Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.

Was ist ein Privileged-Access-Management(PAM)-Tool?

Ein Privileged-Access-Management(PAM)-Tool ist eine Cybersicherheitslösung, mit der Sie privilegierte Benutzer und Sitzungen schützen können. Privilegierte Benutzer (z. B. Administratoren und Root-Benutzer) haben erweiterte Kontrolle über Netzwerkressourcen wie Datenbanken und Anwendungen.

Diese erweiterte Kontrolle ist zwar für die Pflege und Verwaltung dieser Ressourcen notwendig, stellt aber auch ein erhebliches Sicherheitsrisiko dar. PAM-Tools sind so konzipiert, dass sie dieses Risiko mindern, indem sie spezielle, dedizierte Sicherheitskontrollen für privilegierte Konten und Sitzungen bieten.

PAM-Tools können alle privilegierten Identitäten aufspüren und inventarisieren, privilegierte Anmeldeinformationen durch Verschlüsselung schützen, temporären privilegierten Zugriff gewähren und verdächtige Aktivitäten (z. B. Datenexfiltration) aufdecken. In den folgenden Abschnitten besprechen wir die verschiedenen Kategorien von PAM-Tools.

Die wichtigsten PAM-Tool-Kategorien

Die drei Hauptkategorien von PAM-Tools sind: Privileged Access and Session Management (PASM), Privileged Elevation and Delegation Management (PEDM) und Remote Privileged Access Management (RPAM).

1. Privileged Access and Session Management (PASM)

Privileged Access and Session Management (PASM) ist eine Kernkategorie von PAM, die sich in erster Linie auf die Sicherung privilegierter Anmeldeinformationen und Sitzungen konzentriert. PASM-Tools:

  • Speichern Sie alle privilegierten Identitäten in einem zentralen Tresor. Der Zugriff auf den Tresor wird in der Regel durch starke kryptographische Techniken geregelt.
  • Stellen sicher, dass privilegierte Sitzungen in einer kontrollierten Umgebung ablaufen, um Seitwärtsbewegungen oder unberechtigten Zugriff auf kritische Systeme zu verhindern.
  • Bieten die Möglichkeit, privilegierte Sitzungen zu überwachen und aufzuzeichnen. So können Administratoren sicherheitskritische Aktivitäten genau verfolgen und verdächtiges Verhalten erkennen.
  • Können die Beendigung einer Sitzung erzwingen, wenn anormales Verhalten festgestellt wird. Diese Funktion kann böswillige Akteure während eines Angriffs stoppen.
2. Privileged Elevation and Delegation Management (PEDM)

Privileged Elevation and Delegation Management (PEDM) ist eine weitere zentrale PAM-Kategorie, die sich mit den differenzierten Herausforderungen der Erweiterung und Delegierung privilegierter Zugriffe innerhalb einer Organisation befasst. PEDM-Tools:

  • Erlauben Administratoren, fein abgestufte Zugriffsrechte zu definieren. Ein Administrator kann beispielsweise einem Benutzer erweiterte Rechte auf Host-Ebene gewähren, sodass er Root-Befehle ausführen kann, allerdings nur auf einem bestimmten Host. Diese Granularität verkörpert die Essenz des Least-Privilege-Prinzip.
  • Unterstützen die vorübergehende Zuweisung von Privilegien. Dadurch wird sichergestellt, dass Privilegien automatisch entzogen werden, wenn sie nicht mehr benötigt werden, was die Angriffsfläche eines Unternehmens erheblich verringert.
  • Können Administratoraufgaben sicher an Nicht-Administratoren delegieren. Das PEDM-Tool stellt sicher, dass diese delegierten Aufgaben in einer kontrollierten und überprüfbaren Umgebung ausgeführt werden.
  • Bieten einen JIT-Ansatz (Just-in-Time) für die Gewährung zusätzlicher Rollen und Zugriffsrechte. Dies stellt sicher, dass Administratoren temporäre Privilegien genau dann anfordern und erhalten können, wenn sie benötigt werden, und verringert so die Gefahr des Missbrauchs von Privilegien.
3. Remote Privileged Access Management (RPAM)

In der heutigen Welt der Remote-Zugriffe hat sich Remote Privileged Access Management (RPAM) als eine weitere Kernkategorie von PAM-Tools herauskristallisiert. RPAM-Tools sind speziell für die Verwaltung des privilegierten Zugriffs auf Remote-Systeme und Anwendungen konzipiert. RPAM-Tools:

  • Stellen ein sicheres Gateway für Remote-Benutzer bereit, um ohne VPN auf kritische Systeme zuzugreifen. Dieser Zugriff wird häufig durch Multi-Faktor-Authentifizierung (MFA) geregelt und streng überwacht, um unbefugte Aktivitäten zu verhindern.
  • Verschlüsseln Remote-Sitzungen. Dies hilft dabei, Daten während der Übertragung zu schützen und Abhörversuche zu verhindern.
  • Ermöglichen Administratoren die Überwachung, Aufzeichnung und Wiedergabe privilegierter Remote-Sitzungen. All diese Funktionen sind für die Verfolgung von Aktivitäten, forensische Analysen und Compliance-Berichte unerlässlich.
  • Sie enthalten oft Funktionen für die Endpunktsicherheit, die sicherstellen, dass die Geräte der Benutzer den Sicherheitsstandards entsprechen, bevor sie für ein Netzwerk zugelassen werden.

JIT-Privileg – die Pseudo-PAM-Kategorie

Just-in-Time-Privilegien (JIT) sind keine eigentliche PAM-Kategorie, sondern eher ein erfundenes Konzept, das oft als solche dargestellt wird. JIT-Privilegien-Tools konzentrieren sich auf die Gewährung vorübergehender, erweiterter Privilegien für eine bestimmte Aufgabe oder einen bestimmten Zweck. Und so funktionieren sie:

  1. Administratoren richten automatische Genehmigungs-Workflows ein, um autorisierten Benutzern vorübergehend erweiterte Rechte zu gewähren.
  2. Benutzer beantragen Privilegien mit dem JIT-Privilegien-Tool, das einen automatischen Genehmigungs-Workflow auslöst.
  3. Das Tool verwendet den Workflow, um den Antrag zu überprüfen, und fordert den Benutzer auf, eine Begründung und andere relevante Informationen anzugeben.
  4. Je nach dem Ergebnis des vorherigen Schritts wird der Antrag entweder genehmigt oder abgelehnt.

Obwohl diese Konzepte mit den übergreifenden Prinzipien von PAM übereinstimmen, ist das JIT-Privileg keine eigene Kategorie von PAM-Tools. Ein JIT-Privilegien-Tool ist auch kein Ersatz für eine umfassende PAM-Lösung.

Verwandte PAM-Tool-Kategorien

Zusätzlich zu den Kernkategorien von PAM-Tools gibt es noch einige andere Kategorien, die eng mit PAM zusammenhängen. Sie umfassen:

a) Verwaltung von Geheimnissen

Tools zur Verwaltung von Geheimnissen ermöglichen es Unternehmen, sensible Daten wie Kennwörter, PINs, API-Schlüssel und Zertifikate zu verwalten. Typische Merkmale dieser Tools sind die Fähigkeit,

  • sensible Daten im Ruhezustand zu verschlüsseln. Dadurch wird sichergestellt, dass die Daten selbst bei einem unbefugten Zugriff geschützt und unlesbar bleiben.
  • kryptografische Schlüssel und andere Anmeldeinformationen in regelmäßigen Abständen automatisch zu rotieren. Dies verringert das Risiko, das mit statischen oder kompromittierten Anmeldeinformationen verbunden ist.
  • sich nahtlos mit anderen Sicherheitslösungen zu integrieren, einschließlich PAM-Tools. Dies gilt für viele Tools zur Verwaltung von Geheimnissen, etwa AWS Secret Manager, aber nicht für alle. So können Unternehmen in ihrer gesamten Infrastruktur einheitliche Sicherheitsrichtlinien durchsetzen.
b) Cloud Infrastructure Entitlement Management (CIEM)

CIEM-Tools (Cloud Infrastructure Entitlement Management) konzentrieren sich auf die Verwaltung von Berechtigungen in Cloud-Umgebungen. Einige herausragende CIEM-Funktionen sind:

  • Eine zentralisierte Ansicht der Identitäten und Zugriffsrechte in der gesamten Cloud-Infrastruktur. Das macht es einfach, das Least-Privilege-Prinzip einzuhalten.
  • Kontinuierliche Überwachung des Cloud-Zugriffs in Echtzeit. Dies ist entscheidend, um potenzielle Sicherheitsbedrohungen zu erkennen und umgehend darauf zu reagieren.
  • Ein zentrales Dashboard zur Verwaltung aller Cloud-Berechtigungen. Dies macht es einfach, eine konsistente Cloud-Sicherheitsrichtlinie zu formulieren und durchzusetzen.

Auch wenn CIEM und Lösungen zur Verwaltung von Geheimnissen keine reinen PAM-Tools sind, können sie als Teil einer umfassenden IAM-Richtlinie zur Unterstützung von PAM-Initiativen eingesetzt werden.

Fazit

Privileged Access Management (PAM) ist ein mehrdimensionales Konzept, das verschiedene Anwendungsfälle abdeckt. Um umfassende Sicherheit zu erreichen, ist oft ein strategischer Mix aus PAM-Tools erforderlich, der sich auf Kern-, Pseudo- und verwandte Kategorien erstreckt.