Document toolboxDocument toolbox

Wat is het Geprivilegieerd Toegangsbeheer? (PAMaaS)

Met Privileged Access Management worden geprivilegieerde toegangen voor applicaties, middleware en infrastructuur beheerd en zoveel mogelijk afgeschermd tegen misbruik. Daar waar geprivilegieerde toegangen niet afgeschermd zijn en verregaande rechten tot meerdere systemen kennen, zijn deze vaak het doelwit van een aanval net omwille van het feit dat men een brede waaier aan toegangen en privileges kan bekomen met één gerichte aanval.

Met PAMaaS wordt voorzien in de mogelijkheden om tijdelijke, gecontroleerde en aan monitoring onderhavige geprivilegieerde toegangen te verschaffen tot applicaties, middleware en infrastructuur. Op deze manier kunnen afnemers van de dienst zich beschermen tegen misbruik van deze toegangen, ze beheren volgens inrichting van geldende veiligheidsprincipes en processen, alsook controleren op het naleven van de processen en procedures door middel van monitoring aanwezig in de PAMaaS oplossing die deze geprivilegieerde toegangen voorziet.

 

Overzicht van PAMaaS binnen het aanbod van Digitaal Vlaanderen:

Hoe gaat dit in zijn werk?

Als een beheerder toegang wilt tot de gepriviligieerde accounts zal de volgende acties moeten worden uitgevoerd:

  1. De gebruiker moet het juiste recht hebben in IDM, dit gaat worden toegekend door een lokale beheerder.

  2. Vervolgens kan de gebruiker zich aanmelden op PAMaaS via ACM/IDM.

  3. Daar krijgt de gebruiker alle accounts te zien waartoe dat die het recht heeft

  4. Afhankelijk van de toegangscontrole die op het account staat, kan de gebruiker op connecteren klikken (bij het strengste toegangscontrole ga je goedkeuring nodig hebben van een Approver)

  5. Er wordt een sessie opgestart tussen de PAM-server en het target-systeem (bij AWS en Azure wordt er een browsersessie opgestart op de PAM-server)

Voor wie?

PAMaaS kan gebruikt worden voor het inrichten van geprivilegieerde toegangen tot applicaties, middleware en infrastructuur. (Standaard ondersteunde technologieën)

Voorbeeldtoepassingen (use cases) van PAMaaS zijn:

  1. Delegatie van verantwoordelijkheid

    1. Beheer toegangen op IaaS, PaaS, SaaS, AMaaS

      1. Bij een informatieverwerker (Service Provider binnen ICT Raamcontracten)

      2. Opmerking: Deze beheer toegangen zijn een GUNST van de leverancier, ze zijn niet afdwingbaar door derden (leveranciers, onderaannemers) bij informatieverwerking in opdracht van de Vlaamse overheid.

  2. I.k.v. richtlijnen AVG/GDPR

    1. Afspraken binnen de informatieclassificatie (incl. VTC) 

    2. Opstellen en documenteren van Technische en Organisatorische Maatregelen (TOM) ikv dataclassificatie

    3. PAM (Proces) is verplicht

      1. Vanaf verwerking informatie in klasse 1

      2. Formele inrichting vanaf verwerking informatie in klasse 3

      3. Bij alle verwerking persoonsgegevens

    4. Het proces kent gradaties bij de implementatie die strenger worden naargelang de informatie klasse stijgt

  3. Veilig beheer van toegangen voor medewerkers van de Vlaamse Overheid

    1. Geen rechtstreekse toegang van Vo eindgebruikers (GID netwerk) voor beheertoegangen

    2. Geen toegang tot gevoelige account gegevens (Delen van gevoelige paswoorden)

      1. Voor Vo medewerkers of derde partijen

  4. Veilig beheer op afstand (via beheerstation)

    1. Geen rechtstreekse toegang van Vo eindgebruikers (GID netwerk) voor beheertoegangen

    2. Geen toegang tot gevoelige account gegevens (Delen van gevoelige paswoorden)

      1. Voor Vo medewerkers of derde partijen

  5. Cybersecurity

    1. Implementatie, opvolging en uitvoering van je cybersecurity strategie

      1. Controle, monitoring, beveiliging en auditing van alle menselijke en niet menselijke gepriviligieerde identiteiten en acties die uitgevoerd worden over je hele IT omgeving

 

De technische werking van PAMaaS in een notendop:

 

   Eindgebruikers werken niet rechtstreeks op een target
   De centrale PSM (Privileged Session Manager) haalt het geprivilegieerde account op uit de kluis, niet de eindgebruiker zelf
   De centrale PSM kan met targets verbinden over een grote diversiteit van protocollen
   Sessie-opnames gebeuren realtime en worden in de kluis bewaard
   Events worden door de kluis geupload naar een SIEM (Security Information and Event Management) log collector
   Keuze voor RDP of SSH verbinding

Welke functionaliteiten zijn voorzien in PAMaaS?

Functionaliteit

PAMaaS

Functionaliteit

PAMaaS

Centrale opslag voor geprivilegieerde accounts

x

Web portaal voor (beheren van) geprivilegieerde toegangen

x

Mobiel portaal voor (beheren van) geprivilegieerde toegangen

 

Beheren en configureren van password policies voor geprivilegieerde accounts

x

Isoleren van geprivilegieerde toegangen

x

Geprivilegieerde sessies via RDP

x

Geprivilegieerde sessies via SSH

x

Realtime monitoring van geprivilegieerde systemen mbhv. video recording

x

Security event logging (SIEM)

x

Sterke authenticatie mbhv. ACM/IDM voor web portaal

x

Meer Informatie?

Blijf op de hoogte via de ICT-nieuwsbrief van Digitaal Vlaanderen​ : Inschrijven via deze link

https://vlaamseoverheid.atlassian.net/wiki/spaces/GAEP of https://vlaamseoverheid.atlassian.net/wiki/spaces/GAEP/pages/6377409178

Â