Was ist Privileged Access Governance (PAG)

Das Thema "Privileged Access" oder "Priviledged Account" (privilegierter Zugriff bzw. privilegiertes Konto) ist derzeit ein zentrales Gesprächsthema. Fast täglich hört man über Sicherheitsverletzungen, die durch den Missbrauch mangelhaft geschützter Anmeldeinformationen privilegierter Konten verursacht werden. Der Missbrauch der Zugangsdaten zu privilegierten Konten macht es Übeltätern leicht, auf sensible Daten zuzugreifen oder diese zu stehlen. Leider dauert es oft Monate oder sogar Jahre, um solche Vorfälle zu erkennen und aufzuklären – bis dahin sind der Angreifer und die Daten längst über alle Berge.

Das Problem, mit dem viele Unternehmen konfrontiert sind, wenn sie versuchen, privilegierte Konten zu schützen, besteht darin, dass es schwierig ist, festzustellen, welche Konten privilegierten Zugriff haben, und noch schwieriger, zu verfolgen, wer Zugriff auf diese Konten hat. Die Kontrolle des Zugriffs auf solche privilegierten Konten wird seit langem mit Privileged-Account-Management(PAM)-Technologien sichergestellt. Herkömmliche PAM-Lösungen sind jedoch oft eigenständig und nicht in Identity-Governance-and-Administration(IGA)-Technologien integriert. Infolgedessen behindern sie die Kontrolle, Transparenz und Governance von Benutzern und deren Zugriff auf privilegierte Ressourcen erheblich.

Wenn Sie eine IGA-Lösung bereitstellen, zielen Sie darauf ab, die Herausforderungen des Identitätslebenszyklusverwaltung und der Governance für das gesamte Unternehmen zu bewältigen, einschließlich Zertifizierung, Bescheinigung und Aufgabentrennung. IGA-Lösungen erfüllen diese Anforderungen in hervorragender Weise, während Privileged Account Governance die Governance-, Risiko- und Compliance-Funktionen einer IGA-Lösung auf das PAM-System ausweitet. Während die meisten IGA-Plattformen das Risiko in erster Linie auf der Grundlage von Benutzerkonten und deren Rollen und Gruppenmitgliedschaften bewerten, berücksichtigt Privileged Access Governance auch die aus der PAM-Umgebung gewonnenen „Root“-Anmeldeinformationen, indem es diese wichtigen Informationen in die Implementierung von Identity-Governance-Regeln einbezieht und das Risiko für das gesamte Unternehmen ermittelt.

Viele Unternehmen behandeln ihre IGA- und PAM-Umgebungen getrennt und verwalten den Zugriff isoliert in zwei verschiedenen Systemen. Das IGA-System enthält Informationen über die Identität und ihren organisatorischen Kontext (z. B. Abteilung, Rolle, Position, Standort und Kostenstelle) sowie die Konten, die diese Identität in verschiedenen Systemen und Anwendungen im gesamten Unternehmen besitzt (z. B. das AD-Domänenkonto, E-Mail, SharePoint, SAP, Salesforce und andere Geschäftsanwendungen).

Das PAM-System ist anders. Die Identität ist zwar im PAM-System vorhanden, aber es fehlen die organisatorischen und kontextbezogenen Daten, über die die IGA-Systeme verfügen. Das PAM-System gewährt Zugriff auf Systeme oder Anwendungen, indem es die erforderlichen Schlüssel oder Anmeldeinformationen für das Konto der Zielplattform bereitstellt. Die IGA- und PAM-Systeme unterscheiden sich in der Art und Weise, wie sie Identitäten speichern, Identitätslebenszyklen verwalten und den Zugriff auf Systeme und Anwendungen erleichtern. Beide Systeme spielen jedoch eine entscheidende Rolle bei der Bekämpfung von Cyber-Bedrohungen und Risiken, einschließlich Insider-Bedrohungen. Sie tragen dazu bei, den am wenigsten privilegierten Zugriff aus Sicht der IGA durchzusetzen und Anmeldeinformationen zu sichern, während sie Sitzungen auf Systemen und Anwendungen aufzeichnen.

Privileged Access Governance bietet folgende Kernfunktionen:

• Erteilen von Privilegien für Benutzer
• Verwalten einmaliger privilegierter Zugriffe für die Erledigung bestimmter einmaliger Aufgaben
• Kontrolle des Zugriffs auf privilegierte Kennwörter
• Verfolgen sämtlicher privilegierten Aktivitäten für Berichterstellung und Audits über privilegierten Zugriff