Wat is het Geprivilegieerd Toegangsbeheer? (PAMaaS)
Met Privileged Access Management worden geprivilegieerde toegangen voor applicaties, middleware en infrastructuur beheerd en zoveel mogelijk afgeschermd tegen misbruik. Daar waar geprivilegieerde toegangen niet afgeschermd zijn en verregaande rechten tot meerdere systemen kennen, zijn deze vaak het doelwit van een aanval net omwille van het feit dat men een brede waaier aan toegangen en privileges kan bekomen met één gerichte aanval.
Met PAMaaS wordt voorzien in de mogelijkheden om tijdelijke, gecontroleerde en aan monitoring onderhavige geprivilegieerde toegangen te verschaffen tot applicaties, middleware en infrastructuur. Op deze manier kunnen afnemers van de dienst zich beschermen tegen misbruik van deze toegangen, ze beheren volgens inrichting van geldende veiligheidsprincipes en processen, alsook controleren op het naleven van de processen en procedures door middel van monitoring aanwezig in de PAMaaS oplossing die deze geprivilegieerde toegangen voorziet.
Â
Overzicht van PAMaaS binnen het aanbod van Digitaal Vlaanderen:
Hoe gaat dit in zijn werk?
Als een beheerder toegang wilt tot de gepriviligieerde accounts zal de volgende acties moeten worden uitgevoerd:
De gebruiker moet het juiste recht hebben in IDM, dit gaat worden toegekend door een lokale beheerder.
Vervolgens kan de gebruiker zich aanmelden op PAMaaS via ACM/IDM.
Daar krijgt de gebruiker alle accounts te zien waartoe dat die het recht heeft
Afhankelijk van de toegangscontrole die op het account staat, kan de gebruiker op connecteren klikken (bij het strengste toegangscontrole ga je goedkeuring nodig hebben van een Approver)
Er wordt een sessie opgestart tussen de PAM-server en het target-systeem (bij AWS en Azure wordt er een browsersessie opgestart op de PAM-server)
Voor wie?
PAMaaS kan gebruikt worden voor het inrichten van geprivilegieerde toegangen tot applicaties, middleware en infrastructuur. (Standaard ondersteunde technologieën)
Voorbeeldtoepassingen (use cases) van PAMaaS zijn:
Delegatie van verantwoordelijkheid
Beheer toegangen op IaaS, PaaS, SaaS, AMaaS
Bij een informatieverwerker (Service Provider binnen ICT Raamcontracten)
Opmerking: Deze beheer toegangen zijn een GUNST van de leverancier, ze zijn niet afdwingbaar door derden (leveranciers, onderaannemers) bij informatieverwerking in opdracht van de Vlaamse overheid.
I.k.v. richtlijnen AVG/GDPR
Afspraken binnen de informatieclassificatie (incl. VTC)Â
Opstellen en documenteren van Technische en Organisatorische Maatregelen (TOM) ikv dataclassificatie
PAM (Proces) is verplicht
Vanaf verwerking informatie in klasse 1
Formele inrichting vanaf verwerking informatie in klasse 3
Bij alle verwerking persoonsgegevens
Het proces kent gradaties bij de implementatie die strenger worden naargelang de informatie klasse stijgt
Veilig beheer van toegangen voor medewerkers van de Vlaamse Overheid
Geen rechtstreekse toegang van Vo eindgebruikers (GID netwerk) voor beheertoegangen
Geen toegang tot gevoelige account gegevens (Delen van gevoelige paswoorden)
Voor Vo medewerkers of derde partijen
Veilig beheer op afstand (via beheerstation)
Geen rechtstreekse toegang van Vo eindgebruikers (GID netwerk) voor beheertoegangen
Geen toegang tot gevoelige account gegevens (Delen van gevoelige paswoorden)
Voor Vo medewerkers of derde partijen
Cybersecurity
Implementatie, opvolging en uitvoering van je cybersecurity strategie
Controle, monitoring, beveiliging en auditing van alle menselijke en niet menselijke gepriviligieerde identiteiten en acties die uitgevoerd worden over je hele IT omgeving
Â
De technische werking van PAMaaS in een notendop:
Â
  Eindgebruikers werken niet rechtstreeks op een target
  De centrale PSM (Privileged Session Manager) haalt het geprivilegieerde account op uit de kluis, niet de eindgebruiker zelf
  De centrale PSM kan met targets verbinden over een grote diversiteit van protocollen
  Sessie-opnames gebeuren realtime en worden in de kluis bewaard
  Events worden door de kluis geupload naar een SIEM (Security Information and Event Management) log collector
  Keuze voor RDP of SSH verbinding
Welke functionaliteiten zijn voorzien in PAMaaS?
Functionaliteit | PAMaaS |
---|---|
Centrale opslag voor geprivilegieerde accounts | x |
Web portaal voor (beheren van) geprivilegieerde toegangen | x |
Mobiel portaal voor (beheren van) geprivilegieerde toegangen | Â |
Beheren en configureren van password policies voor geprivilegieerde accounts | x |
Isoleren van geprivilegieerde toegangen | x |
Geprivilegieerde sessies via RDP | x |
Geprivilegieerde sessies via SSH | x |
Realtime monitoring van geprivilegieerde systemen mbhv. video recording | x |
Security event logging (SIEM) | x |
Sterke authenticatie mbhv. ACM/IDM voor web portaal | x |
Meer Informatie?
Blijf op de hoogte via de ICT-nieuwsbrief van Digitaal Vlaanderen​ : Inschrijven via deze link
Â