1. Account Safe
Beschrijving
De beschrijving van wat safes zijn is hier terug te vinden.
Naamconventie
[Responsible]-[OVO code]-[Team of Application ID]-[Safe type]-[Location]
Beschrijving van de naamconventie
Parameter | Beschrijving | Mogelijke waardes | Waarde beschrijving |
---|---|---|---|
Responsible | Dit beschrijft de gebruikers die eigenaar zijn van de applicatie of verwijst naar een gedelegeerde partij. Enkel de applicatie eigenaar kan bepalen wie een gedelegeerde partij is. Deze parameter moet ook verifieerbaar zijn door het PAM team. |
| Owner (O): Applicatie eigenaars hebben toegang tot de accounts in de safe. Delegate (D): Een gedelegeerde partij heeft toegang tot de accounts in de safe. |
OVO Code | Beschrijft welke organisatie, entiteit of klant toegang krijgt tot accounts in de safe. Deze partij kan enkel geïdentificeerd worden door een OVO code. | Alle waardes die aanwezig zijn binnen de VO CMDB | Beschrijving van de OVO codes kan geraadpleegd worden in de VO CMDB |
Application ID | Beschrijft tot welke applicatie de accounts behoren. De applicatie kan enkel geïdentificeerd worden door de applicatie ID. | Alle waardes die aanwezig zijn binnen de VO CMDB | Beschrijving van de Application IDs kan geraadpleegd worden in de VO CMDB |
Team | Beschrijft tot welk team de accounts behoren. Dit kan vrij gekozen worden door de aanvrager, mits een logische verklaring voor de keuze in plaats van een Application ID. | Vrij waarde, beperkt tot 5 karakters | De aanvrager moet een logische verklaring meedelen voor de teams om de verschillen duidelijk aan te geven. |
Safe Type | Beschrijft de oorsprong en de aard van de accounts. Enkel de applicatie eigenaar kan deze parameter bepalen. |
| Administrator account (ADM): Ingebouwde administrator accounts binnen een applicatie. Operational account (OPS):
Non-Privileged account (NPA): Aangemaakte accounts die enkel lees rechten hebben op de applicatie. Logon account (LOG): Aangemaakte accounts die niet rechtstreeks gebruikt worden om aan te melden. |
Location | Beschrijft binnen welke CyberArk Policy Manager de accounts zich bevinden. Dit is een technische parameter die niet beslist wordt door de Responsible maar door het PAM team. Momenteel worden alle accounts centraal beheerd in de "CE" CPM. In de toekomst zal Digitaal Vlaanderen een gedecentraliseerde PAM architectuur aannemen waarbij meerdere CPMs accounts zullen beheren. |
| Centralized (CE): Momenteel worden alle accounts beheerd door beleidsmaatregelen die zich in de gecentraliseerde "CE" CPM bevinden. |
Account Safe voorbeeld
D-048644-20109-OPS-CE
D: Accounts in deze safe worden gedelegeerd door de eigenaar naar een andere partij die voor deze accounts verantwoordelijk wordt gesteld.
048644: De partij die verantwoordelijk wordt geïdentificeerd door de OVO code 048644.
20109: De accounts zijn actief binnen de applicatie met als Application ID 20109.
OPS: De accounts zijn aangemaakt voor operationeel gebruik.
CE: De accounts worden beheerd door de "CE" CPM.
2. Opname Safe
Naamconventie
R-[Responsible]-[OVO code]-[Team of Application ID]-[Safe type]-[Location]
Beschrijving van de naamconventie
De naamconventie van de Opname Safe is dezelfde als bij de Account Safe met een bijkomende prefix "R-" die aangeeft dat deze safe enkel gebruikt wordt om opnames in op te slaan. Opname safes worden enkel aangemaakt als een Account Safe een of meerdere accounts bevat met een Managed (MA) of Secure Access (SA) Access Policy (zie Platform parameters). Binnen deze safes worden enkel opnames van sessies opgeslaan en geen accounts beheerd. Toegang tot de Opname Safe wordt verleend aan de personen die de auditor rol hebben verkregen binnen de (oorspronkelijke) Account Safe. Er wordt dus geen nieuwe context aangemaakt om toegang te verkrijgen tot de Opname Safe. Meer informatie rond authorisatie tot safes kan geraadpleegd worden in hoofdstuk "5. Context".
Opname Safe voorbeeld
R-D-048644-20109-OPS-CE
R: Dit is een safe die enkel gebruikt wordt om opnames op te slaan en te beheren van accounts in de D-048644-20109-OPS-CE Safe.
D: Accounts in deze safe worden gedelegeerd door de eigenaar naar een andere partij die voor deze accounts verantwoordelijk wordt gesteld.
048644: De partij die verantwoordelijk wordt geïdentificeerd door de OVO code 048644.
20109: De accounts zijn actief binnen de applicatie met als Application ID 20109.
OPS: De accounts zijn aangemaakt voor operationeel gebruik.
CE: De accounts worden beheerd door de "CE" CPM.
3. Reconcile Safe
Beschrijving
Een beslissing is genomen om alle reconcile accounts te centraliseren in twee reconcile safes in plaats van aparte safes te maken voor iedere reconcile account. De redenering hier is dat het PAM team deze accounts gebruikt als onderdeel van de PAM service. Daarom is het ook hun verantwoordelijkheid om deze accounts te beheren en zou het PAM team de enige partij mogen zijn om hiertoe toegang te verkrijgen.
Naamconventie
De naamconventie heeft een vast formaat waarbij een opdeling wordt gemaakt tussen Owner en Delegated Safes:
Naamconventie: O-002949-81039-OPS-[Location]
De Owner Safe wordt enkel gebruikt voor reconcile accounts die activiteiten uitvoeren op applicaties die tot Digitaal Vlaanderen behoren.
Naamconventie: D-002949-81039-OPS-[Location]
De Delegated Safe wordt enkel gebruikt voor reconcile accounts die gedelegeerd worden naar Digitaal Vlaanderen door klanten van PAMaaS om activiteiten uit te voeren op hun applicaties.
4. Platform
Beschrijving
Een platform biedt de mogelijkheid om uitzonderingen te maken op de Master Policy, welke een gecentraliseerd overzicht geeft van de verschillende policies die toegepast worden op accounts binnen de organisatie. Hierdoor kunnen er granulaire maatregelen getroffen worden voor verzamelingen van accounts (bv. Linux accounts, LDAP accounts, etc.).
Naamconventie
[Technology]-[Access Policy]-[Link type]-[Location]-[Credential Management]{-[Session Management]}
Beschrijving van de naamconventie
Parameter | Beschrijving | Mogelijke waardes | Waarde beschrijving |
---|---|---|---|
Technology | Beschrijft welke technologie de accounts gebruiken om toegang te verkrijgen tot de applicatie. |
| AD: Windows domein accounts gedefinieerd in een Active Directory WIN: Lokale Windows accounts gedefinieerd op Windows systemen UX: Lokale *Nix accounts met wachtwoord UXKEYS: Lokale *Nix accounts met SSH keys AWS: AWS console of CLI accounts met access keys AZR: Azure console accounts CYBR: CyberArk accounts |
Access policy | Beschrijft tot welke Master Access Policy (toegangsbeleid) deze accounts behoren, op basis van de informatieclassificatie waarbinnen de applicatie zich bevindt. Hierdoor kan bepaald worden welke toegangscontrole van kracht is en de toegang opgevolgd wordt. Enkel de applicatie eigenaar kan bepalen tot welk toegangsbeleid de accounts behoren. Dit zou |
| Access Only (AO): Deze accounts hebben geen restrictief toegangsbeleid Motivated Access (MA): Deze accounts hebben een toegangsbeleid met volgende maatregelen:
Secure access (SA): Deze accounts hebben een zeer restrictief toegangsbeleid met volgende maatregelen:
|
Link type | Beschrijft welk link type de accounts zijn. De linked accounts functionaliteit maakt het mogelijk om extra accounts te definiëren voor het beheer van de eigenlijke accounts, namelijk reconcile en logon accounts. Ze worden gelinkt met het eigenlijke account dat beheerd dient te worden. |
| Normal account (N): Dit is een normaal geprivilegieerd account dat gebruikt kan worden door gebruikers. Logon account (L): Dit wordt voornamelijk gebruikt binnen Linux omgevingen waar een gebruiker niet rechtstreeks als root kan inloggen (en niet mogelijk zou mogen zijn). Een logon account wordt ingeschakeld om een super user verheffing uit te voeren om zo de nodige root user permissies te verkrijgen. Reconcile account (R): Informatie over reconcile accounts is hier terug te vinden. |
Location | Beschrijft binnen welke CyberArk Policy Manager de accounts zich bevinden. Dit is een technische parameter die niet beslist wordt door de Responsible maar door het PAM team. Momenteel worden alle accounts centraal beheerd in de "CE" CPM. In de toekomst zal Digitaal Vlaanderen een gedecentraliseerde PAM architectuur aannemen waarbij meerdere CPMs accounts zullen beheren. |
| Centralized (CE): Momenteel worden alle accounts beheerd door beleidsmaatregelen die zich in de gecentraliseerde "CE" CPM bevinden. |
Credential management | Beschrijft hoe inloggegevens beheerd worden aan de hand van een beleid (bv. automatische rotatie, etc.). De applicatie eigenaar beslist hoe inloggegevens van een account beheerd moeten worden. |
| Store Only (SO): De inloggegevens van de accounts worden opgeslagen in de vault maar de CPM voert geen bijkomende maatregelen uit. (Geen verificatie van de inloggegevens binnen de applicatie en geen rotatie) Automatic Verify (AV): De inloggegevens van de accounts worden enkel automatisch geverifieerd (kan ook manueel) zonder deze te roteren. Automatic Change (AC): De inloggegevens van de accounts worden automatisch geverifieerd en worden geroteerd (kan ook manueel). Hier wordt nog geen gebruik gemaakt van een reconcile account die bij niet-overeenkomstige inloggegevens deze gaat aanpassen in de applicatie en in de vault. Automatic Change Reconcile (ACR): De inloggegevens van de acounts worden automatisch geverifieerd en worden geroteerd (kan ook manueel). Hier wordt wel gebruik gemaakt van een reconcile account die bij niet-overeenkomstige inloggegevens deze gaat aanpassen in de applicatie en in de vault. Dit is de standaardwaarde. Change After Use (CAU): Heeft dezelfde mogelijkheden als ACR (Default), waarbij volgende functionaliteiten worden toegevoegd:
|
Session management | {Optioneel} Beschrijft welk protocol gebruikt wordt om te verbinden met de applicatie en is afhankelijk van de technologie die gebruikt wordt door het account. |
| <leeg>: Er wordt geen sessie aangemaakt (er wordt geen connectie gemaakt met het geassocieerde account, bijvoorbeeld reconciliation accounts) RDP: Lokale of AD accounts (WIN, AD) gebruiken RDP om te connecteren met de applicatie SSH: Linux of Unix account (UX, UXKEYS) gebruiken SSH om te connecteren met de applicatie WEB: Microsoft Azure of AWS accounts (AZR, AWSKA,AWSSTS) gebruiken HTTPS om te connecteren met de applicatie PAC: CyberArk's PrivateArk Client |
Platform voorbeeld
WIN-MA-CE-CAU-RDP
WIN: Dit is een platform die enkel lokale Windows accounts bevat.
MA: De accounts zijn onderhevig aan de Managed Access Access Policy.
CE: De inloggegevens van de accounts worden beheerd door de CE CPM die centraal geïnstalleerd is.
CAU: De accounts zijn onderhevig aan de Change After Use Credential management maatregel.
RDP: Het is mogelijk voor de accounts om een RDP connectie te maken met de applicatie om in te loggen.
5. Context
Beschrijving
Een context is een AD group die de informatie bevat van een safe en de rol voor het type van toegang. Dit op basis van het VO toegangsbeleid. Afhankelijk van dit toegangsbeleid onderscheiden we drie verschillende rollen die toegang tot safes, en dus tot geprivilegieerde accounts, verschaffen.
Naamconventie
[Responsible]-[OVO code]-[Team of Application ID]-[Safe type]%[Context]
Beschrijving van de naamconventie
De naamconventie volgt die van een Account Safe zonder de "Location" parameter en wordt ingevuld door de suffix "Context". Dit maakt het mogelijk om de accounts van de ene naar de andere safe te verplaatsen in de toekomst zonder impact te hebben op de permissies die geconfigureerd zijn binnen VO WebIDM. (Dit kan nodig zijn wanneer een applicatie verplaatst van 'Location').
Parameter | Beschrijving | Mogelijke waardes | Waarde beschrijving |
---|---|---|---|
Context | Beschrijft de rol die een gebruiker krijgt binnen een safe. | %user %validator %auditor | %user: De gebruiker met deze rol heeft toegang tot alle accounts binnen de safe en kan deze gebruiken om in te loggen tot de verschillende applicaties die waarop de accounts aanwezig zijn. %validator: De gebruiker met deze rol kan alle toegangsaanvragen valideren binnen de safe. Dit is enkel van toepassing op accounts die gekoppeld zijn met een platform die de Managed Access en Secure Access Access Policy. %auditor: De gebruiker met deze rol kan alle activiteit van de accounts gaan bekijken en controleren. (bv. Opnames raadplegen). De auditor rol die aangemaakt wordt voor de Account Safe wordt ook gebruikt in de Opname Safe om toegang te verlenen tot de opgenomen sessies. Als we naar het voorbeeld kijken van de Account Safe "D-048644-20109-OPS-CE" wordt de context "D-048644-20109-OPS-CE%auditor" aangemaakt en verkrijgt deze toegang tot de Account Safe "D-048644-20109-OPS-CE" om toegang te monitoren en binnen de Opname Safe "R-D-048644-20109-OPS-CE" om de opgenomen sessies te bekijken. |
Context voorbeeld
D-048644-20109-OPS%user
D: Accounts in deze safe worden gedelegeerd door de eigenaar naar een andere partij die voor deze accounts verantwoordelijk wordt gesteld.
048644: De partij die verantwoordelijk wordt geïdentificeerd door de OVO code 048644.
20109: De accounts zijn actief binnen de applicatie met als Application ID 20109.
OPS: De accounts zijn aangemaakt voor operationeel gebruik.
%user: De gebruiker heeft de rol om al de accounts binnen de safe te gebruiken.
6. Account
Beschrijving
Een account is binnen PAMaaS een geprivilegieerd account die gebruikt wordt om toegang te verlenen tot een systeem of applicatie.
Richtlijnen om geprivilegieerde accounts aan te maken zijn hier terug te vinden.
Windows domain account parameters
Parameter | Beschrijving | Voorbeeld |
---|---|---|
Address | Fully Qualified Domain Name (FQDN) van het Windows domain. | |
Username | Naam van het Windows domain account. | DomainAdmin |
Logon To | Naam van het domain waar het account zal op aanmelden. | windowsdomeinnaam |
UserDN | Naam van het domain object. | windowsdomeinnaam\DomainAdmin |
Comments | Optionele beschrijving. |
Windows local account parameters
Parameter | Beschrijving | Voorbeeld |
---|---|---|
Address | Fully Qualified Domain Name (FQDN) van de Windows server. | |
Username | Naam van het Windows local account. | Administrator |
Comments | Optionele beschrijving. |
Linux parameters
Parameter | Beschrijving | Voorbeeld |
---|---|---|
Address | Fully Qualified Domain Name (FQDN) van de Linux server. | |
Username | Naam van het Linux account. | root |
Comments | Optionele beschrijving. |
AWS IAM account - CLI toegang - Parameters
Parameter | Beschrijving | Voorbeeld |
---|---|---|
AWS Access Key ID | Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console. | AKIAJIPU0000L5LB7OIB |
Username | Naam van het AWS account. | Administrator |
Address | De account-specifieke URL die gebruikt door IAM users om aan te melden. | |
AWS ARN Role | De rol die veilige toegang heeft tot de AWS Console. | arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/JaneDoe |
Comments | Optionele beschrijving. |
AWS IAM account - Console toegang - Parameters
Parameter | Beschrijving | Voorbeeld |
---|---|---|
IAM Username | Naam van het AWS IAM Account. | StorageAdministrator |
AWS Access Key ID | Een uniek identificatienummer van de AWS Access Key dat gebruikt wordt door APIs tot de AWS console. | AKIAJIPU0000L5LB7OIB |
AWS Account Number | De account-specifieke URL die gebruikt door IAM users om aan te melden. | 123456789012 |
Comments | Optionele beschrijving. |
AWS IAM role - Console toegang - Parameters
Parameter | Beschrijving | Voorbeeld |
---|---|---|
IAM Username | Naam van de AWS IAM Role. | S3AccessRole |
AWS ARN Role | De rol die veilige toegang heeft tot de AWS Console. | arn:aws:iam::123456789012:role/S3Access |
AWS Account Number | De account-specifieke URL die gebruikt door IAM users om aan te melden. | 123456789012 |
Comments | Optionele beschrijving. | |
Use logon | Hier moet het Account ID (beschikbaar in de onboardingsexcel kolom A) toegevoegd worden van het AWS IAM Account die deze rol kan opvragen. | AWS-Console-L1 |