Wer war da auf meinem System? – Privileged Access Monitoring

In meiner Fortsetzung des Themas Privileged Access Monitoring erkläre ich, wie Gateway Authentication dabei helfen kann verschiedene Aktivitäten auf einem Shared Account einzelnen Usern zuzuordnen.

Was wir bereits wissen

In einem anderen Beitrag habe ich bereits, am Beispiel der Shell Control Box, beschrieben, was Privileged Access Monitoring (kurz: PAM) auszeichnet.

In Kürze:

  • PAM dient der Verwaltung von privilegierten Benutzerkonten innerhalb der IT-Infrastruktur von Unternehmen
  • Es schützt durch festgelegte Rechte, Datenabfluss- sowie Zutrittskontrollen vor Datenmissbrauch
  • Die SCB kontrolliert den Zugriff auf Remoteserver, virtuelle Desktops oder Netzwerkgeräte
  • Und zeichnet die Aktivitäten der Nutzer auf, die auf diese zugreifen

Auch aus der Sicht eines Admins hat Privileged Access Monitoring Vorteile, wie Sie hier nachlesen können. Wie beschrieben gibt es zwei wichtige Nutzenargumente für Admins:

  1. Der Admin ist in der Lage selbst nachzuvollziehen, was und wie er etwas auf einem System getan hat. So kann er beispielsweise jederzeit nachweisen, fehlerfrei gehandelt zu haben.
  2. Admins sind in der Lage, Aufzeichnungen als Schulungszweck und zur Nachvollziehbarkeit und somit zur Wiederholbarkeit zu nutzen. Wissen kann somit nochmals genutzt und weitergegeben werden.

Gateway Authentication als Antwort auf die „Wer“-Frage

Wir können also kurz zusammenfassen: Mit Hilfe von PAM werden folgende Fragen beantwortet:

Wer hat was wann und wo gemacht?“

Die Gateway Authentication, als Funktion der Shell Control Box, bietet eine genaue (granulare) Antwort auf die Frage „Wer?“.

Es gibt in Unternehmen den Fall, dass mehrere privilegierte User sich einen Account zum Login teilen. Daher kann es sein, dass sich verschiedene Aktivitäten nicht genau einem User zuordnen lassen. Das wollen Sie natürlich vermeiden!

Integration der SCB in Passwortmanagementsysteme

Die Lösung: Durch Gateway Authentication werden die privilegierten User auf der Appliance autorisiert und können sich erst dann in den Shared Account einloggen.

Dies funktioniert bei der Shell Control Box von Balabit auf zwei verschiedene Arten:

Eine Variante ist das lokale Abspeichern der Anmeldeinformationen in einem sogenannten „Credential Store“. Dazu zählen zum Beispiel Zertifikate und Kennwörter, die für die Authentifizierung am Zielserver verwendet werden können. Der Benutzer selber hat keinen Zugriff auf diese Informationen. Er meldet sich lediglich mit seinem Passwort an der Shell Control Box an, diese prüft die Berechtigungen des Benutzers ab und führt mit Hilfe der lokal abgespeicherten Informationen im Credential Store automatisch die Anmeldung durch. Natürlich nur sofern die erforderliche Berechtigung zum Zugriff auch vorliegt.

Die zweite Variante ist die Integration der Shell Control Box in eine Lösung für das Passwortmanagement. Nämlich Lieberman’s Enterprise Random Password Manager (ERPM bzw. neu: RED Identity Management Suite). Die Passwörter werden mit dieser Lösung zentral auf den Zielservern verwaltet. Auf die Server kann nur über die Shell Control Box zugegriffen werden, da die Benutzer selber das Passwort für den direkten Zugriff nicht kennen.

Daneben gibt es die Möglichkeit, mit Hilfe eines flexiblen Plugin Frameworks die SCB auch in andere Passwortmanagementsysteme zu integrieren, zum Beispiel Thycotic’s Secret Server.

Wie genau die Gateway Authentication auf der SCB funktioniert, sehen Sie in unserem Video:

Wer hat gut aufgepasst?

Vielleicht ist es Ihnen aufgefallen: Im Video wird nicht die von mir vorher und in vorherigen Artikeln verwendete Abkürzung „SCB“ für „Shell Control Box“ verwendet, sondern „PSM“ für „Privileged Session Management“. Ab sofort, und in den folgenden Artikeln, werde ich auch die letztere Bezeichnung verwenden, da die SCB vor Kurzem in PSM umbenannt wurde.

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *