Linkedin
Ota yhteyttä

Olisiko aika ottaa hallinta- ja pääkäyttäjätunnukset eli PAM haltuun?

PAM eli hallinta ja pääkäyttajätunnukset

Mikä on PAM?

PAM (engl. Privileged Account Management, Privileged User Management tai Privileged Identity Management) auttaa organisaatioita suojaamaan pääkäyttäjä- ja hallintatunnusten vahingossa tapahtuvalta tai tahalliselta väärinkäytöltä virtaviivaistamalla hallintatunnusten valtuutusta ja valvontaa. Valvomalla pääsyä kriittisiin tietohin ja järjestelmiin voidaan tehokkaasti estää tietomurtoja ja saada jäljitettyä haitallinen toiminta. PAM on vain yksi tärkeistä kontrolleista kokonaisuudessa, jolla hallitaan organisaation tietoturvaa.

Mitä hyötyä PAM:ista?

PAM:n käyttöönotto tarjoaa organisaatiolle lukuisia etuja:

Helpompi vaatimustenmukaisuusArkaluontoisten tietojen luvattoman käytön estäminen on yksi päätavoitteista ja PAM:n käyttöönotto on ratkaiseva askel vaatimustenmukaisuuden täyttämisessä.
Parempi näkyvyysHallinta- ja pääkäyttäjätunnuksilla on mahdollista suorittaa haitallisia ja laittomia toimia organisaation verkossa. Niitä voidaan käyttää myös hyökkäyksissä. Vahvojen tunnusten hallinta ja valvonta tarjoaa olennaisen näkyvyyden, miten organisaation järjestelmiä käytetään.
Pienempi hyökkäyspintaPääkäyttäjätilien kaappaukset ovat kyberrikollisten yksi yleisimmin käyttämistä tavoista. Pääkäyttäjä- ja hallintatunnusten pääsyn rajoittaminen ja suojaaminen vaikeuttaa hyökkääjän kykyä operoida.
Tunkeutumisen laajentamisen estäminenKyberrikollisen haltuun saamia hallintatunnuksia käytetään yleensä siirtymään organisaation verkon läpi ja pääsemään käsiksi arvokkaisiin tietoihin ja järjestelmiin. PAM:n avulla organisaatio voi havaita ja myös estää tämän.

Mitkä ovat tyypilliset hyvät käytännöt PAM:issa?

  • Ota käyttöön monivaiheinen tunnistautuminen (Multifactor Authentication, MFA): Hyökkääjät voivat ottaa salasanalla suojatut tunnukset haltuunsa ja käyttää niitä hyökkäyksissä. MFA vaikeuttaa tätä. Monivaiheinen tunnistautuminen mahdollistaa PAM-ratkaisussa käyttäjän yhdistämisen istuntoon, vaikka kohderesurssia käytettäisiin yhteiskäyttöisellä hallintatunnuksella.
  • Keskitetty tunnusten hallinta: Käyttäjien, tunnusten yhteiskäyttö ja laitteiden määrä vaikeuttaa organisaation näkyvyyttä hallinta- ja pääkäyttäjätunnusten hallintaan ja valvontaan, jolloin keskitetty ratkaisu on paikallaan. 
  • Vähimpien oikeuksien pakottaminen – Vähimmäisoikeuksien periaate edellyttää, että käyttäjä-, sovellus- ja järjestelmätileillä tulee olla vain roolinsa edellyttämät käyttöoikeudet. Vähimpien oikeuksien pakottaminen minimoi etuoikeutettujen tilien määrän, joita organisaation on hallinnoitava ja suojattava.
  • Siirry ajattelutavassa nollaluottamukseen (Zero-Trust Network Access – ZTNA): Luottamattomuuden periaate edellyttää, että kaikki yritystietojen tai resurssien käyttöpyynnöt harkitaan tapauskohtaisesti käyttötarpeen mukaan. Tämä auttaa varmistamaan, että kaikki hallintatunnuksilla tapahtuva toiminta on asianmukaista, ja antaa samalla näkyvyyttä hallintatunnusten käytöstä, jolloin organisaatio voi valvoa väärinkäyttöä tai poikkeavia toimia sekä reagoida niihin.
  • Suojaa todentamiseen käytettävät pääsytiedot: Käyttäjät, sovellukset ja järjestelmät saattavat tarvita pääsyn kolmannen osapuolen sovellusten valtuustietoihin, SSH-avaimiin, API-tunnuksiin ja muihin todennusmenetelmiin. Nämä valtuustiedot on säilytettävä turvallisesti. PAM tarjoaa tähän mahdollisuuden.
  • Eri ympäristöjen huomioiminen: Joissakin organisaatioissa käyttö kohdistuu pelkästään kriittiseen OT-ympäristöön, ympäristö voi koostua sekä pilviresursseista että perinteisistä konesaliresursseista tai näiden yhdistelmistä, jolloin olisi hyödyllistä, että samalla PAM-ratkaisu sopisi jouhevasti kaikkiin yhdistelmiin.

Miten eteenpäin?

Usein organisaation tarvitsemat kyvykkyydet PAM-ratkaisulta ovat tuotantokäytössä pienemmät kuin mitä PAM-ratkaisut yleisesti tarjoavat. Meillä on tähän tarjota ratkaisu (lue lisää), joka kattaa keskeisimmät PAM:ilta vaadittavat kyvykkyydet:

  • Monivaiheinen käyttäjän todentaminen.
  • Kertakirjautuminen.
  • Valvottu pääsy ja luvitustyönkulut.
  • Nollaluottamukseen perustuva suojattu pääsy käyttäjän ja resurssin välille (VPN yhteyttä ei tarvita).
  • Istuntojen nauhoitus.
  • Pääsytietojen suojaus (SSH-avaimet, salasanat).
  • Täydellinen näkvyyys (raportointi).
  • Tuki erilaisille toimintaympäristöille: pilvi, konesali, OT tai näiden yhdistelmälle.
  • REST API-rajapintatuki kaikille hallintakäyttöliittymässä tehtäville toiminnoille.

Secure Cloudin lähestymistapa koostuu seuraavista tehtävistä, jotka toteutetaan yhdessä asiakkaan kanssa: 

  • Tunnistetaan yhdessä asiakkaan kanssa kriittiset suojattavat kohteet.
  • Tunnistetaan niihin liittyvät keskeiset käyttötapaukset.
  • Suoritetaan noin yhden kalenterikuukauden kestävä Proof-of-Concept, jossa varmistetaan, että ratkaisu täyttää organisaation tarpeet.
Eero Kaipiainen

Eero Kaipiainen

Eerolla on yli 15 vuoden kokemus digitaalisten identiteettien hallinnasta. Hän on toiminut konsultoinnin lisäksi eri rooleissa määrittelytyöstä koodaamiseen, projektijohdosta tekniseen käyttöönottoon ja ylläpitoon sekä kokemusta löytyy useasta eri digitaalisten identiteettien teknologiasta ja palvelusta. Tällä hetkellä Eero toimii Secure Cloudilla IAM arkkitehtina. Eeron harrastuksiin kuuluvat Go-lautapelin opettelu ja osakepoiminta.

  • eero.kaipiainen(at)securecloud.fi
  • 041 441 1029
Artikkelit
Secure Cloud favicon

Secure Cloudin ajankohtaiset