Các giải pháp quản lý truy cập đặc quyền (PAM) được coi là phương pháp phổ biến để ngăn chặn các mối đe dọa danh tính đối với tài khoản quản trị. Về lý thuyết, khái niệm PAM hoàn toàn có ý nghĩa: đặt thông tin đăng nhập của quản trị viên vào một kho tiền, xoay vòng mật khẩu của họ và giám sát chặt chẽ các phiên của họ. Tuy nhiên, thực tế khắc nghiệt là phần lớn các dự án PAM trở thành một dự án kéo dài nhiều năm hoặc thậm chí dừng lại hoàn toàn, khiến chúng không thể mang lại giá trị bảo mật như đã hứa.
Trong bài viết này, chúng tôi khám phá những gì làm cho dịch vụ chiếm một trở ngại chính trong quá trình giới thiệu PAM. Chúng ta sẽ tìm hiểu lý do tại sao việc xoay vòng kho tiền và mật khẩu của các tài khoản dịch vụ là một nhiệm vụ gần như bất khả thi, dẫn đến việc chúng dễ bị xâm phạm. Sau đó, chúng tôi sẽ kết thúc bằng việc giới thiệu cách Silverfort lần đầu tiên cho phép các nhóm nhận dạng vượt qua những thách thức này bằng tính năng khám phá, giám sát và bảo vệ tài khoản dịch vụ tự động cũng như hợp lý hóa quy trình giới thiệu PAM chỉ trong vài tuần.
Lời hứa PAM: Bảo vệ cho tất cả người dùng quản trị
Khái niệm về PAM cực kỳ đơn giản. Vì các đối thủ tìm cách thỏa hiệp thông tin xác thực của quản trị viên để sử dụng chúng cho mục đích truy cập độc hại, nên điều tự nhiên cần làm là đặt ra các rào cản trong nỗ lực của họ để thành công trong việc thực hiện thỏa hiệp này. PAM cung cấp một lớp bảo mật bổ sung bao gồm cả giám sát chặt chẽ các kết nối của quản trị viên thông qua ghi phiên và quan trọng hơn, một lớp ngăn chặn chủ động dưới dạng lưu trữ thông tin đăng nhập của quản trị viên và đặt chúng vào vòng quay mật khẩu định kỳ. Điều này làm giảm đáng kể nguy cơ tấn công thành công, bởi vì ngay cả khi kẻ thù quản lý để thỏa hiệp thông tin xác thực của quản trị viên, thì việc xoay vòng mật khẩu sẽ khiến chúng không hợp lệ vào thời điểm kẻ đó cố gắng sử dụng chúng để truy cập tài nguyên được nhắm mục tiêu.
Vì vậy, về lý thuyết, mọi thứ đều ổn.
Tạo các chính sách MFA dễ thực hiện cho tất cả các tài khoản đặc quyền của bạn là cách duy nhất để đảm bảo chúng không bị xâm phạm. Không cần tùy chỉnh hoặc phụ thuộc vào phân đoạn mạng, bạn có thể thiết lập và chạy trong vòng vài phút với Silverfort. Khám phá cách bảo vệ các tài khoản đặc quyền của bạn khỏi bị xâm phạm một cách nhanh chóng và liền mạch với các chính sách truy cập thích ứng thực thi bảo vệ MFA trên tất cả các tài nguyên tại chỗ và trên đám mây hiện nay.
Thực tế PAM: Quá trình giới thiệu dài và phức tạp có thể mất nhiều năm để hoàn thành
Tuy nhiên, điều mà nhóm nhận dạng và bảo mật gặp phải trong thực tế là triển khai các giải pháp PAM là một trong những quy trình tiêu tốn nhiều tài nguyên nhất. Thực tế là rất ít dự án PAM nỗ lực hết mình để hoàn thành mục tiêu bảo vệ tất cả các tài khoản quản trị trong môi trường. Thay vào đó, điều thường xảy ra là những thách thức xảy ra sớm hay muộn, không có giải pháp dễ dàng. Tốt nhất, những thách thức này chỉ làm chậm quá trình giới thiệu, kéo dài nó trong nhiều tháng hoặc thậm chí nhiều năm. Tệ nhất, họ khiến toàn bộ dự án bị đình trệ. Bằng cách đó hay cách khác, hệ lụy là nghiêm trọng. Ngoài việc đầu tư nhiều thời gian và công sức, mục đích cốt lõi của PAM không đạt được và tài khoản quản trị viên không nhận được sự bảo vệ mà họ yêu cầu.
Mặc dù có nhiều lý do dẫn đến những khó khăn khi triển khai PAM, nhưng lý do nổi bật nhất liên quan đến việc bảo vệ tài khoản dịch vụ.
Tóm tắt tài khoản dịch vụ: Tài khoản đặc quyền cho kết nối giữa máy với máy
Tài khoản dịch vụ là tài khoản người dùng được tạo để giao tiếp giữa các máy. Chúng được tạo ra theo hai cách chính. Đầu tiên, là nhân viên CNTT tạo ra chúng để tự động hóa các nhiệm vụ giám sát, vệ sinh và bảo trì lặp đi lặp lại thay vì thực hiện chúng theo cách thủ công. Cách thứ hai là một phần của việc triển khai một sản phẩm phần mềm trong môi trường doanh nghiệp. Ví dụ: việc triển khai máy chủ Outlook Exchange đòi hỏi phải tạo nhiều tài khoản khác nhau để thực hiện quét, cập nhật phần mềm và các tác vụ khác liên quan đến kết nối giữa máy chủ Exchange và các máy khác trong môi trường.
Bằng cách này hay cách khác, một tài khoản dịch vụ điển hình phải có đặc quyền cao để có thể thiết lập kết nối giữa máy với máy mà nó được tạo. Điều này có nghĩa là nó không khác bất kỳ tài khoản quản trị viên con người nào về khả năng bảo vệ mà nó yêu cầu. Thật không may, việc tích hợp tài khoản dịch vụ vào giải pháp PAM gần như là một nhiệm vụ bất khả thikhiến chúng trở thành trở ngại lớn nhất trên con đường triển khai PAM thành công.
Khoảng trống về khả năng hiển thị: Không có cách nào dễ dàng để khám phá các tài khoản dịch vụ hoặc lập bản đồ các hoạt động của họ
Điều đó xảy ra là không có cách nào dễ dàng để có được khả năng hiển thị trong khoảng không quảng cáo của tài khoản dịch vụ. Trên thực tế, trong hầu hết các môi trường, bạn không thể biết được toàn bộ số lượng tài khoản dịch vụ trừ khi việc giám sát chặt chẽ và lập tài liệu về việc tạo, chỉ định và xóa tài khoản dịch vụ đã được thực hiện trong suốt nhiều năm – điều mà chúng tôi hầu như không thực hiện được. Điều này có nghĩa là việc khám phá đầy đủ tất cả các tài khoản dịch vụ trong một môi trường chỉ có thể đạt được với nỗ lực khám phá thủ công đáng kể, điều này nằm ngoài khả năng của hầu hết các nhóm nhận dạng.
Hơn nữa, ngay cả khi thách thức khám phá được giải quyết thì vẫn còn một thách thức nghiêm trọng hơn vẫn chưa được giải quyết, đó là ánh xạ mục đích của từng tài khoản và kết quả phụ thuộc của nó, tức là các quy trình hoặc ứng dụng mà tài khoản này hỗ trợ và quản lý. Điều này hóa ra là một công cụ chặn PAM chính. Hãy hiểu tại sao lại như vậy.
Hàm ý PAM: Mật khẩu của Tài khoản dịch vụ quay vòng mà không hiển thị trong Hoạt động của nó có thể phá vỡ các quy trình mà nó quản lý
Cách điển hình mà các tài khoản dịch vụ kết nối với các máy khác nhau để thực hiện tác vụ của chúng là sử dụng một tập lệnh chứa tên của các máy để kết nối, các lệnh thực tế để thực thi trên các máy này và quan trọng nhất – tên người dùng và mật khẩu của tài khoản dịch vụ được sử dụng để xác thực cho các máy này. Xung đột với quá trình tích hợp PAM xảy ra vì trong khi PAM xoay mật khẩu của tài khoản dịch vụ bên trong vault, không có cách nào để tự động cập nhật mật khẩu được mã hóa cứng trong tập lệnh để khớp với mật khẩu mới mà PAM đã tạo. Vì vậy, trong lần đầu tiên tập lệnh sẽ thực thi sau vòng quay, tài khoản dịch vụ sẽ cố gắng xác thực bằng mật khẩu cũ – mật khẩu này không còn hiệu lực. Quá trình xác thực sẽ không thành công và tác vụ mà tài khoản dịch vụ lẽ ra phải thực hiện sẽ không bao giờ xảy ra, đồng thời phá vỡ mọi quy trình hoặc ứng dụng khác dựa trên tác vụ này. Hiệu ứng domino và thiệt hại tiềm ẩn là rõ ràng.
Nắm bắt tài khoản dịch vụ PAM: Bị mắc kẹt giữa các mối quan tâm về hoạt động và bảo mật
Trên thực tế, hầu hết các nhóm nhận dạng sẽ, xem xét rủi ro này, tránh hoàn toàn các tài khoản dịch vụ vault. Và đó chính xác là sự bế tắc – các tài khoản dịch vụ kho tiền tạo ra rủi ro hoạt động, trong khi không kho tiền cho chúng sẽ tạo ra rủi ro bảo mật không kém. Rất tiếc, cho đến nay vẫn chưa có câu trả lời dễ dàng cho vấn đề nan giải này. Đây là lý do tại sao các tài khoản dịch vụ lại là một yếu tố cản trở quá trình tích hợp PAM. Cách duy nhất để đáp ứng các yêu cầu về bảo mật và vận hành là khởi chạy một nỗ lực thủ công, siêng năng để khám phá tất cả các tài khoản dịch vụ, các tập lệnh sử dụng chúng cũng như các tác vụ và ứng dụng mà chúng thực hiện. Đây là một nhiệm vụ to lớn và là lý do chính dẫn đến quá trình giới thiệu PAM kéo dài hàng tháng, thậm chí hàng năm.
Vượt qua Thử thách với Bản đồ Khám phá và Hoạt động của Tài khoản Dịch vụ Tự động
Gốc rễ của vấn đề là truyền thống thiếu một tiện ích có thể dễ dàng lọc ra tất cả các tài khoản dịch vụ và tạo ra kết quả hoạt động của chúng. Đây là thách thức mà Silverfort muốn đơn giản hóa và giải quyết.
Silverfort đi tiên phong trong Nền tảng bảo vệ danh tính hợp nhất đầu tiên tích hợp sẵn với Active Directory để giám sát, phân tích và thực thi chính sách truy cập tích cực trên tất cả tài khoản người dùng và tài nguyên trong môi trường AD. Với sự tích hợp này, AD chuyển tiếp mọi nỗ lực truy cập đến Silverfort để phân tích rủi ro và chờ phán quyết của nó về việc cấp quyền truy cập hay từ chối truy cập đó.
Tận dụng khả năng hiển thị và phân tích tất cả các xác thực này, Silverfort có thể dễ dàng phát hiện tất cả các tài khoản có hành vi lặp lại và xác định đặc trưng cho các tài khoản dịch vụ. Silverfort tạo danh sách chi tiết về tất cả các tài khoản dịch vụ trong môi trường, bao gồm cấp đặc quyền, nguồn, đích và khối lượng hoạt động của chúng.
Với thông tin có sẵn đó, các nhóm nhận dạng có thể dễ dàng xác định các phần phụ thuộc và ứng dụng của từng tài khoản dịch vụ, xác định vị trí các tập lệnh chạy tài khoản đó và đưa ra quyết định sáng suốt về các tài khoản dịch vụ và chọn một trong các tùy chọn sau:
Đặt trong kho tiền và xoay mật khẩu: trong trường hợp đó, khả năng hiển thị mới đạt được, giúp dễ dàng thực hiện các điều chỉnh cần thiết trong các tập lệnh tương ứng để đảm bảo rằng mật khẩu mà chúng chứa được cập nhật phù hợp với vòng quay mật khẩu của kho tiền.
Đặt trong kho tiền mà không cần luân chuyển và bảo vệ bằng chính sách Silverfort: đôi khi dung lượng sử dụng của một tài khoản dịch vụ sẽ khiến việc duy trì cập nhật liên tục trở nên quá khó khăn. Trong trường hợp đó, sẽ tránh được việc xoay mật khẩu. Thay vào đó, nhóm nhận dạng sẽ sử dụng chính sách được tạo tự động của Silverfort để bảo vệ tài khoản dịch vụ, cảnh báo hoặc chặn quyền truy cập của tài khoản đó khi phát hiện hành vi sai lệch so với hành vi bình thường của tài khoản.
Theo cách đó, Silverfort rút ngắn quy trình giới thiệu PAM xuống chỉ còn vài tuần, biến nó thành một nhiệm vụ khả thi ngay cả đối với môi trường có hàng trăm tài khoản dịch vụ.
Bạn đang gặp khó khăn trong việc đưa các dự án PAM của mình đi đúng hướng? Tìm hiểu thêm về cách Silverfort có thể giúp tăng tốc các dự án PAM tại đây.
