Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.

Was ist Privileged Identity Management (PIM)?

Mit Privileged Identity Management (PIM) schützen und verwalten Sie privilegierte Konten. Privilegierte Konten sind Konten, die erweiterten Zugriff auf sensible Daten oder kritische Systeme haben. Beispiele für privilegierte Konten sind Systemadministratoren, Datenbankadministratoren, Dienstkonten, Root-Benutzer und Superuser.

Ein Unternehmen kann PIM über ein spezialisiertes, eigenständiges Tool oder eine Reihe von Tools und Prozessen implementieren. PIM-Lösungen bieten eine konsolidierte Plattform zur Erstellung, Verwaltung und Nachverfolgung privilegierter Konten. Sie reduzieren das Risiko von Datenschutzverletzungen und gewährleisten die Einhaltung von Branchenvorschriften und -standards.

Privilegierte Konten müssen besonders geschützt werden, denn wenn sie kompromittiert werden, kann ein Angreifer Zugriff auf sensible Daten und kritische Systemen erhalten. Darüber hinaus können privilegierte Konten auch zu Insider-Bedrohungen führen, wenn ein Mitarbeiter (absichtlich oder unabsichtlich) seinen erweiterten Zugriff missbraucht. Die ordnungsgemäße Verwaltung privilegierter Konten ist entscheidend, um solche Sicherheitsvorfälle zu verhindern und das Vertrauen von Kunden und Stakeholdern zu erhalten.

Was sind die wichtigsten Funktionen von Privileged Identity Management?

Privileged Identity Management ist eine entscheidende Komponente jeder umfassenden Cybersicherheitsstrategie. Zu den wichtigsten Funktionen gehören:

  • Auffinden aller privilegierten Konten in einem Unternehmen, unabhängig davon, in welcher Plattform oder Anwendung sie verwendet werden
  • Zentralisierte Bereitstellung und Speicherung privilegierter Konten in einem speziellen Tresor
  • Rollenbasierte, granulare Autorisierungsrichtlinien für privilegierte Konten, mit denen Unternehmen das Least-Privilege-Prinzip durchsetzen können
  • Durchsetzung strenger Kennwortrichtlinien (z. B. regelmäßiger automatischer Wechsel des Kennwort)
  • Vorübergehende Zuweisung von Privilegien an Konten und Entzug dieser Privilegien, wenn sie nicht mehr benötigt werden. Dies ist besonders nützlich, wenn ein Mitarbeiter nur Zugriff auf ein System benötigt, um eine einzige Aufgabe auszuführen
  • Verfolgung und Überwachung aller Aktivitäten im Zusammenhang mit privilegierten Konten, einschließlich der Frage, wer wann auf sie zugegriffen hat und was diese Person während der Nutzung getan hat
  • Berichterstattung und Prüfung sicherheitskritischer Ereignisse (z. B. An- und Abmeldevorgänge, Zugriffsanfragen und Änderungen an Berechtigungen und Konfigurationen)

Wie funktioniert Privileged Identity Management?

Privileged-Identity-Management-Lösungen zielen darauf ab, autorisiertem Personal unter bestimmten Umständen zeitlich begrenzten Zugriff auf sensible Ressourcen zu gewähren. Nachfolgend wird erläutert, wie eine typische PIM-Lösung in der Praxis funktioniert:

1. Provisionierung

Der erste Schritt besteht darin, privilegierte Rollen zu erstellen, die mit bestimmten Berechtigungen ausgestattet sind. Eine solche Rolle könnte beispielsweise ein Oracle_DB_Admin sein, der erweiterte Zugriffsrechte auf einen Pool von Oracle-Datenbanken gewährt. Sobald die Rolle definiert ist, können Sie eine Liste autorisierter Identitäten festlegen, die diese Rolle übernehmen dürfen (z. B. können Sie es erfahrenen Datenbankadministratoren erlauben, diese Rolle zu übernehmen).

2. Benutzer beantragt zeitlich begrenzte Rollenaktivierung

Sobald der erste Schritt abgeschlossen ist, kann ein Benutzer eine Anfrage zur Übernahme einer privilegierten Rolle an die PIM-Lösung senden. Diese Anfrage enthält die Dauer und die Begründung für den Zugriff. Die Anfrage durchläuft einen vordefinierten Genehmigungsworkflow, der eine automatische Verarbeitung oder eine manuelle Genehmigung durch einen beauftragten Genehmiger erfordern kann.

3. Der Antrag wird genehmigt oder abgelehnt

Wenn der Benutzer über die erforderlichen Rechte verfügt, um die privilegierte Rolle zu übernehmen, prüft die PIM-Lösung die Anmeldeinformationen und fügt sie der Benutzersitzung hinzu. Wenn der Genehmigungsworkflow fehlschlägt, wird der Antrag abgelehnt und ein Sicherheitsvorfall in den Auditaufzeichnungen protokolliert.

4. Privilegien werden entzogen

Die Privilegien werden entzogen und die Sitzung wird beendet, sobald die Dauer endet oder sich der Benutzer abmeldet – je nachdem, was zuerst eintritt. Wenn der Benutzer eine Sitzung über die ursprünglich genehmigte Dauer hinaus fortsetzen möchte, kann er eine Anfrage zur Sitzungsverlängerung an das PIM senden.

5. Audit und Überwachung

Die meisten PIM-Tools bieten Funktionen zum Wiederholen der Sitzungen sowie zu Überwachung und Auditing, um die sichere Nutzung privilegierter Konten zu verfolgen und zu gewährleisten. Administratoren können Auditprotokolle untersuchen, um ungewöhnliche Aktivitäten zu erkennen, und gegebenenfalls Sitzungswiederholungen verwenden, um weitere Untersuchungen durchzuführen.

Der Unterschied zwischen PIM, PAM und IAM

PIM, Privileged Access Management (PAM) und Identity and Access Management (IAM) sind alle miteinander verwandt, haben aber unterschiedliche Schwerpunkte. IAM verwaltet und sichert Benutzeridentitäten und den Zugriff auf Ressourcen, einschließlich privilegierter Benutzer. PIM verwaltet und sichert die Identitäten privilegierter Konten. PAM verwaltet und sichert den Zugriff privilegierter Konten auf sensible Ressourcen. Diese Lösungen arbeiten oft zusammen, um umfassende Sicherheit zu bieten, wobei IAM die Grundlage bildet und PIM und PAM zusätzliche Sicherheitsebenen bieten.

IAM

IAM ist ein weit gefasster Begriff, der sich auf die Richtlinien, Prozesse und Technologien bezieht, die zur Verwaltung digitaler Identitäten und deren Zugriff auf Ressourcen verwendet werden. IAM umfasst verschiedene Zugriffsverwaltungsmechanismen, darunter PIM und PAM, sowie andere Tools zur Identitätsverwaltung.

PIM

PIM konzentriert sich auf die Verwaltung und Sicherung der Identitäten privilegierter Konten, einschließlich der Erstellung, Pflege und des Entzugs von Konten mit erweiterten Berechtigungen. PIM-Tools bieten in der Regel Unterstützung bei der Erkennung privilegierter Konten, der Verwaltung ihres Lebenszyklus und der Durchsetzung von Zugriffskontrollen, um den Zugriff auf autorisierte Personen oder Gruppen zu beschränken.

PAM

PAM kann als Erweiterung zu PIM betrachtet werden, da PAM-Lösungen ein breiteres Spektrum an Funktionen für die Verwaltung und Absicherung privilegierter Konten bieten.

Während sich sowohl PIM als auch PAM mit der Verwaltung und Sicherung privilegierter Konten befassen, geht PAM über PIM hinaus und bietet zusätzliche Funktionen wie Just-in-Time-Zuweisung von Privilegien, sicheren kennwortlosen Remote-Zugriff und Sitzungsaufzeichnung. PAM-Lösungen bieten granulare Kontrolle über den privilegierten Zugriff und ermöglichen es Unternehmen, ihn in Echtzeit zu überwachen und zu validieren sowie verdächtige Aktivitäten zu erkennen und darauf zu reagieren.

Wie arbeiten PIM und Active Directory zusammen?

Einige PIM-Tools sind mit Active Directory (AD) integriert, um privilegierte Konten, die auf einem AD-Server gespeichert sind, zu erkennen und zu verwalten. Diese Integration erweitert die AD-basierte Authentifizierung um weitere Sicherheitsebenen wie granulare Zugriffskontrolle, Überwachung und privilegierten Just-in-Time-Zugriff.

Durch die Integration mit AD können PIM-Lösungen privilegierte Konten in der AD-Umgebung identifizieren und verwalten und so das Risiko von Angriffen, die eine Rechteausweitung zum Ziel haben, verringern. PIM-Tools können auch granulare Zugriffskontrollen für privilegierte Konten bieten und den Zugriff auf autorisierte Personen oder Gruppen beschränken. Darüber hinaus können PIM-Tools die Aktivitäten privilegierter Konten in Echtzeit überwachen und prüfen und so dazu beitragen, verdächtige Aktivitäten zu erkennen und darauf zu reagieren.

Privilegierter Just-in-Time-Zugriff ist eine weitere Funktion einiger PIM-Lösungen. Mit dieser Funktion können Benutzer temporären privilegierten Zugriff zur Durchführung bestimmter Aufgaben beantragen. Der Zugriff wird automatisch entzogen, sobald die Aufgabe abgeschlossen ist. Dieser Ansatz stellt sicher, dass privilegierter Zugriff nur so lange gewährt wird wie nötig, und verringert so das Missbrauchsrisiko.

Fazit

Privileged Identity Management verbessert Ihren Sicherheitsstatus, indem es eine strengere Governance für privilegierte Identitäten durchsetzt und so Hacker und böswillige Akteure davon abhält, Ihrem Unternehmen Schaden zuzufügen.

Absicherung Ihrer privilegierten Konten mit PAM-Lösungen von One Identity

Privileged-Access-Management(PAM)-Lösungen von One Identity bieten nahtlose Sicherheit beim privilegierten Zugriff, die sich im Einklang mit Ihren Geschäftsanforderungen verändern und skalieren lässt.