TOP

Platforma kybernetické bezpečnosti

Jak na efektivní správu a ochranu hesel k privilegovaným účtům?

Úvod

Široké využívání virtualizace a cloudu a neustále rostoucí dynamika dnešních výpočetních prostředí zvyšují
jak důležitost, tak i složitost dlouho známého problému: efektivní správy a ochrany hesel k privilegovaným
účtům. Správa privilegovaných hesel v rámci širokého rozsahu tradiční infrastruktury (síťové prvky, servery,
mainframe atd.) vytváří dlouhodobý problém z hlediska bezpečnosti a shody s předpisy. Další komplikací je
pro většinu organizací mnoho privilegovaných přihlašovacích údajů pevně vestavěných do aplikací a
pokračující rozšiřování autentizace bez použití hesel, které je třeba také zahrnout do bezpečnostních politik
a procesů. Příkladem takového přihlašování mohou být klíče SSH nebo PEM.

 

Tento článek se podrobně věnuje všem těmto problémům a vysvětluje 12 nepostradatelných funkcí definující
správu privilegovaných přihlašovacích údajů nové generace. S produkty splňujícími tyto požadavky získáte
ucelenou sadu nástrojů pro ochranu a správu všech typů přihlašovacích údajů pro všechny typy prostředků,
ať už jsou umístěny kdekoli, a to způsobem vhodným jak pro současná, tak i pro nová hybridní cloudová
prostředí. Jednoznačným přínosem použití správného řešení je výrazné snížení rizik a nákladů na provoz,
které lze jen stěží dosáhnout s produkty neposkytujícími dostatečnou úroveň kontroly, šířku pokrytí, ani funkce
specifické pro cloudové prostředí.
 

Hesla k privilegovaným účtům se od hesel běžných koncových uživatelů liší tím, že zpřístupňují ty nejcitlivější
prostředky organizace – zejména účty pro správu (např. admin, root, SYS a sa) a s nimi související možnosti
konfigurace a správy prakticky celé IT infrastruktury. Vzhledem k velmi vysoké míře rizika je zřejmé, že správa
a ochrana těchto přihlašovacích údajů je velmi důležitá – což je mimo jiné závěr, který stvrzuje celá řada
relevantních doporučení, stanovených v běžných bezpečnostních standardech a regulacích, např. NIST Special
Publication 800-53, Payment Card Industry Data Security Standard (PCI-DSS), nebo i zákon č. 181/2014 Sb.,

tedy tzv. „Zákon o kybernetické bezpečnosti“.

 

I bez požadavků daných předpisy a standardy je zřejmé, že správa privilegovaných hesel není jen doporučeným
postupem z hlediska řízení rizik, ale také základním prvkem pro překonání nebezpečných zvyků a postupů, které
jsou v dnešních organizacích bohužel běžné.Slabá, dlouho nezměněná nebo prozrazená hesla (například proto,
že jsou uchovávána na lístku na monitoru nebo v nešifrovaném souboru), příliš mnoho hesel, sdílení hesel,
chybějící jasná zodpovědnost za privilegované účty, chybějící možnost silného ověřování, a chybějící možnost
centrálního zrušení platnosti oprávnění jsou jen některé z problémů, se kterými se běžně setkáváme.

 

Hlavní ohrožení však spočívá v tom, že kterýkoli z těchto problémů může vést k úspěšnému phishingovému
útoku, cílenému APT útoku, a v důsledku ke krádeži dat – nemluvě o porušení shody s předpisy. Potřebujete
důkaz? Podle zprávy o vyšetřování úniků dat, kterou zveřejnila společnost Verizon v roce 2013, lze 76 %
úniků dat připsat odcizeným přihlašovacím údajům, a dalších 13 % zneužitím ze strany důvěryhodných
interních pracovníků. Díky tomuto a obdobným zjištěním je naprosto jasné, proč dnešní organizace potřebují
při správě, ochraně a řízení přístupu k privilegovaným přihlašovacím údajům využívat robustní řešení splňující
velmi náročné požadavky na bezpečnost, efektivitu, a současně na uživatelský komfort.
 

Tradiční problémy shrnuté výše jsou však pouze špičkou ledovce. Vezmeme-li v úvahu výhody nízkých nákladů,
flexibility a rychlosti, které přináší hybridní cloud (kde IT služby a aplikace využívají jak tradiční, tak i virtuální
infrastrukturu v rámci podnikových i cloudových datových center), je široké rozšíření této technologie jen otázkou
času. Kromě výhod však hybridní cloud přináší také několik nových problémů, a to i v oblasti správy
privilegovaných účtů:

 

větší objem – rostoucí provozní požadavky a jednoduchost nasazení dalších virtuálních strojů
znamenají více entit vyžadujících privilegovaný přístup (a tím i privilegovaná hesla),

větší rozsah – koncentrovaná síla konzolí pro správu virtualizace a cloudu přidává do IT prostředí
nové typy privilegovaných prostředků a účtů,

větší dynamika – neboť nové servery a systémy je možné přidávat téměř okamžitě a dokonce
hromadně (i desítky až stovky systémů najednou),

potenciál pro vytváření ostrůvků identit – neboť každá jednotlivá cloudová služba má své
vlastní úložiště identit a infrastrukturu.
 

Kromě výzev, které před manažery IT bezpečnosti staví hybridní cloud, musejí při vyhodnocování možných
řešení pamatovat také na dva další aspekty problému správy privilegovaných hesel.
 

Za prvé je třeba vzít v úvahu scénáře stroj-stroj nebo aplikace-aplikace (A2A), kdy jsou hesla používaná jedním
systémem nebo aplikací pro získání přístupu k jinému systému nebo aplikaci pevně zakódována v cílové aplikaci,
nebo jsou zpřístupněna ve formě textového konfiguračního souboru či skriptu. 
 

Druhou věcí, kterou je třeba zvážit, je často přehlížený problém existence tisíců klíčů (např. SSH), které, ačkoli
nejde o tradiční hesla, slouží stejně jako hesla k zajištění přístupu k privilegovaným účtům. Proto také vyžadují
minimálně stejnou úroveň správy a ochrany.
 

Pokud jde o vyhodnocení vhodného řešení správy privilegovaných hesel pro vaše konkrétní účely,
doporučujeme nejprve ověřit, zda dané řešení nabízí ucelenou sadu funkcí, které bezpečnostním týmům
pomohou překonat rizika plynoucí z tradičních přístupů k vytváření, správě a používání citlivých
administrátorských přihlašovacích údajů. Mezi konkrétní oblasti, které je třeba zvážit, patří detekce
privilegovaných účtů a hesel, jejich bezpečné ukládání a správa, vynucování bezpečnostních politik, bezpečné
a auditované poskytování hesel, automatizované přihlašování typu SSO, nahrávání administrátorských relací,
a v neposlední řadě podpora kompletní správy privilegovaných identit.
 

1. Automatizovaná detekce účtů

Bez nástrojů pro automatizovanou detekci nebo alespoň pro podporu detekce může být proces zahrnování
privilegovaných hesel pod jednotnou správou velmi obtížný. Řešení by tedy mělo poskytovat metody pro
detekci systémů a účtů. Navíc by mělo být možné snadno hromadně tyto informace importovat, ale i vkládat
jednotlivé záznamy z grafické konzole pro správu. A nakonec je také důležité si uvědomit, že by tato detekce
a import měl být ideálně bezagentový, tedy bez nutnosti cokoliv instalovat na spravované systémy.
 

2. Zabezpečené úložiště hesel

Šifrované úložiště slouží jako centralizované a kontrolované místo, a je klíčovým řešením
pro eleminaci nebezpečných metod ukládání hesel (jako jsou například tabulky aplikace Excel),
které usnadňují sdílení a vyzrazení přihlašovacích údajů. Ideálním řešením je úložiště se šifrováním
odpovídajícím standardu FIPS 140-2. Přínosem může v této oblasti dále být:

 

Možnost integrace s HSM moduly, což je zvláště důležité pro velké společnosti a rizikové oblasti,
například v případě finančních a bankovních systémů, kde je žádoucí ukládat klíče použité
k zašifrovaní hesel odděleně od samotných zašifrovaných hesel.

Použití ověřených procesů k ochraně šifrovacích klíčů v době, kdy se používají (tj. v paměti).
Tento přístup zabraňuje hackerům v zachycení a poskládání klíčů při monitorování standardních
šifrovacích rozhraní API a paměti, a je výrazně účinnější než slabší alternativy založené na dělení klíčů
a jednoduchém maskování.

 

3. Automatické vynucování bezpečnostních politik

Ideální řešení pro správu privilegovaných účtů automatizuje vytváření, používání a pravidelnou obměnu hesel,
a tím eliminuje jejich opakované používání nebo vytváření slabých hesel. Dále musí být možné flexibilně
nastavovat politiky a vynutit tak dostatečnou složitost hesel, implementovat požadované obnovování hesel
– například změnu hesel v závislosti na čase (např. každý den nebo každý týden) nebo v reakci na určitou
událost (např. po každém použití) – a řídit jejich používání (např. povolit přístup pouze v určených časových
oknech nebo vyžadovat dvojité či vícenásobné ověřování při přístupu k heslům). Přidáním nového systému
do určité skupiny by mělo dojít k automatické aplikaci politik této skupiny.
 

4. Bezpečné použití hesel

Uložení přihlašovacích údajů k privilegovaným účtům do sejfu je zbytečné, pokud neexistuje způsob jejich
bezpečného získání a použití. Prvním krokem tohoto procesu je silné ověření entity (ať už osoby, aplikace
nebo skriptu), která se snaží uložené přihlašovací údaje použít. Řešení následně předá uložené přihlašovací
údaje oprávněné entity (uživatele nebo aplikace) přímo cílovému systému. Oproti běžným řešením typu
„uložit/vyzvednout“ v tomto případě uživatel svá hesla vůbec neuvidí ani nezíská. Tím se výrazně snižuje riziko
jejich vyzrazení. Navíc, protože ověření na cílovém systému je plně automatické a uživatelé si tedy nemusí
pamatovat ani přepisovat svá hesla, je možné nastavit politiky s výrazně vyššími požadavky na složitost hesel.

 

5. Pokrytí heterogenního prostředí

Vámi vybrané řešení pro správu privilegovaných uživatelů by již v základu mělo umožňovat integraci se všemi
běžnými typy IT infrastruktury, síťovými zařízeními a aplikacemi, zejména:

 

• Doménové a lokální účty Windows

• Linuxové a Unixové distribuce

• Databáze 

• Vámi používaná síťová a bezpečnostní zařízení

• Váš ERP, HR, help-desk a další systémy

• Systémové a aplikační servery

 

Řešení by také mělo být dost flexibilní na to, aby bylo snadno rozšiřitelné i na proprietární a interně vyvíjené
systémy.

 

6. Podpora hypervizorů a cloudu

Pokrytí správy a ochrany přihlašovacích údajů by se nemělo týkat jen tradičních systémů; zahrnovat musí také
vaše hypervizory a cloudová řešení, ať už je to VMware, Amazon Web Services či Microsoft Online Services.
Pokryty musí být jak jednotlivé instance virtuálních strojů, tak příslušné konzole pro správu, protože si vzhledem
k možnostem, které poskytují, zaslouží zařazení do své vlastní kategorie privilegovaných prostředků.

 

7. A2A

Jak již bylo zmíněno, lidé nejsou jedinými uživateli privilegovaných přihlašovacích údajů. Ve většině organizací
mohou mít k citlivým prostředkům, například aplikacím nebo databázím, přístup také různé skripty a aplikace.
To se typicky realizuje vestavěním příslušných přihlašovacích údajů přímo do kódu příslušného skriptu nebo
aplikace, což je však velmi nebezpečné. Vámi vybrané řešení by tak mělo poskytovat i bezpečné řešení pro
případy A2A umožňující vývojářům zahrnout do jejich aplikací možnost dynamického získávání hesel.
 

8. Správa životního cyklu SSH klíčů

Kromě podpory šifrování se také mnoho klíčů používá pro ověření identity držitele. Ačkoli tyto klíče nejsou
hesly v tradičním smyslu, fungují velmi podobně a jsou vystaveny také podobným rizikům a hrozbám, jako
jsou kopírování, sdílení, nechtěné prozrazení a neauditovaná zadní vrátka. Protože se tyto klíče často vkládají
přímo do kódu nebo jsou používány transparentně, aby uživatelé nebyli zatěžováni jejich relativní složitostí,
jsou také více ohroženy zastaráním nebo zcizením. Je proto logické na tyto klíče uplatnit stejné postupy, které
se používají pro správu a ochranu hesel.
 

9. Volba mezi softwarem, hardwarem a službou

Každá společnost a instituce preferuje jiný způsob nasazení – buď jako hardwarový server, jako software
pro instalaci do svého prostředí, nebo jako službu poskytovanou z cloudu. Vámi vybrané řešení by mělo tuto
flexibilitu poskytovat, a nenutit vás do nasazení, které se neslučuje s vašimi požadavky.

 

10. Všechno v jednom

Nechcete-li vynakládat další prostředky do nákupu, implementace a provozu operačních systémů, databází,
aplikačních serverů, atd., měli byste se ujistit, že vámi vybraný systém pro správu privilegovaných uživatelů
obsahuje již vše potřebné pro svůj provoz v ceně licence, ideálně v „all-in-one“ zabezpečeném serveru.

 

11. Škálovatelnost a spolehlivost

Správa privilegovaných přihlašovacích údajů je kritickým prvkem IT infrastruktury každé organizace. A platí to
dvojnásob, když se implementace rozšíří o scénáře A2A, které pracují zcela automatickým způsobem. Za tím
účelem musí vámi vybrané řešení nabízet klastrování a rozdělování zátěže, takže bude schopné se plně
vyrovnat s požadavky na vysokou dostupnost a možnosti škálování, ideálně ve formě active-active.

 

Závěr

Správa a ochrana privilegovaných přihlašovacích údajů je zásadní pro snížení rizik a dosažení shody
s předpisy. Složitost a důležitost tohoto problému také neustále roste s tím, jak se v hybridních cloudových
prostředích objevují nebývale výkonné konzole pro správu, které umožňují pomocí několika kliknutí myši
vytvářet nebo odebírat doslova stovky cílových systémů najednou.
 

Organizace hledající řešení pro tuto kriticky důležitou oblast bezpečnostní strategie musí vyhodnotit dostupná
řešení z hlediska jejich hloubky, rozsahu pokrytí a podpory cloudového prostředí, které nabízejí. Soustřeďte
se tedy na řešení nové generace, které zajistí snížení rizik, zlepšení provozní efektivity, a které ochrání investice
do IT díky jednotné podpoře tradiční, virtuální i cloudové infrastruktury.

 

Autor: David Matějů, Security consultant, CA Technologies

 

 

Mohlo by Vás zajímat: 

 

3 nejbizardnější výstupy GDPR 

 

Požadavky kybernetického zákona – Seriál o IdM, část 5. 

 

Dáte mi svůj PIN?