Was ist Privileged Session Management?

Privileged Session Management ist eine Kontrollfunktion, die einschränkt, wie lange und zu welchem Zweck ein Administrator – der ein Mensch oder eine Maschine sein kann – auf eine digitale Ressource zugreifen kann. Privilegierte Benutzer können auf kritische IT-Ressourcen zugreifen, z. B. auf die Verwaltungsoberfläche für Geräte oder die Root-Datei für UNIX-Server. Die Sitzungsverwaltung ist eine zusätzliche Kontroll- und Sicherheitsebene, die eine zeitliche Begrenzung – oder eine funktionale Begrenzung zusammen mit einer zeitlichen Begrenzung – für den Zugriff des Administrators auf diese bestimmte Sitzung vorsieht. Diese instruktive Webseite richtet sich an nicht-privilegierte Benutzer und Beschaffungsmanager, die One Identity für eine Investition bewerten.

Im einfachsten Worst-Case-Szenario – wenn es sich bei Ihrem PAM-Sicherheitssystem um ein Legacy-System handelt – ist wahrscheinlich nur eine „Ja oder Nein“-Admin-Zugriffsrichtlinie verfügbar: Der privilegierte Benutzer hat Zugriff auf alles oder nichts. Bei Legacy-Systemen wurde dieser erweiterte Zugriff oft mit gemeinsam genutzten Anmeldeinformationen verwaltet, was bedeutete, dass es weder eine individuelle Verantwortlichkeit noch Einschränkungen für den Zugriff eines Administrators gab. Damit die IT-Infrastruktur funktioniert, muss es Benutzer geben, die am Ende der Datenbanken privilegierten Zugriff haben, die Infrastruktur kontrollieren, Benutzerzugriffsberechtigungen festlegen und Code zu den Anwendungen hinzufügen, um sie noch besser zu machen. Aber Sie können die Tür zum Tresorraum nicht einfach die ganze Zeit offen lassen, denn das lädt Benutzer ein, die dort nicht sein sollten. Sie müssen den Zugriff kontrollieren. Also richten Sie ein Zeitlimit ein und teilen niemandem die Schlüssel oder den Zugriffscode direkt mit. Wenn Benutzer auf kritische Infrastrukturen zugreifen müssen, können sie ein verstecktes Kennwort beantragen und erhalten funktional und zeitlich begrenzten Zugriff. Sie können nicht von ihrem Zweck abweichen und nicht länger bleiben als nötig. Privileged Session Management ist also nichts anderes als ein erweiterter Zugriff, bei dem ein Benutzer ein bestimmtes Zeitlimit hat, um eine Aufgabe zu erledigen.

Privilegierte Sitzungen sind so, als wenn eine Mutter sagt, dass sie bis drei zählt, und das Kind sich bis dahin einen Snack aussuchen und die Kühlschranktür wieder schließen muss. Wenn es sich nicht entscheiden kann, wird der Zugriff auf die privilegierte Ressource – in diesem Fall den Kühlschrank – bei „drei“ sofort gesperrt. Technisch gesehen bedeutet eine privilegierte Sitzung, dass ein Administrator nur für eine bestimmte Dauer Zugriff auf eine Ressource hat, um eine Aufgabe zu erledigen. Privilegierte Sitzungen sind ein Mechanismus, mit dem verwaltet wird, welche privilegierten Identitäten – ein menschlicher oder maschineller Benutzer mit erweiterten Rechten – wie lange Zugriff auf eine digitale Ressource erhält.

Der Zugriff wird sofort beendet, sobald eine Sitzung abläuft. Wenn ein privilegierter Benutzer dann erneut auf diese Ressource zugreifen muss, muss er sich erneut authentifizieren und den Zugriff anfordern, um weiterzuarbeiten oder eine andere Aufgabe auszuführen. Bei diesen privilegierten Ressourcen kann es sich um ein SaaS-Tool, eine On-Premises-Anwendung, Steuerungseinstellungen für einen Router oder eine Datenbank mit Kundeninformationen handeln. PAM-Sicherheit als Technologie kontrolliert den Zugriff auf kritische Infrastrukturen wie die hier genannten Ressourcen.

Um eine privilegierte Sitzung einzurichten, müssen Sie einige Aspekte des Admin-Zugriffs kontrollieren, z. B. keine gemeinsamen Anmeldeinformationen, keinen unbegrenzten Zugriff, die Möglichkeit, den Zugriff automatisch abzuschalten, Kennworttresore und die Überwachung privilegierter Aktivitäten. Sie müssen in Echtzeit wissen, wer auf eine kritische Ressource zugreift, was er tut, während er sich dort aufhält, wie lange er sich in der Ressource aufgehalten hat und wann er sich abmelden muss. Um eine sichere privilegierte Sitzung zu erstellen, müssen Sie wissen, ob der Benutzer über die richtigen Berechtigungen für den Zugriff auf die angeforderte Ressource verfügt; Sie müssen temporäre Anmeldeinformationen ausstellen, die der Benutzer nie zu Gesicht bekommt. Die Benutzerrechte müssen mit einem Verfallselement versehen sein, und die Rechte sollten bestimmte und begrenzte Aufgaben und Aktivitäten enthalten, die während dieser Sitzung ausgeführt werden können. Kombiniert mit Sicherheitsfunktionen wie einem Speicher für biometrische Daten und Verhaltensdaten von Benutzern zur Überwachung von Anomalien bei Benutzeraktivitäten können Sie eine IT-Umgebung schaffen, die Ihren Administratoren effiziente und sichere privilegierte Sitzungen bietet.

Mit One Identity Safeguard for Privileged Sessions können Sie privilegierte Sitzungen von Administratoren, Remote-Benutzern sowie anderen Benutzern mit hohem Risiko steuern, überwachen und aufzeichnen. Der Inhalt der aufgezeichneten Sitzungen wird zur vereinfachten Suche nach Ereignissen indexiert. Dies hilft bei der automatischen Berichterstellung, damit Sie Ihre Auditierungs- und Compliance-Anforderungen einfach erfüllen können. Die Lösung kann außerdem als Proxy dienen, das den Protokollverkehr auf Anwendungsebene untersucht. Dies sorgt für effektiven Schutz gegen Angriffe durch Ablehnung jeglichen Verkehrs, der gegen das Protokoll verstößt. Informieren Sie sich hier ausführlicher zu One Identity Safeguard for Privileged Sessions: