Quản lý danh tính đặc quyền (PIM) cung cấp khả năng kích hoạt vai trò dựa trên thời gian và dựa trên phê duyệt để giảm thiểu rủi ro của việc truy nhập thừa, không cần thiết hoặc sử dụng sai vào các tài nguyên nhạy cảm trong tổ chức bằng cách thực thi quyền truy nhập vừa đúng lúc và vừa đủ cho các tài khoản này.
Để tăng cường bảo mật cho các tài khoản đặc quyền này, PIM cho phép bạn thực thi các tùy chọn chính sách như xác thực đa yếu tố.
Privileged Identity Management (PIM) – Giải pháp quản lý mật khẩu đặc quyền cho tổ chức
Một hạ tầng công nghệ thông tin cơ bản của tổ chức bao gồm nhiều thành phần khác nhau như: Máy chủ, tường lửa, CSDL, các thiết bị mạng,… Tất cả các thành phần này được kiểm soát, điều khiển bằng cách sử dụng một loạt các tài khoản đặc quyền (tài khoản root của máy chủ UNIX, tài khoản DBA của hệ thống CSDL Oracle, tài khoản Administrator của máy chủ Windows,…)
Các tài khoản đặc quyền này có quyền truy cập đầy đủ vào tài nguyên của các hệ thống tương ứng. Thông thường có hàng trăm, thậm chí hàng ngàn các tài khoản này tồn tại trong doanh nghiệp, tổ chức. Việc quản lý tất cả các tài khoản này rất phức tạp, khó khăn và gây ra các lỗi trong quản lý mật khẩu đặc quyền. Điều này cũng tạo ra các lỗ hổng bảo mật và là một trong những lý do chính kéo dài quá trình khôi phục hệ thống do lỗi từ người quản trị IT. Việc không thể có được mật khẩu đặc quyền hỗ trợ sẽ khiến người quản trị mất hàng giờ đồng hồ để có thể khôi phục hệ thống khi hệ thống gặp sự cố. Các nguyên nhân thường thấy trong lỗi quản lý mật khẩu đặc quyền là:
– Mật khẩu không được thay đổi hoặc rất lâu mới được thay đổi; Lộ mật khẩu cho người khác;
– Sử dụng cùng một mật khẩu cho nhiều hệ thống;
– Mật khẩu quá đơn giản (ngày sinh, tên tuổi,…); Mật khẩu đặc quyền bị phơi bày và lộ mật khẩu của service account, script, ứng dụng phát triển.
Việc triển khai giải pháp PIM của Cyber- Ark đem lại các lợi ích sau:
– Các mật khẩu đặc quyền phải được lưu trữ dưới dạng mã hóa AES- 256 và SHA1 theo chuẩn mã hóa FIPS 140- 2.
– Quản lý mật khẩu đặc quyền tập trung qua giao diện Web.
– Tự động quét các thành phần hệ thống. Khi có thành phần mất kết nối đến Vault, hệ thống sẽ thông báo đến quản trị viên qua email hoặc SNMP.
– Có chức năng kiểm soát kép trong việc xin cấp và phê duyệt mật khẩu đặc quyền.
– Quản trị viên đã có thể theo dõi theo thời gian thực các hành động của người dùng khi truy cập vào máy chủ, thiết bị, cơ sở dữ liệu.
– Có khả năng tự động thay đổi mật khẩu đặc quyền theo chính sách đặt ra của các hệ thống sau: Hệ điều hành, Hệ quản trị cơ sở dữ liệu, thiết bị mạng, thiết bị an ninh, ứng dụng tự viết hay hệ thống ảo hóa (Virtualization).
– Hỗ trợ nhiều phương thức xác thực khi đăng nhập vào hệ thống:Username/Password, RADIUS, PKI, Windows based Authentication, RSA SecurID…
