним з двох способів: адміністративний або автоматизований.

Перший метод – адміністративний, шляхом застосування адміністративних регламентів. У компанії запроваджується спеціальна посада зберігача паролів. У його завдання входить зберігати паролі в секретній шафці, видавати на запит адміністраторів і записувати всі події в журнал, щоб потім можна було відновити, хто саме працював з цим обліковим записом у певний час. По завершенні робіт він змінює пароль у системі, а новий пароль (який тепер ніхто не знає) знову ховає до шафки. Такий підхід застосовується для систем, до яких звертаються досить рідко. Для критичних систем, коли потрібно посеред ночі швидко підключитися, щоб відновити працездатність, такий підхід не застосовується – надто повільний.

Якщо доступ до систем виконується часто і багатьма співробітниками, а контроль над тим, що відбувається, втрачати не хочеться, використовують автоматизовані системи, які роблять процес управління привілейованим доступом простим і зрозумілим. Замість секретної шафки паролі зберігаються взахищеної бази даних. Співробітники запитують та отримують паролі через Web-інтерфейс, попередньо увійшовши в систему під своїм персональним обліковим записом (для додаткового захисту може застосовуватися багатофакторна автентифікація). Після завершення роботи (або після певного періоду часу) пароль автоматично змінюється, новий пароль записується в базу даних і лежить там до наступного використання. Важливою перевагою автоматизованих рішень, порівняно з адміністративним методом, є можливість швидкої побудови звітів, необхідних при проведенні аудиторських перевірок.