Quis custodiet ipsos custodes? Kdo hlídá hlídače? – toto staré římské přísloví platí ve světě ICT dvojnásob. Hlídač má velké pravomoci a omezit jej v práci by mohlo být kontraproduktivní, ba i nebezpečné. Hlídačem je v našem světě privilegovaný uživatel – typicky root nebo Administrátor. Rovněž se může jednat o sdílený aplikační účet v operačním systému – například k databázi či ERP systému.

IdM vyřešeno

Řada středních a velkých organizací má již dnes klasický identity management (myšleno provisioning účtů) vyřešen – ať už procesně nebo pomocí některého IdM nástroje. A zbývá pokrýt těch několik jednotek procent účtů, které jsou správcovské nebo sdílené aplikační. Tyto účty není typicky žádoucí spravovat z IdM nástroje, protože aplikace standardních procesů by mohla ohrozit fungování systémové infrastruktury samotné. Může ale být výhodné privilegované účty v IdM nástrojích evidovat v mechanismu rekonciliace.

Velký bratr

Privileged Identity Management, zkráceně PIM, je oblast bezpečnosti ICT, která se bouřlivě rozvíjí až v posledních letech. PIM je určen především pro monitoring činnosti správců operačních systémů, ať už platformy UNIX/Linux nebo Windows. Monitoring spočívá především v důsledném logování veškeré činnosti uživatelů, aniž by byla oprávnění privilegovaných uživatelů omezena. Způsoby, jakými to produkty PIM řeší, jsou různé. Jako dva hlavní bych uvedl:

• „Man in the middle“ architektura, kdy všichni správci přistupují přes nástroj PIM. PIM pak emuluje aplikace typu Putty či Windows remote desktop ve svém portálovém rozhraní. Přímo do koncového systému nemá přístup nikdo, může však existovat „obálkové“ heslo jako havarijní scénář. Výhodou je, že všechna data pro monitoring se zachytávají již na úrovni PIM.
• Agentový přístup – do koncových systémů se instaluje malá aplikace (agent), která komunikuje s centrálním PIM. Uživatelé pracují v koncovém systému běžným způsobem, přičemž jejich činnost je sledována aplikací agenta. Variantně některá řešení fungují i bez agentů takovým způsobem, že PIM upraví chování samotného operačního systému.

Nástroje PIM získaná data z monitoringu uchovávají a ve strukturované podobě je nabízejí pro auditní reporty. Podrobnost jde typicky až na úroveň jednotlivých operací v OS – „kdo smazal tento adresář“, „kdo zkopíroval tato data“ atd. Zpětné dohledávání akcí může být i se sebelepším reportem časově náročné, je však možné počítat s tím, že v prostředí, kde správci při vědomí, že jejich činnost sleduje „Velký bratr“, se budou automaticky chovat kultivovaněji.

Něco navíc

Nástroje PIM nejsou jen o sledování činnosti uživatelů, vyřeší také autentizaci do OS pomocí distribuce hesla. Další zajímavou vlastnosti je možnost některých řešení vytvářet vlastní autorizační modely, typicky daleko lépe škálovatelné než jsou možnosti samotných OS. Rovněž zmíním zajímavé analytické instrumenty pro vyhodnocení podezřelého chování uživatelů. Mezi speciality také patří možnost uložit session sledovaného uživatele ve formě videa. Z videa je pak zřetelně vidět co uživatel pouštěl, kam klikal apod. Samozřejmě analýza takového materiálu je pak velmi nákladná (o místu v DB nemluvě), avšak nahrávání session je možné cílit jen na konkrétní uživatele (např. externisty) či kritické systémy.

PIM je možné provozovat samostatně nebo jej integrovat se systémem IdM. IdM pak typicky zpracovává požadavky helpdesku či HR a dále je propaguje do aplikace PIM. Výhodou integrace je propojení PIM s automatickým nastavováním práv či konceptem business rolí IdM. Ve výsledku je tak možné dosáhnout integrace dvou procesů – provisioningu a autentizace.

Pro koho je PIM?

PIM si nasazují velké banky, průmyslové firmy a obecně organizace s vysokými požadavky na bezpečnost ICT. Nezapomínejme ani na novou regulaci v českém prostředí – Kybernetický zákon, související vyhláška hovoří o „ověřování identity účtů administrátorů“ a nepopiratelnosti akcí.

Mezi přední výrobce produktů PIM patří CyberArk, CA Technologies, NetIQ (Novell) a Oracle. Společnou filozofií všech PIM řešení je dále minimalizovat riziko v segmentu, který bývá často opomíjen, v segmentu samotných správců operačních systémů či aplikací. Žijeme v době neustále se zvyšujících nároků na ICT bezpečnost, dříve nedotknutelní privilegovaní uživatelé dnes často sami postrádají mechanismus, který by jejich rutinní činnost neomezil, ale přitom jim poskytl lepší krytí v podobě důsledné prokazatelnosti akcí.

Martin Lízner