PAM

Wat is PAM?

De afkorting PAM verwijst in de praktijk zowel naar Privileged Access Management als Privileged Account Management. PAM verzorgt het beheer en beveiliging van zogeheten privileged accounts; dat zijn accounts waarmee je kritische IT-beheerprocessen kunt uitvoeren, zoals het systeembeheer, netwerkbeheer, configuratiebeheer en het beheer van gevoelige gegevens. In dit artikel beschrijven we de rol van PAM-oplossingen.

Wat is het verschil tussen Privileged Account Management en Privileged Access Management?

Bij PAM gaat het om twee soorten functionaliteit die in elkaars verlengde liggen:

• Privileged Access Management richt zich op het beschermen van de toegang tot privileged accounts. Via zo’n account beschikt een gebruiker immers over uitgebreide toegang tot IT systemen en het is dus cruciaal dat er geen misbruik wordt gemaakt door ongeautoriseerde gebruikers.
• Privileged Account Management zorgt er vervolgens voor dat de uitgifte en het beheer van zulke accounts goed wordt georganiseerd. Zeker in grotere organisaties is een geautomatiseerd beheer nodig om controle te houden over wie en hoeveel mensen er toegang krijgen tot zo’n privileged account.

Wat zijn privileged accounts?

Maar laten we eerst even inzoomen op die privileged accounts zelf. In de praktijk zijn er verschillende soorten van zulke accounts. Voorbeelden zijn:

• Administrator Accounts waarmee systeembeheerders bijvoorbeeld software kunnen installeren, updates uitvoeren en systeeminstellingen doorvoeren. Ook heb je hiermee toegang tot gebruikersgegevens en instellingen.
• Root Accounts geven volledige controle over onder andere UNIX- en Linux-systemen. Met deze accounts kun je alle bestanden en configuratie-instellingen wijzigen.
• Met behulp van Service Accounts hebben privileged gebruikers toegang tot applicaties en diensten om de applicatiegegevens en -configuratie te wijzigen.
• Database Administrator Accounts (DBA accounts) zijn specifiek gericht op het beheer van databases; inclusief de database configuratie, het optimaliseren van de prestaties en het herstellen van gegevens.
• Met Domain Admin Accounts beheren we domein-breed Windows-omgevingen. Je kunt hiermee systeeminstellingen, gebruikers en groepen, en de beveiliging configureren.
• Application Administrator Accounts bieden toegang tot bijvoorbeeld ERP en CRM applicaties om software instellingen, gebruikers en de toegang tot gegevens te beheren.
• Via Network Administrator Accounts kun je netwerkapparatuur zoals routers, switches en firewalls configureren, monitoren en beveiligen.
• Back-up Administrator Accounts bieden specifiek toegang tot back-up systemen en heb je nodig om back-ups te configureren, te beheren en herstelacties uit te voeren.

Het zijn uiteraard voorbeelden want in de praktijk kunnen de benamingen en mogelijkheden van privileged accounts per organisatie verschillen. Maar stuk voor stuk zijn het accounts waarmee de gebruiker direct toegang krijgt tot de kern van systemen, netwerken en applicaties.

Naast de gangbare privileged accounts beschikken de meeste organisaties ook over zogenaamde Break Glass accounts; ook wel Emergency of Firecall accounts genoemd. Break Glass toegang is bedoeld voor noodgevallen waarin men urgent toegang moet krijgen tot de beheersystemen – bijvoorbeeld bij een hack of andere incidenten – maar reguliere beheerders of beheeraccounts niet beschikbaar zijn. Gewone gebruikers kunnen in dat geval via zo’n ‘Break Glass’ account toegang krijgen. Uiteraard zijn de uitgifte en gebruik ervan omringd met allerlei extra procedures en maatregelen om misbruik te voorkomen.

Waarom is PAM belangrijk?

PAM is enorm belangrijk. Het gaat hier om accounts en toegangsrechten waarmee je direct toegang krijgt tot de kern van je IT-omgeving. Je moet er niet aan denken dat een hacker cruciale gegevens kopieert, databases ongemerkt wijzigt, malware installeert of de hele IT-configuratie wijzigt of verwijdert. PAM is dus een cruciale schakel bij je risicobeperking. Daarbij gaat het niet alleen om de toegangsbeveiliging tot privileged accounts maar ook om compliance en procesautomatisering:

• Compliance met de regelgeving. Veel sectoren stellen duidelijke eisen aan de informatiebeveiliging en het gebruik van privileged accounts. PAM-oplossingen zorgen dat je compliant bent en blijft.
• Interne optimalisatie en beveiliging. Met PAM automatiseer je het beheer van privileged accounts en toegangsrechten. Niemand krijgt onnodige toegangsrechten en ze worden ook weer tijdig ingetrokken. Zo voorkomen we misbruik van privileged accounts.

Hoe werkt PAM in de praktijk?

We noemden al dat je voor privileged gebruikers zowel het account management als het access management extra goed moet organiseren. Uitgangspunt is ook dat reguliere en privileged accounts volledig gescheiden worden gebruikt. Privileged accounts – of admin accounts – worden alleen gebruikt voor de speciale beheertaken waarvoor die verhoogde privileges nodig zijn. Voor reguliere dagelijkse werkzaamheden moeten ook beheerders gebruik maken van hun gewone gebruikersaccounts.

Een regulier IAM-platform als HelloID is goed in staat om meerdere accounts voor een persoon te beheren en zo te fungeren als overall identity management systeem. Middels business rules kan je borgen dat elke medewerker een standaard account krijgt, en beheerders daarnaast ook een beheerdersaccount met verhoogde rechten. Zo zorg je ervoor dat er geen onnodige priviliged accounts worden aangemaakt. Dat is een belangrijke eis binnen beveiligingsnormen als ISO 27001, de BIO en NEN 7510.

Er bestaan echter ook gespecialiseerde PAM-systemen die het mogelijk maken allerlei extra procedures en zwaardere toegangseisen te ondersteunen. Zo’n PAM oplossing onderscheidt zich vooral met de real-time beveiliging van de beheersystemen. Zo is voor veel organisaties de zogenaamde Just-in-Time (JIT) Access essentieel. Daarbij krijgt de beheerder alleen toegang voor specifieke handelingen, op bepaalde tijdstippen of alleen als ook een supervisor toestemming heeft gegeven. Beheersessies worden actief gelogd en gemonitord waarbij sessies die te lang duren automatisch worden onderbroken. Ook kan een PAM-oplossing bijvoorbeeld zorgen dat kritische beheertaken altijd via het ‘vierogen principe’ worden uitgevoerd en een Break Glass procedure ondersteunen voor noodgevallen.

Zo zorg je met een Privileged Access Management platform dat je het beheer van je IT-omgeving mogelijk maakt maar tegelijkertijd de beveiligingsrisico’s tot een minimum beperkt.