PAM – Och maktens ringar
I Tolkiens böcker om Midgård fanns 16 ringar. Det var maktens ringar och bars av de som var mäktigast. De som bar dessa ringar förslavades under dem och drogs ned i mörkret. För att kontrollera ringarna fanns en ring, ”Härskarringen”.
I många organisationer finns det flera personer med väldigt stor makt över olika IT-resurser, så kallad privilegierad åtkomst. Hur dessa personer erhåller åtkomst till resurserna är en väldigt sårbar del i organisationens IT-miljö. Kommer ”ringarna” i orätta händer kan det orsaka stor skada och ett stort ”mörker” för organisationen.
Vad är privilegierad åtkomst? (Makten)
Med privilegierad åtkomst menas en högre åtkomst eller behörighet än alla andra, dvs. en installation, konfiguration eller administration. En privilegierad åtkomst kan göras av både en fysisk och en icke fysisk person, såsom t.ex. applikations- eller servicekonton.
Privilegierad åtkomst kan ske mot flera olika IT-resurser. Ett vanligt exempel är en domänadministratör som kan skapa, förändra och ta bort konton, grupper och behörigheter inom en domän. Men det kan också vara en person som har åtkomst till olika kritiska system för organisationen.
Privilegierad åtkomst är en stor sårbarhet för en organisation och måste därför hanteras på ett korrekt sätt. Man vill kunna styra privilegierad åtkomst till vem, vad, när och hur.
Vilka är riskerna? (Mörkret)
De risker som finns är många och jag ska nämna några.
Först och främst så handlar det om konton och deras rättigheter. Konton med för stora rättigheter och för många resurser är en oerhört stor risk. Det är dessutom väldigt vanligt. Om ett konto kommer i orätta händer så vill man begränsa skadan så långt det går.
Organisationen måste också hålla kontroll över alla konton med privilegierad åtkomst, så kallad livscykelhantering. Livscykelhantering innebär att man har kontroll över när konton skapas, förändras och tas bort. Den senare är oerhört viktig. Konton som inte används längre måste tas bort – annars innebär de en stor risk. När konton skapas ska de följa en process där de måste godkännas av ansvariga personer så att inte ”vem som helst” kan skapa ett konto med höga rättigheter.
Det kan ibland vara svårt att upptäcka om någon utnyttjar privilegierad åtkomst på ett otillåtet sätt. När det väl händer kan det vara för sent. Därför är det viktigt med spårbarhet. All aktivitet med privilegierad åtkomst behöver övervakas så att otillbörlig åtkomst kan upptäckas i tid. Varför ansluter någon mot just detta system vid denna tid? Varför skapas ett nytt privilegierat konto eller varför ändras behörigheterna på ett befintligt? Kan vi se detta så ökar chansen för att vi i tid kan upptäcka, och agera, om någon manipulerar vår miljö.
Konton med privilegierad åtkomst (Ringarna)
Principen ”Least privilege” är väldigt viktig inom privilegierad åtkomst. Det innebär att ett konto aldrig ska ha mer behörighet än vad uppgiften kräver. En systemadministratör inom en organisation ska aldrig ha ett konto som har privilegierad åtkomst till flera olika system. Inte heller ska samma systemadministratör använda sitt ”vanliga” konto för att utföra privilegierad åtkomst till olika system. Varje privilegierad åtkomst skall utföras med ett konto specifikt för den uppgiften och det systemet.
Samtidigt ska man, enligt principen vem, vad, när och hur, bestämma när detta får göras. Får det enbart göras under vissa timmar på dygnet eller enbart under en begränsad tidsperiod? Hur får detta göras? I detta hur kan mycket klämmas in. Får man exempelvis enbart ansluta från vissa datorer eller särskilda nätverk? Men också – hur ska autentisering ske? Räcker det med lösenord? Knappast: har vi identifierat det som en privilegierad åtkomst så ska någon ytterligare faktor tillkomma i autentiseringsprocessen för att erhålla en stark autentisering. Detta kan t.ex. vara att man måste skriva in en engångskod som genereras i en app i ens telefon.
Hur gör man? (Härskarringen)
Många konton blir det… Och alla dessa konton måste vi hantera på något sätt. Vi behöver styra genom vem, vad, när och hur. Sårbarheten ökar kraftigt ju sämre kontroll vi har över detta. Som tur är så finns det olika lösningar som kan hjälpa. Dessa lösningar kallas PAM, Privileged Access Management.
En PAM-lösning hjälper din organisation att hålla kontroll över privilegierad åtkomst. PAM håller koll på alla konton med privilegierad åtkomst. När du loggar in i PAM så finns en lista över de privilegierade åtkomster som du har rätt till. Du väljer vad du vill göra och PAM ser till att du kan ansluta och utföra din åtgärd.
PAM ser till att behörigheten i resursen du ansluter mot enbart finns när du behöver den. PAM hjälper också till med livscykelprocessen av privilegierade konton. Konton kan enbart skapas enligt en tillåten process och de kan enbart användas av de personer som har tillåtelse till det. PAM loggar alla händelser i systemet för spårbarhet, t.ex. såsom vem som använder en privilegierad åtkomst och när. PAM kan också övervaka och spela in sessioner mot en resurs så att man i efterhand kan se exakt vad som utfördes i resursen.
”En ring att sämja dem,
en ring att främja dem,
en ring att djupt i mörkrets
vida riken tämja dem”
Ur J.R.R. Tolkiens böcker om Sagan om ringen, Åke Ohlmarks översättning
Detta inlägg är det femte i Knowits bloggserie om IAM. Du hittar övriga inlägg i serien här:
1: IAM – En förkortning med stor betydelse
3: Auktorisation – Vad får du göra?
4: IGA – En viktig del av säkerhetsarbetet
6: IAM – En hjälpande hand i GDPR-arbetet
8: Identiteter i det digitala samhället