Context
Wat is een geprivilegieerd account?
Bij een PAMaaS-onboarding spreken we niet van toepassingen of servers, maar van geprivilegieerde accounts. Geprivilegieerde accounts zijn gevoelig omdat ze over ruime administratieve rechten beschikken. Het zijn deze accounts die opgenomen worden tijdens een PAMaaS onboarding.
Voorbeeld
Local Administrator account op een Windows Server. Met dit account kan je elke actie op de server uitvoeren.
Welke geprivilegieerde accounts heb ik nodig?
Dit zijn accounts die gemachtigde taken kunnen uitvoeren op uw systemen of applicaties. Binnen PAMaaS specifiëren we ons verder tot gedeelde geprivilegieerde accounts. Deze accounts hebben administratieve rechten en worden gedeeld binnen een groep van mensen. Deze groep is gemachtigd om een set van administratieve activiteiten uit te voeren op systemen of binnen applicaties. Het aantal benodigde geprivilegieerde accounts wordt op deze manier verminderd. Het resultaat is een verkleind aanvalsoppervlak van de volledige omgeving.
Voorbeeld
Twee systeemverantwoordelijken delen de inloggegevens van dit lokaal administrator account. Hier gebruiken ze dus beiden hetzelfde account om administratieve taken uit te voeren.
PAMaaS weet altijd welke persoon een geprivilegieerd account gebruikt door de integratie met ACM/IDM. Wanneer meerdere personen gelijktijdig gebruik maken van een geprivilegieerd account zijn de acties altijd traceerbaar naar een persoon. PAMaaS volgt op wanneer deze persoon iets uitvoert (tijdstip), wat er uitgevoerd wordt (opnames) en waarom deze identiteit activiteiten dient uit te voeren (motivering) met het gedeelde geprivilegieerde account.
Doelstellingen
Tijdens de onboarding dient de klant deze geprivilegieerde accounts aan te leveren bij het integratieteam van Digitaal Vlaanderen. Indien de klant reeds zijn systemen en applicaties beheert met behulp van gedeelde geprivilegieerde accounts, is deze oefening niet nodig.
Indien de klant momenteel nog niet werkt met deze accounts dienen ze aangemaakt te worden. Onderstaand stappenplan kan de klant helpen om de nodige gedeelde geprivilegieerde accounts in kaart te brengen, aan te maken en te delen met het integratieteam van Digitaal Vlaanderen:
- Analyse
De klant voert een analyse oefening uit om het takenpakket, de nodige technologieën en de permissies in kaart te brengen. Onderstaande vragen kunnen deze oefening ondersteunen. - Creatie
De klant maakt de gedeelde geprivilegieerde accounts aan op de nodige systemen en applicaties met de nodige rechten wanneer de analyse voltooid is. - Onboarding
De klant deelt de accountgegevens met het integratieteam door middel van een integratiedossier. Informatie over dit document is hier terug te vinden. - Opkuis
De klant verwijdert, na de uitvoering van de onboarding, de oude geprivilegieerde accounts indien ze niet gebruikt worden door PAMaaS .
Vragen die hulp bieden om de analyse uit te voeren
1. Het takenpakket
Welke administratieve taken moeten er uitgevoerd worden voor het operationele beheer van de applicatie?
Administratieve taken
- Iemand moet iets kunnen raadplegen
- Een service moet herstart worden
- Een patch moet geïnstalleerd worden
Welke taken kunnen gebundeld worden tot een "takenpakket" die zich vertaalt in het uitoefenen van een bepaalde functie?
Hier moet rekening gehouden worden met het "least privilege" principe. Dit wil zeggen dat taken enkel toegewezen worden die binnen een bepaalde functie noodzakelijk zijn.
Takenpakket
- Monitoren: Opvolgen en raadplegen van data binnen de applicatie of systemen.
- Serverbeheer: Beheren van gebruikers en hun toegang, services, netwerken, etc.
- Patchbeheer: Uitvoeren van noodzakelijke updates of upgrades op systemen.
- Ontwikkeling: Uitvoeren van tests, aanpassen van configuraties, etc.
Resultaat
Lijst van takenpakketten met de taken die iedere functie dient uit te voeren.
2. De technologieën
Op welke technologieën worden de verschillende taakpakketten uitgevoerd?
Zijn deze technologieën opgenomen in de binnen de standaardintegraties?
Standaard ondersteunde technologieën
Resultaat
Lijst van technologieën waarop accounts aangemaakt moeten worden. Wanneer het technologieën bevat die niet tot de standaardintegratie behoren moet een aanvraag ingediend worden voor een standaard-plus integratie.
3. De nodige toegang
Welke specifieke permissies hebben de gedeelde geprivilegieerde accounts nodig op de geïndetificeerde technologieën om de takenpakketten uit te voeren?
Resultaat
Lijst van generieke geprivilegieerde accounts met de nodige permissies op de geïdentificeerde technologieën.
4. Het gebruik van additionele geprivilegieerde accounts
Additionele geprivilegieerde accounts worden enkel gebruikt in uitzonderlijke gebeurtenissen. Deze zijn zeer bevoegd en worden niet toegewezen aan specifieke personen.
Voorbeeld
- Breakglass account: Informatie over break-glass accounts is hier terug te vinden.
- Reconcile account: Informatie over reconcile accounts is hier terug te vinden.
Resultaat
Lijst van alle nodige additionele accounts.