Zo bescherm en beheer je bevoorrechte accounts

Het beschermen van toegang tot de IT infrastructuur is enorm belangrijk. Systemen worden beveiligd, bewaakt en gecontroleerd, personeel wordt bewust gemaakt van de gevaren en beheer ziet toe op de implementatie van de toegangsbeperking en het wachtwoordbeleid.

Maar voor die instellingen zijn accounts nodig met extra functionaliteit of privileges. Ook voor geautomatiseerde bewerkingen of applicaties zijn vaak bijzondere accounts nodig. Het zijn accounts met toegang tot beheerfuncties van systemen of bezitten het recht om beveiligingsinstellingen te passeren dan wel te overschrijven. Ze bieden daarnaast vaak toegang tot kritische systemen of speciale functies van applicaties. Dat maakt dergelijke bevoorrechte accounts tot een interessant doelwit voor misbruik. Ze vragen om extra bescherming.

Tel daarbij op dat beheerders gewoon mensen zijn met de verantwoording over meerdere accounts met bijzondere privileges, waarbij ze vaak moeten voldoen aan zware wachtwoordeisen. Niet zelden wordt er één briljant wachtwoord gebruikt voor alle belangrijke accounts, niet zelden overtreft het aantal bevoorrechte accounts het aantal beheerders in dienst en niet zelden houdt men er een eigen administratie op na.

Hoe kunnen bevoorrechte accounts goed worden beschermd? Zoals met veel beveiligingsaspecten het geval is, geldt hier ook dat de beste beveiliging de som is van de maatregelen die men neemt. Vaak wordt hier de term PAM, Privileged Account Management gebruikt.

Hieronder een aantal vaak voorkomende en belangrijke aspecten van PAM:

Goede registratie
Weten welke bijzondere accounts er zijn en waarvoor ze worden gebruikt geeft niet alleen zicht op de risico’s maar stelt je in staat snel te acteren wanneer er onverhoopt toch iets mis gaat.

Veilige opslag
Dergelijke accountgegevens moeten veilig, geëncrypt worden geregistreerd en niet voor iedereen toegankelijk zijn.

Actief beheer
Gegevens moeten regelmatig gecontroleerd kunnen worden. Een goed systeem heeft de mogelijkheid om het gebruikt periodiek te controleren, niet-relevante account te verwijderen, foutieve accounts te wijzigen of de toegang te beperken. Rollen en rechten kunnen frequent veranderen.

Beveiligd gebruik
Een goed managementsysteem zorgt dat speciale accounts kunnen worden gebruikt zonder de noodzaak de wachtwoorden te onthullen. Het systeem voorkomt de noodzaak van het onthouden of overdragen van wachtwoorden van systemen en maakt het mogelijk zeer sterke en onlogische wachtwoorden te gebruiken.

Toegangsmanagement
Remote toegang voorkomt de noodzaak voor het lokaal inloggen op kritische systemen en maakt de toegang controleerbaar. Toegang wordt vrijgegeven op basis van tijd, functie, persoonlijke autorisatie en (multi factor) authenticatie. Pas na validatie worden werkelijke accountgegevens vrijgegeven om de gebruiker toegang te verlenen. Na gebruik of lange tijd zonder actie moet de sessie automatisch worden verbroken.

Autonoom
Toegang door een gebruiker van bevoorrechte accounts wordt bepaald door het toegangsniveau dat is toegekend door het toegangsmanagementsysteem. Idealiter vanaf een geautoriseerde client. Hiermee wordt voorkomen dat accountgegevens bekend en bruikbaar blijven bij vertrokken medewerkers. Rechten kunnen niet worden meegenomen en kunnen centraal worden ontnomen.

Loggen
Gegevens van bevoorrechte account worden terecht alleen maar toevertrouwd aan betrouwbare medewerkers. Echter blind vertrouwen is juridisch zeer beperkt houdbaar. Zeker als er meerdere gebruikers van bijzondere accounts of meerdere bijzondere accounts worden gebruikt, is het van belang dat het gebruikt bewaakt wordt door bijvoorbeeld het gebruik te loggen, actief te monitoren of zelfs op te nemen. Door het registreren van de reden van toegang, uitgevoerde acties en inlogtijden kunnen problemen voorkomen worden en/of achteraf beter worden geanalyseerd.

Gensys heeft veel functionaliteit voor de ondersteuning van Privileged Account Management:

Beveiliging van de monitoring data
Door de inrichting van Gensys binnen een ‘secure segment’ ontstaan de volgende voordelen:

• Geen directe toegang tot systemen.
• Alleen geautoriseerde werkplekken en/of gebruikers hebben toegang.
• Systeemdata zijn veilig opgeslagen in de CMDB, waar Role Based Access Control (RBAC) op van toepassing is.
• Eventuele vervuiling vanuit omliggende segmenten wordt tegengegaan.
• Tussen de cliëntapplicaties en de serverdatabase is de verbinding versleuteld.
• De replicatie van de verzamelde monitordata van remote locaties over een encrypted connectie en de replicatie bestanden worden versleuteld.

Beveiliging van remote access
Voor het opzetten van een remote-control-verbinding naar een systeem wordt een Gensys RDP-applicatie gebruikt:

• Communicatie tussen client en remote (management) gaat over een Virtual Channel van RDP en is versleuteld.
• Daarbij is het mogelijk een alternatief portnummer te gebruiken.
• Versleuteling is vanaf Remote Desktop 128 bits op basis van RC4 algoritme.

Accountgebruik en Sessielogging
Het gebruik van de in Gensys geregistreerde login- en accountgegevens is beveiligd.

• Een gebruiker kan niet zonder opgave van reden toegang krijgen tot een systeem.
• Een gebruiker kan niet zonder opgave van de voorgenomen actie toegang krijgen tot een systeem.
• Een gebruiker wordt toegelaten tot het systeem op basis van persoonlijke credentials, authenticatie en in Gensys geregistreerde autorisatierechten.
• Een gebruiker wordt zonder zelf zicht te hebben op de systeem credentials doorgelaten naar het betreffende systeem.
• Tijdstip en gebruik van de accounts wordt gelogd en kan worden geraadpleegd en gerapporteerd.

Beveiliging van logingegevens
Door het beveiligen van bevoorrechte accounts, waarmee beheerders beheertaken uitvoeren, kunnen deze niet worden gebruikt zonder Gensys. De accountbeveiliging voorziet in:

• Toegang tot de System Management Information module
• Additionele autorisatie om logingegevens te kunnen opvragen
• Authenticatie mechanisme
• Time-out beveiliging
• Encryptie van opgeslagen wachtwoorden
• Mogelijkheid voor zeer sterke wachtwoorden

Toegankelijkheid System Management Information module
De eerste voorwaarde om login-gegevens te kunnen gebruiken of opvragen in Gensys is het recht om deze ook te mógen opvragen via de module ‘System Management Information’.Om logingegevens te kunnen opvragen is autorisatie nodig op drie vlakken. Deze zijn:

• Werkstation autorisatie:
Met deze autorisatie wordt bepaald vanaf welk systeem er gebruik gemaakt mag worden van de System Management Information module. Zogenaamde ‘authorized hosts’ worden geregistreerd door de hostnaam van het betreffende werkstation of terminal server.
• Gebruikers autorisatie:
Om de System Management Information module als gebruiker te kunnen starten, moet men hiervoor zijn geautoriseerd. Dit kan op persoonlijke credentials of door de gebruiker lid te maken van een geautoriseerd gebruikersprofiel. Als de autorisatie het toestaat de module te starten, is het bekijken van specifieke beheerinformatie, netwerkgegevens en loginnamen mogelijk.
• Autorisatie van login gegevens:
Door gebruikers en/of teams van gebruikers te autoriseren, kan worden bepaald welke wachtwoorden mogen worden opgevraagd. Deze autorisatie kan worden ingesteld op het configuratie item (CI) waar de logingegevens aan toebehoren.
Als de autorisatie voor een gebruiker wordt ingesteld op het CI, dan betekent dit dat alle wachtwoorden horende bij het CI door deze gebruiker gelezen kunnen worden. Er kan een aantal beperkingen worden ingesteld voor het lezen van wachtwoorden. Zo kunnen logingegevens als persoonlijke logingegevens worden ingesteld en zijn dan alleen door de ‘eigenaar’ op te vragen, of bij een loginaccount kan worden aangegeven dat de autorisatie ‘exclusief’ is. Dit betekent dat een eventuele autorisatie op CI-niveau rechten geeft om wachtwoorden van alle loginaccounts van dit CI op te vragen, behalve loginaccounts voorzien van deze ‘exclusive’ instelling. Een andere beperking is dat op elke autorisatie op een bevoorrecht account kan worden aangegeven of het lezen van het wachtwoord is toegestaan. Met deze instelling kan een gebruiker die wel geautoriseerd is het wachtwoord via Gensys gebruiken om een connectie met bijvoorbeeld een server te maken, maar kan het wachtwoord zelf niet lezen.

Authenticatie
Alleen wanneer een medewerker binnen Gensys is ingelogd en specifiek geautoriseerd is, kan men de module System management Information gebruiken om logingegevens op te vragen. Dit wil zeggen dat binnen de applicatie, een extra authenticatie vereist is om deze module te kunnen gebruiken. De gebruiker wordt gevraagd zijn wachtwoord, waarmee hij binnen Gensys is ingelogd, in te voeren wanneer deze module wordt opgestart. Hiermee wordt voorkomen dat een ander persoon achter een ingelogde Gensys sessie kan plaatsnemen en zodoende toegang verkrijgt tot accounts en wachtwoorden.

Time-out beveiliging
De System Management Information module is voorzien van een timer, die ervoor zorgt dat bij uitblijven van activiteit voor de ingestelde tijd, de module automatisch gesloten wordt. Deze beveiliging maakt de kans kleiner dat bij het verlaten van de werkplek door de gebruiker iemand anders bij de logingegevens kan komen.

Encryptie van opgeslagen wachtwoorden
Wachtwoorden zijn in de database geëncrypt opgeslagen. Dit zorgt ervoor dat deze gegevens beveiligd zijn in het geval dat de data naar een minder beveiligde omgeving zou worden verplaatst. Voor de encryptie wordt gebruik gemaakt van een ‘symmetric key’ die tijdens de database-installatie van Gensys in de database wordt aangemaakt.