Versions Compared

Old Version 32

changes.mady.by.user Dirk De Mal

Saved on

compared with

New Version 33

changes.mady.by.user Michael Hayen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Context

Wat is een geprivilegieerd account?

Bij een PAMaaS-onboarding spreken we niet van toepassingen of servers, maar van geprivilegieerde accounts.  Geprivilegieerde accounts zijn gevoelig omdat ze over ruime administratieve rechten beschikken. Het zijn deze accounts die opgenomen worden tijdens een PAMaaS onboarding.

Voorbeeld
Local Administrator account op een Windows Server. Met dit account kan je elke actie op de server uitvoeren.

Welke geprivilegieerde accounts heb ik nodig?

Dit zijn accounts die gemachtigde taken kunnen uitvoeren op uw systemen of applicaties.  Binnen PAMaaS specifiëren we ons verder tot gedeelde geprivilegieerde accounts.  Deze accounts hebben administratieve rechten en worden gedeeld binnen een groep van mensen. Deze groep is gemachtigd om een set van administratieve activiteiten uit te voeren op systemen of binnen applicaties. Het aantal benodigde geprivilegieerde accounts wordt op deze manier verminderd. Het resultaat is een verkleind aanvalsoppervlak van de volledige omgeving.

Voorbeeld
Twee systeemverantwoordelijken delen de inloggegevens van dit lokaal administrator account. Hier gebruiken ze dus beiden hetzelfde account om administratieve taken uit te voeren. 

PAMaaS weet altijd welke persoon een geprivilegieerd account gebruikt door de integratie met ACM/IDM. Wanneer meerdere personen gelijktijdig gebruik maken van een geprivilegieerd account zijn de acties altijd traceerbaar naar een persoon. PAMaaS volgt op wanneer deze persoon iets uitvoert (tijdstip), wat er uitgevoerd wordt (opnames) en waarom deze identiteit activiteiten dient uit te voeren (motivering) met het gedeelde geprivilegieerde account.


Doelstellingen

Tijdens de onboarding dient de klant deze geprivilegieerde accounts aan te leveren bij het integratieteam van Digitaal Vlaanderen. Indien de klant reeds zijn systemen en applicaties beheert met behulp van gedeelde geprivilegieerde accounts, is deze oefening niet nodig. 

Indien de klant momenteel nog niet werkt met deze accounts dienen ze aangemaakt te worden. Onderstaand stappenplan kan de klant helpen om de nodige gedeelde geprivilegieerde accounts in kaart te brengen, aan te maken en te delen met het integratieteam van Digitaal Vlaanderen:  

  1. Analyse
    De klant voert een analyse oefening uit om het takenpakket, de nodige technologieën en de permissies in kaart te brengen. Onderstaande vragen kunnen deze oefening ondersteunen.
  2. Creatie
    De klant maakt de gedeelde geprivilegieerde accounts aan op de nodige systemen en applicaties met de nodige rechten wanneer de analyse voltooid is.
  3. Onboarding
    De klant deelt de accountgegevens met het integratieteam door middel van een integratiedossier. Informatie over dit document is hier terug te vinden.
  4. Opkuis
    De klant verwijdert, na de uitvoering van de onboarding, de oude geprivilegieerde accounts indien ze niet gebruikt worden door PAMaaS .


Vragen die hulp bieden om de analyse uit te voeren

1. Het takenpakket

Welke administratieve taken moeten er uitgevoerd worden voor het operationele beheer van de applicatie?

Administratieve taken

  • Iemand moet iets kunnen raadplegen
  • Een service moet herstart worden
  • Een patch moet geïnstalleerd worden

Welke taken kunnen gebundeld worden tot een "takenpakket" die zich vertaalt in het uitoefenen van een bepaalde functie?
Hier moet rekening gehouden worden met het "least privilege" principe. Dit wil zeggen dat taken enkel toegewezen worden die binnen een bepaalde functie noodzakelijk zijn.

Takenpakket

  • Monitoren: Opvolgen en raadplegen van data binnen de applicatie of systemen.
  • Serverbeheer: Beheren van gebruikers en hun toegang, services, netwerken, etc.
  • Patchbeheer: Uitvoeren van noodzakelijke updates of upgrades op systemen.
  • Ontwikkeling: Uitvoeren van tests, aanpassen van configuraties, etc.

Resultaat
Lijst van takenpakketten met de taken die iedere functie dient uit te voeren.


2. De technologieën

Op welke technologieën worden de verschillende taakpakketten uitgevoerd?
Zijn deze technologieën opgenomen in de binnen de standaardintegraties?

Standaard ondersteunde technologieën

  • Windows
  • Linux
  • AWS
  • Azure

Resultaat
Lijst van technologieën waarop accounts aangemaakt moeten worden. Wanneer het technologieën bevat die niet tot de standaardintegratie behoren moet een aanvraag ingediend worden voor een standaard-plus integratie.


3. De nodige toegang

Welke specifieke permissies hebben de gedeelde geprivilegieerde accounts nodig op de geïndetificeerde technologieën om de takenpakketten uit te voeren?


Resultaat
Lijst van generieke geprivilegieerde accounts met de nodige permissies op de geïdentificeerde technologieën.

4. Het gebruik van additionele geprivilegieerde accounts

Additionele geprivilegieerde accounts worden enkel gebruikt in uitzonderlijke gebeurtenissen. Deze zijn zeer bevoegd en worden niet toegewezen aan specifieke personen.

Voorbeeld

  • Breakglass account: Informatie over break-glass accounts is hier terug te vinden.
  • Reconcile account: Informatie over reconcile accounts is hier terug te vinden.

Resultaat
Lijst van alle nodige additionele accounts.







Relevante pagina's

Standaard ondersteunde technologieën

VereistenIntegratiedossier

/wiki/spaces/81034/pages/6377156496

Kostenmodel

Niet-standaardonboarding

Live Search
spaceKeyGAEP
placeholderStel je vraag?
labelspam, geprivilegieerd, toegangsbeheer


Info

Vragen of suggesties, contacteer ons via: integraties@vlaanderen.be 

Heb je nood aan ondersteuning bij het gebruik van de toepassing, contacteer de 1700.



Terug naar het overzicht