مدیریت دسترسی ممتاز، PAM، دست راست مدیران

مقدمه

آیا می‌دانید که بیشترین میزان سرقت، حملات، و خرابکاری‌های سایبری درون سازمان‌ها و شرکت‌ها، توسط کسانی انجام می‌شود که خود درون سازمان هستند و دارای دسترسی‌های خاص می‌باشند؟ آیا تا به حال به این فکر کرده‌اید که کسانی که به قسمت‌های حیاتی یک شبکه در یک سازمان دسترسی دارند خود چگونه نظارت می‌شوند؟ آیا برای سطوح بالا نیز راهی برای نظارت و کنترل عملکرد وجود دارد؟

با مدیریت دسترسی ممتاز PAM می توان به تمام  این سوالات پاسخ داد. در این مقاله قرار است در مورد PAM صحبت کنیم و به راهکارهایی برای نظارت و کنترل دسترسی در سطوح ممتاز برسیم.

مدیریت دسترسی ممتاز PAM به چه معناست؟ چه کسانی شامل این نوع دسترسی می‌شوند؟

PAM یا کنترل دسترسی ممتاز نوعی سیستم کنترل دسترسی است که در شرکت‌ها و برای کنترل و نظارت بر دسترسی‌های کارمندان دارای امتیازات خاص مورد استفاده قرار می‌گیرد. PAM این امکان را فراهم می‌کند تا مدیران بتوانند بر اقداماتی که توسط کاربران خاص انجام می شود، نظارت دقیق و کامل داشته باشند و شبکه و سازمان خود را ایمن نگه دارند. عبارت PAM مخفف Privileged Access Management است و به معنی مدیریت دسترسی ممتاز می‌باشد. حالا باید ببینیم چه کسانی در یک سازمان دارای این نوع دسترسی هستند؟ به طور معمول، همه‌ی کارمندان یک شرکت دارای دسترسی‌های مختلف هستند و می‌توانند به بخش‌های تعریف شده‌ی یک شبکه دسترسی داشته باشند. اما کارمندانی نیز هستند که در رده‌های بالاتری قرار دارند و نوع دسترسی‌های آنان نیز فرق دارد. مثلا کارمندی را در نظر بگیرید که به اطلاعات حیاتی شبکه، کنترل امور مالی، و دسترسی‌های سایر کارمندان نیز دسترسی دارد. به طور کلی در هر سازمانی، تعدادی دسترسی خاص با امتیازات و محدوده فعالیت بیشتری برای تعدادی از کاربران وجود دارد. منظور از کاربر، لزوما کاربر انسانی نیست. کاربر ویژه حتی می‌تواند یک دستگاه کامپیوتر باشد که برای دسترسی‌های خاص برنامه ریزی شده و به بخش‌های عمیق‌تری از شبکه دسترسی دارد. وجود سیستم نظارتی ویژه مانند PAM در اینجا اهمیت خود را نشان می‌دهد.

انواع دسترسی ممتاز (PAM) انسانی

ابر حساب کاربری (Super User Account)

این حساب برای مدیران شبکه و آی‌تی و وبسایت است و محدودیت خاصی ندارد و می توان از آن برای اضافه کردن و حذف کاربران و یا پیکربندی وب‌سایت استفاده کرد.

حساب مدیریت دامنه (Domain administrative account)

این حساب ارائه‌دهنده دسترسی مدیریتی ویژه و سراسری در کل شبکه مبتنی بر دامنه ی آن شبکه است، چندان رایج و پرکاربرد نیست اما بسیار قدرتمند و گسترده است.

حساب مدیریت محلی (Local administrative account)

این نوع حساب در Endpoint ها یا نقاط پایانی به کار می‌رود، معمولا شامل یک رمز عبور و پسورد می‌شود و به اشخاص دسترسی به سیستم‌ها و اطلاعات خود، و نیز اجازه‌ی ویرایش اطلاعات و ایجاد تغییرات را صادر می‌کند.

کلید پوسته سوکت ایمن (Secure socket shell)

این مورد یکی از کلید‌ها و در حقیقت یکی از پروتکل‌های مهم و اساسی برای ورود به root های اساسی و حیاتی سیستم می‌باشد. Root یک حساب کاربری است که به تمامی دستورات پیشفرض در سیستم عامل لینوکس و نیز یونیکس دسترسی تمام و کمال دارد.

حساب اضطراری (Emergency account)

نوعی حساب است که در مواقع حساس و اضطراری برای مدیران دسترسی به نقاط مورد نظر را فراهم می‌کند. از آن نیز با نام‌های Firecall یا Breakglass یاد می شود.

کاربر تجاری ویژه (Privileged business user)

کاربر تجاری ویژه کاربری است که درون محیط IT نیست، اما می‌تواند به قسمت‌های حساس و مهم دسترسی داشته باشد. معمولا این نوع دسترسی به کسانی اعطا می‌شود که با منابع انسانی (HR) یا منابع مالی سر و کار دارند.

انواع دسترسی ممتاز (PAM) غیر انسانی یا ماشینی

حساب برنامه (Application account)

همان‌طور که از نام آن پیداست، این نوع حساب برای مدیریت یا پیکربندی نرم افزارهای کاربردی یک سازمان است و نیز دسترسی‌ها به این برنامه‌ها را مدیریت می‌کند.

حساب سرویس (Service account)

برنامه‌ها و نرم افزارهای مختلف نیاز به تعامل با سیستم عامل دارند. سرویس‌های مختلف از این نوع حساب برای ایجاد تغییرات در سیستم‌های عامل و پیکربندی آن‌ها استفاده می‌کنند.

کلید SSH

ما کلیدهای SSH را در قسمت قبلی معرفی کردیم. این کلیدها علاوه بر کاربرد ذکر شده، می‌توانند در پروسه‌های خودکار و مورد استفاده قرار بگیرند.

راز (Secret)

این عنوان توسط تیم توسعه و عملیات DevOps ابداع شده و به طور کلی به کلید‌های SSH، کلید‌های برنامه‌ی کاربردی API و نیز مدارک و اسناد مورد استفاده توسط تیم DevOps اشاره دارد. برای کسانی که نمی‌دانند، توسعه و عملیات که گاهی به آن دِواپس یا DevOps گفته می‌شود، مجموعه‌ای از روش‌ها و فرایندها و ابزارهایی است که با تمرکز بر ارتباطات و همکاری بین تیم‌های توسعه‌ی نرم‌افزار و عملیات فناوری اطلاعات، خدمات تولید شده را در اسرع وقت و به طور مرتب به دست مشتریان می‌رساند.

اهمیت مدیریت دسترسی ممتاز PAM در چیست؟

حساب‌های ممتاز در هر سازمان و شبکه‌ای می‌توانند وجود داشته باشند و دسترسی‌هایی که ارائه می‌دهند بسیار گسترده و متنوع است. مثالی از یک حساب ممتاز با دسترسی بالا، حساب کاربری رسمی توییتر است، که نمایه‌ی شرکت و کلیه ی پست های مرتبط به شرکت را در دایره‌ی اختیارات خود دارد. تصور کنید چه اتفاقی می‌افتد اگر کسی بخواهد از آن سو استفاده کند. اگرچه این حساب‌ها بسیار حساس به نظر می‌آیند ( که در واقع همینطور هم هست) از قدیم تا امروز نظارت و کنترل دسترسی بر این حساب‌ها چندان مورد توجه نبوده و همیشه مشکلاتی در این زمینه وجود داشته است. راهکارهایی که PAM ارائه می دهد، پاسخ تمام این مشکلات است. از جمله امکانات PAM می‌توان به ذخیره‌سازی رمزهای عبور و تغییر آن در فواصل معین، مشاهده و نظارت فعالیت حساب‌های ممتاز به صورت زنده در زمان واقعی (Real time) اشاره کرد. وجود PAM از آن جهت مهم است که بیش از 50 درصد حملات سایبری انجام شده، درون سازمانی و از سوی اشخاصی صورت گرفته دارای دسترسی ممتاز بوده‌اند و باید حتما تدابیری برای مانع شدن از حملات آتی اندیشید. داشتن سیستم PAM مناسب در یک سازمان می‌تواند توان امنیتی و بهره‌وری را در آن سازمان بالا برده و به گسترش و پیشرفت آن کمک کند.

عملکرد مدیریت دسترسی ممتاز PAM به چه شکل است؟

مدیریت دسترسی ممتاز PAM مانند یک مدیر، یا مانند یک محل بسیار امن، اطلاعات حیاتی و اساسی کاربران و حساب‌های ممتاز، رمزهای عبور و کلیه‌ی امور اساسی شرکت را در محلی امن نگهداری می‌کند و برای هر یک از افرادی که اجازه‌ی دسترسی به این اطلاعات را می‌خواهند خط مشی و راهکار و تعیین می‌کند. مثلا اگر شخصی اجازه‌ی دسترسی به یک حساب یا عملکرد ممتاز را می خواهد، مدیریت دسترسی ممتاز PAM با صدور رمز یکبار مصرف خصوصی به کاربر اجازه‌ی ورود می‌دهد. در بعضی موارد، PAM از کاربر بسته به نوع درخواست دسترسی توجیه مناسب درخواست می‌کند و حتی گاهی اوقات تایید مدیران ارشد نیز برای اعطای دسترسی ممتاز لازم است. هر کاربر در PAM امتیاز و رده‌ی خاصی دارد و این دسترسی‌ها تمام در سیستم‌ ثبت شده‌اند و گاها این دسترسی‌ها موقت و قابل تغییر است. کلیه‌ی فعالیت‌های کاربران توسط PAM قابل رصد به صورت زنده است و این یکی از ویژگی‌های اصلی PAM است. پسوردهای تعیین شده توسط مدیریت دسترسی ممتاز PAM به طور متناوب تغییر می‌کنند. در سیستم‌های جدید و مدرن PAM، امکان یادگیری رفتار ماشینی نیز وجود دارد، و PAM می‌تواند با شناسایی الگوهای نامناسب جلوی اتفاقات بعدی را بگیرد.

جمع‌بندی

اگر مقاله را تا اینجا دنبال کرده باشید، متوجه چیستی و دلایل اهمیت مدیریت دسترسی ممتاز یا PAM شده اید. این سیستم، مدیران سازمان‌ها را قادر می‌سازد تا بر کارمندان و ماشین‌های دارای دسترسی ممتاز در سازمان خود، نظارت و کنترل داشته باشند، چرا که بسیاری از حملات سایبری از طریق دو گروه ذکر شده امکان وقوع دارد. با داشتن سیستم PAM مناسب، می‌توان از حفظ امنیت ریشه‌های حیاتی یک سازمان اطمینان حاصل کرد و تمرکز بیشتری بر گسترش و پیشرفت شرکت داشت، به خصوص که در گذشته این موضوع رواج چندانی نداشته و اهمیت کافی به آن داده نمی‌شد. اکنون در کشور عزیزمان ایران ما در شرکت دژپاد مفتخر هستیم که سیستم PAM را با جدیدترین تکنولوژی روز در اختیار مدیران شرکت‌ها قرار دهیم. برای کسب اطلاعات بیشتر می‌توانید با کارشناسان ما در دژپاد تماس بگیرید و همین امروز PAM خود را خریداری کنید!