Nejméně pozornosti v oblasti digitálních identit, základu dnešní aplikační ekonomiky a digitální transformace, se však paradoxně věnuje těm uživatelům, od kterých hrozí největší riziko – privilegovaným uživatelům. Jedná se zejména o administrátory jednotlivých systémů a o externí subjekty vzdáleně spravující určitou část informační infrastruktury. A ač to možná není z aktuálně platných či připravovaných zákonů či regulací, které na nás postupně dopadají, na první pohled zřejmé (a je jedno, zda se jedná o zákon o kybernetické bezpečnosti, NIS, PCI DSS, ENISA či GDPR), procesní řízení přístupu privilegovaných uživatelů je základním stavebním základem jak těchto bezpečnostních regulací, tak zejména účinné obrany proti stále sofistikovanějším útokům na hybridní informační infrastrukturu. Ostatně ne nadarmo se říká, že největší přehled o firmě má vrátný a IT administrátor. Zatímco však od vrátného moc velké riziko kybernetického útoku nehrozí, u IT administrátorů, na které sofistikované útoky cílí právě díky jejich privilegovanému postavení, je to riziko naopak velmi vysoké.

Jenže jak efektivně snížit rizika plynoucí z často až neomezených přístupových oprávnění administrátorů či externích firem k privilegovaným, často sdíleným účtům, kde se dnes v mnoha případech nevyžaduje ani silná autentizace, o detailním auditu jednotlivých administrátorských relací ani nemluvě? A jak to celé zařídit tak, aby to bylo z pohledu implementace co nejméně invazivní, z pohledu provozu nenáročné na zdroje, z pohledu auditora transparentní a z pohledu privilegovaných uživatelů maximálně komfortní?

Autentizace a správa hesel

Prvním krokem ke zvýšení bezpečnosti a snížení rizika zcizení a zneužití přihlašovacích údajů je zajištění a vynucení silné, minimálně dvoufaktorové autentizace uživatelů k privilegovaným, tedy zejména administračním účtům, ideálně společně s vyhodnocováním aktuální úrovně rizika daného přihlášení (použité zařízení, denní doba, lokalita uživatele, typ připojení, atd.). V případě tak heterogenního prostředí, jaké je dnes běžné, tedy kombinace různých operačních systémů, aplikací, databází, síťových a bezpečnostních prvků, hypervizorů či cloudových aplikací, by však konsolidace autentizace k jejich privilegovaným účtům byla bez použití speciálního nástroje velmi komplikovaná. Nicméně na trhu již jsou k dispozici řešení, která tuto problematiku v různé míře pokrývají. Nazývají se nejčastěji obecně jako „Privileged Access Management“ (zkráceně PAM), případně také „Privileged Identity Management“ (PIM) nebo „Privileged User Management“ (PUM). A některé z nich jsou již přímo dodávány spolu s funkcí silné a rizikové autentizace, případně se integrují s vaším současným autentizačním serverem.

Aby však bylo možné silnou autentizaci opravdu vynutit, privilegovaní uživatelé nesmí disponovat hesly k jednotlivým privilegovaným účtům. Ta musí být šifrovaně uložena a jejich životní cyklus řízen přímo prostřednictvím PAM řešení. Uživatelům pak hesla nesmí být kromě velmi specifických situací (např. havarijní stav) volně k dispozici. Řešení PAM tedy slouží jako centrální silný autentizační „hub“, který zajistí prvotní ověření privilegovaného uživatele a následně mu na bázi nastavených politik (buď přímo v PAM řešení, nebo na bázi integrovaného identity managementu) zpřístupní transparentní přihlášení k vybraným účtům na vybraných systémech. Transparentním přihlášením, tedy přihlášením uživatele na pozadí, je aktuální heslo zabezpečeno nejen proti vyzrazení administrátorem, ale i proti zcizení např. na bázi tzv. „keyloggingu“, „stínování“ či škodlivého kódu. Celý životní cyklus hesel, tedy jejich generování a změna v cílových systémech, je pak kompletně v režii PAM dle nastavených pravidel.

To, že vhodným řešením PAM lze kromě vynucení silného ověření administrátorů zajistit také jasnou zodpovědnost konkrétních administrátorů při použití sdílených účtů (např. admin, root nebo sysdba), už je jen třešničkou na dortu.

K administračním, systémovým a technickým účtům však nepřistupují pouze uživatelé, ale také aplikace či skripty. Ty v sobě dnes obsahují názvy účtů a hlavně jejich (často dlouho nezměněná) hesla, mnohdy navíc v čitelné podobě. V rámci zabezpečení přístupu i k těmto účtům je tak nutné, aby PAM systém umožňoval také autentizaci skriptu vůči systému PAM, který mu v momentě spuštění poskytne aktuálně platné heslo. Taková funkce se v rámci PAM řešení obecně nazývá „application-to-application“ (zkráceně A2A).

Autorizace a restrikce oprávnění

Po silné autentizaci přichází na řadu autorizace uživatele k přístupu ke konkrétním účtům a za předem definovaných okolností, a následně i případná omezení jeho oprávnění v rámci daných relací. Autorizace i jednotlivá omezení by měla být založena na centrálně řízeném RBAC modelu – uživatel má pouze taková oprávnění, jaká náleží jeho roli.

Pro předcházení chybám či úmyslným útokům je vhodné mít i možnost monitorování obsahu probíhajících relací včetně filtrování příkazů. Nestane se vám pak, že si databázový administrátor „splete“ produkční a testovací prostředí a spustí příkaz „drop table“.

Častým vektorem útoku bývá také použití jednoho serveru pro získání přístupu k jinému serveru, na který už nemá uživatel oprávnění, tzv. „leapfrogging“. PAM řešení by mělo pamatovat i na tyto situace a neumožnit tak uživateli či škodlivému kódu obcházet bezpečnostní mechanismy.

Pokud firma či instituce provozuje kritické servery či servery obsahující citlivé údaje, měla by také zvážit možnost zabezpečení těchto serverů přímo na úrovni kernelu, a toto mít se svým PAM řešením integrováno. Při přímém přístupu k privilegovaným účtům na těchto kritických serverech, což je za určitých okolností třeba, je pak zajištěno vynucení stejných politik a omezení jako v případě přístupu přes řešení PAM.

Čím dál více firem také začalo pro své klíčové procesy využívat hypervizory a cloudové služby, a přístup k jejich administraci tak musí začít podléhat stejně striktním pravidlům, jako jim podléhá administrace interních systémů. Ať už se jedná o VMware, Office365 či Amazon Web Services, je to oblast, kterou prostě nelze ignorovat.

Audit a monitoring

V oblasti PAM audit zdaleka nekončí jen sledováním, kdo má kam jaká přístupová práva a kdy se přihlásil k jakému účtu. Auditem a monitoringem je zde myšlen komplexní proces logování a nahrávání relací a použitých příkazů, tedy kombinace videa a textu, které se pak v komprimované a zašifrované podobě ukládají pro případ budoucí potřeby přehrání a analýzy, v krajních případech také pro případ dokazování konkrétního jednání u soudu.

Pro další zvýšení bezpečnosti je v rámci monitoringu kritických systémů dobré uvažovat také o vyhodnocování aktuálního rizika chování jednotlivých uživatelů přihlášených k privilegovaným účtům. Cílem je detekce podezřelých aktivit uživatele s případným vynuceným ukončením dané relace.

Implementace, integrace a správa

Ač se z pohledu určitého zásahu do způsobu práce privilegovaných uživatelů a s tím spojených procesů může jednat o složitou disciplínu a z toho plynoucí složité řešení, nemusí tomu tak být. Implementace a integrace PAM řešení může být již dnes přímočará a rychlá, správa intuitivní a uživatelský komfort maximální.

Stejně tak je dobré se při výběru vašeho PAM řešení soustředit na jeho širokou podporu systémů a na jednoduchost jejich integrace, ideálně prostřednictvím dodávaných konektorů s možností vlastní integrace např. na bázi API.

Architektura a forma provozu

Architektura a forma provozu PAM řešení se vám možná nemusí zdát tak důležitá jako jeho funkce, ale jen do momentu, než začnete řešit jeho implementaci, správu a podporu. Při výběru PAM řešení si tedy dobře všímejte, kolik modulů je pro provoz ve vašem prostředí třeba, kolik to reálně reprezentuje virtuálních nebo fyzických serverů, jaká je výkonnost, jak se řeší jeho vysoká dostupnost a jak se dané řešení licencuje. Teprve po přidání těchto parametrů se rozhodněte, které řešení si nakonec vyberete.

David Matějů Autor článku je Senior Security Consultant ve společnosti CA CEE, s. r. o.