-->
الصفحة الرئيسية

"إنها حسابات الخدمة ، يا غبية": لماذا تستغرق عمليات نشر PAM (تقريبًا) إلى الأبد

Almoktachif Computer Technologie
خط المقالة

 


تعتبر حلول إدارة الوصول المميز (PAM) ممارسة شائعة لمنع تهديدات الهوية للحسابات الإدارية. من الناحية النظرية ، يكون مفهوم PAM منطقيًا تمامًا: ضع بيانات اعتماد المسؤول في قبو ، وقم بتدوير كلمات المرور الخاصة بهم ، وراقب جلساتهم عن كثب. ومع ذلك ، فإن الواقع القاسي هو أن الغالبية العظمى من مشاريع PAM إما أن تصبح مشروعًا مدته سنوات ، أو حتى تتوقف تمامًا ، مما يمنعها من تقديم القيمة الأمنية الموعودة.

في هذه المقالة ، نستكشف ما الذي يجعل حسابات الخدمة عقبة رئيسية في إعداد PAM . سوف نتعرف على سبب كون التخزين المؤقت وتناوب كلمات المرور لحسابات الخدمة مهمة شبه مستحيلة ، مما يؤدي إلى تركها معرضة للخطر. سنختتم بعد ذلك بتقديم كيفية تمكين Silverfort لفرق الهوية ، لأول مرة ، من التغلب على هذه التحديات من خلال الاكتشاف الآلي لحسابات الخدمة ومراقبتها وحمايتها ، وتبسيط عملية إعداد PAM في غضون أسابيع فقط.


وعد PAM: حماية جميع المستخدمين الإداريين

مفهوم PAM بسيط للغاية. نظرًا لأن الخصوم يسعون إلى التنازل عن بيانات اعتماد المسؤول لتوظيفهم للوصول الضار ، فإن الشيء الطبيعي الذي يجب فعله هو وضع عقبات في محاولاتهم للنجاح في تنفيذ هذا الحل الوسط. يوفر PAM طبقة أمان إضافية تتضمن كلاً من المراقبة الدقيقة لاتصالات المسؤول عبر تسجيل الجلسة ، والأهم من ذلك ، طبقة منع استباقية في شكل بيانات اعتماد المسؤول الخاصة بالخزينة وإخضاعها للتناوب الدوري لكلمة المرور. هذا يقلل بشكل كبير من خطر حدوث هجوم ناجح ، لأنه حتى إذا تمكن الخصم من اختراق بيانات اعتماد المسؤول ، فإن تدوير كلمة المرور سيجعلها غير صالحة بحلول الوقت الذي سيحاول فيه استخدامها للوصول إلى الموارد المستهدفة.

لذلك من الناحية النظرية ، كل شيء على ما يرام.


واقع PAM: عملية تأهيل طويلة ومعقدة يمكن أن تستغرق سنوات حتى تكتمل

ومع ذلك ، ما تواجهه فرق الهوية والأمن في الممارسة هو أن نشر حلول PAM هو أحد أكثر العمليات استنفادًا للموارد. الحقيقة هي أن عددًا قليلاً جدًا من مشاريع PAM تذهب إلى الطول الكامل لإنجاز هدف حماية جميع الحسابات الإدارية داخل البيئة. ما يحدث عادةً بدلاً من ذلك هو أن التحديات تحدث عاجلاً أم آجلاً ، دون حل سهل. في أحسن الأحوال ، تؤدي هذه التحديات فقط إلى إبطاء عملية الإعداد ، وتمتد على مدى شهور أو حتى سنوات. في أسوأ الأحوال ، أوقفوا المشروع بأكمله. وبهذه الطريقة أو بأخرى فإن التداعيات خطيرة. علاوة على الاستثمارات الضخمة للوقت والجهود ، لم يتم تحقيق الغرض الأساسي من PAM ، ولا تحصل حسابات المسؤول على الحماية التي تتطلبها.

في حين أن هناك أسبابًا مختلفة للصعوبات التي يقدمها نشر PAM ، فإن أبرزها يتعلق بحماية حسابات الخدمة .

ملخص حسابات الخدمة: الحسابات المميزة للاتصال من آلة إلى آلة

حسابات الخدمة هي حسابات مستخدمين تم إنشاؤها للاتصال من آلة إلى آلة. يتم إنشاؤها بطريقتين رئيسيتين. الأول ، هو موظفو تكنولوجيا المعلومات الذين يقومون بإنشائهم لأتمتة مهام المراقبة المتكررة والنظافة والصيانة بدلاً من القيام بها يدويًا. الطريقة الثانية هي كجزء من نشر منتج برمجي في بيئة المؤسسة. على سبيل المثال ، يستلزم نشر خادم Outlook Exchange إنشاء حسابات متنوعة تقوم بإجراء المسح وتحديث البرامج والمهام الأخرى التي تتضمن اتصالاً بين خادم Exchange والأجهزة الأخرى في البيئة.

بهذه الطريقة أو بأخرى ، يجب أن يتمتع حساب الخدمة النموذجي بامتيازات عالية حتى يتمكن من إنشاء الاتصال من جهاز إلى آخر الذي تم إنشاؤه من أجله . هذا يعني أنه لا يختلف عن أي حساب مسؤول بشري في الحماية التي يتطلبها. لسوء الحظ ، يعد إعداد حساب الخدمة لحل PAM مهمة قريبة من المستحيل ، مما يجعلها أكبر عقبة في طريق نشر PAM بنجاح.

فجوة الرؤية: لا توجد طريقة سهلة لاكتشاف حسابات الخدمة أو تعيين أنشطتها

يحدث أنه لا توجد طريقة سهلة للحصول على رؤية في مخزون حسابات الخدمة. في الواقع ، في معظم البيئات لا يمكنك معرفة العدد الكامل لحسابات الخدمة ما لم تتم ممارسة المراقبة الصارمة وتوثيق إنشاء حسابات الخدمة وتخصيصها وحذفها على مر السنين - وهو ما نادرًا ما يكون ممارسة شائعة. وهذا يعني أن الاكتشاف الكامل لجميع حسابات الخدمة في بيئة ما لا يمكن تحقيقه إلا بجهود الاكتشاف اليدوي الكبير ، وهو أمر بعيد المنال بالنسبة لمعظم فرق الهوية.

علاوة على ذلك ، حتى إذا تم حل تحدي الاكتشاف ، فلا يزال هناك تحدٍ أكثر خطورة لم تتم معالجته ، وهو تحديد الغرض من كل حساب وتبعياته الناتجة ، أي العمليات أو التطبيقات التي يدعمها هذا الحساب ويديرها. تبين أن هذا هو مانع رئيسي لـ PAM. دعونا نفهم سبب ذلك.

تضمين PAM: يمكن أن يؤدي تدوير كلمة مرور حساب الخدمة بدون رؤية في نشاطه إلى كسر العمليات التي يديرها

الطريقة النموذجية التي تتصل بها حسابات الخدمة بأجهزة مختلفة لأداء مهمتها هي باستخدام برنامج نصي يحتوي على أسماء الأجهزة المراد الاتصال بها ، والأوامر الفعلية التي يجب تنفيذها على هذه الأجهزة ، والأهم من ذلك - اسم المستخدم وكلمة المرور لحساب الخدمة المستخدم في المصادقة على هذه الآلات. يحدث الصدام مع PAM onboarding لأنه بينما يقوم PAM بتدوير كلمة مرور حساب الخدمة داخل الخزنة ، لا توجد طريقة لتحديث كلمة المرور المشفرة تلقائيًا في البرنامج النصي لمطابقة كلمة المرور الجديدة التي أنشأها PAM. لذلك ، في المرة الأولى التي يتم فيها تنفيذ البرنامج النصي بعد التدوير ، سيحاول حساب الخدمة المصادقة باستخدام كلمة المرور القديمة - التي لم تعد صالحة. ستفشل المصادقة ، ولن تحدث المهمة التي كان من المفترض أن يؤديها حساب الخدمة ، كسر أيضًا أي عمليات أو تطبيقات أخرى تعتمد على هذه المهمة. تأثير الدومينو والأضرار المحتملة واضحة.

اكتشاف حسابات خدمة PAM: عالقة بين المخاوف التشغيلية والأمنية

في الواقع ، فإن معظم فرق تحديد الهوية ، بالنظر إلى هذا الخطر ، سوف تتجنب تمامًا حسابات خدمة القبو. وهذا هو بالضبط المأزق - حسابات خدمة التخزين المؤقت تخلق مخاطر تشغيلية ، في حين أن عدم تخزينها يخلق مخاطر أمنية أقل . للأسف ، حتى الآن لم يكن هناك إجابة سهلة لهذه المعضلة. هذا هو السبب في أن حسابات الخدمة تمثل مثبطًا لإلحاق PAM. الطريقة الوحيدة لتلبية كل من متطلبات الأمان والتشغيل هي إطلاق جهد يدوي مضني لاكتشاف جميع حسابات الخدمة ، والنصوص التي تستخدمها ، والمهام والتطبيقات التي تؤديها. هذه مهمة ضخمة والسبب الرئيسي لطول الأشهر وحتى السنوات التي تستغرقها عملية إعداد PAM.

التغلب على التحدي من خلال اكتشاف حسابات الخدمة الآلية وتخطيط النشاط

جذر المشكلة هو النقص التقليدي في الأداة التي يمكنها بسهولة تصفية جميع حسابات الخدمة وإنتاج مخرجات لأنشطتها. هذا هو التحدي الذي يهدف سيلفرفورت إلى التبسيط والحل.

تعد Silverfort أول منصة موحدة لحماية الهوية تتكامل أصلاً مع Active Directory لرصد وتحليل وإنفاذ سياسة الوصول النشط على جميع حسابات المستخدمين والموارد في بيئة AD. مع تطبيق هذا التكامل ، تقوم AD بإعادة توجيه كل محاولة وصول واردة إلى Silverfort لتحليل المخاطر وتنتظر حكمها على منح حق الوصول أو رفضه.

بالاستفادة من هذه الرؤية والتحليل لجميع المصادقات ، يمكن لـ Silverfort بسهولة اكتشاف جميع الحسابات التي تتميز بالسلوك المتكرر والحتمي الذي يميز حسابات الخدمة. تنتج Silverfort قائمة مفصلة بجميع حسابات الخدمة داخل البيئة ، بما في ذلك مستوى الامتياز والمصادر والوجهات وحجم النشاط .

مع توفر هذه المعلومات ، يمكن لفرق الهوية بسهولة تحديد التبعيات والتطبيقات لكل حساب خدمة ، وتحديد البرامج النصية التي تقوم بتشغيله ، واتخاذ قرار مستنير بشأن حسابات الخدمة واختيار واحد مما يلي:
  • ضع كلمات المرور في الخزنة وقم بتدويرها : في هذه الحالة ، تُسهل الرؤية المكتسبة حديثًا إجراء التعديلات المطلوبة في البرامج النصية المعنية لضمان تحديث كلمات المرور التي تحتوي عليها وفقًا لتدوير كلمة مرور المخزن.
  • ضع في قبو بدون تدوير واحمِ بسياسة Silverfort : في بعض الأحيان ، قد يجعل حجم استخدام حساب الخدمة التحديث المستمر صعبًا للغاية للحفاظ عليه. في هذه الحالة ، سيتم تجنب تدوير كلمة المرور. سيستخدم فريق الهوية بدلاً من ذلك سياسة Silverfort المُنشأة تلقائيًا لحماية حساب الخدمة ، وتنبيه أو منع وصوله عند اكتشاف انحراف عن سلوكه الطبيعي.

بهذه الطريقة ، تختصر Silverfort عملية الإعداد لـ PAM إلى مجرد أسابيع ، مما يجعلها مهمة قابلة للتحقيق حتى في بيئة بها مئات حسابات الخدمة.

هل تكافح من أجل الحصول على مشاريع PAM الخاصة بك على المسار الصحيح؟ تعرف على المزيد حول كيف يمكن لـ Silverfort المساعدة في تسريع مشاريع PAM هنا .
author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق

    إرسال تعليق

    الاسمبريد إلكترونيرسالة