Quando si lavora insieme oltre i confini aziendali, è importante integrare nella rete in modo controllato gli utenti con privilegi estesi e opzioni di accesso. Con "Privileged Access Management", l'accesso ai sistemi e ai dati critici è addirittura filmato.
In pratica, sono spesso i fornitori di servizi esterni, gli amministratori, i fornitori e i logisti come parte della creazione di valore che hanno bisogno di "Privileged Access Management". Stefan Rabben, Area Sales Director DACH & Eastern Europe di Wallix, un fornitore di soluzioni in questo segmento, spiega il casus knacksus: "Una metafora dal mondo reale illustra ciò che è in gioco: un pittore viene incaricato di dipingere le pareti di un ufficio in azienda. Una volta entrato nella compagnia, però, è più o meno libero di muoversi. Ciò che fa effettivamente, tuttavia, non può essere controllato o monitorato attivamente". È qui che entra in gioco il "Privileged Access Management", se volete, come una guardia di sicurezza virtuale che accompagna il pittore, lo filma e allo stesso tempo registra quello che fa. I dati possono essere valutati secondo il "principio dei molti occhi", per esempio in consultazione con il consiglio di fabbrica.
Gestione degli accessi privilegiati
"Qualcuno che può fare di più nella rete che leggere, cioè qualcuno che ha autorizzazioni estese ed entra legalmente nell'azienda, non può abusare del suo accesso tramite la soluzione Wallix", dice Rabben. Questo perché la soluzione registra gli accessi degli utenti privilegiati e può anche prevenire attivamente o segnalare le violazioni delle regole. Il modo classico senza la gestione degli accessi privilegiati sarebbe tramite una console di accesso e l'inserimento di un nome utente e di una password. Lo svantaggio di questo è che è difficile tracciare chi dal pool di dipendenti esterni fa cosa e quando nella rete aziendale.
Se sono coinvolti dati sensibili, tuttavia, ha senso e a volte è legalmente richiesto di essere in grado di dimostrare chi sta facendo cosa nella rete. "Tale prova è anche appropriata per quanto riguarda le certificazioni ISO 27001 o ISO 27002, o quando si tratta di infrastrutture critiche secondo il regolamento sulle infrastrutture critiche", spiega Rabben. In questo caso, come una registrazione video di tutte le azioni dello schermo.
Session Manager filma tutto
La soluzione Wallix fornisce un portale di accesso, di solito con autenticazione a due fattori. Le autorizzazioni vengono recuperate da Active Directory o dal sistema di gestione delle identità, e l'accesso appropriato viene assegnato agli obiettivi autorizzati, cioè ai server e alle applicazioni. L'accesso può essere concesso anche alle linee di produzione. "Il tutto è implementato tramite un'appliance Wallix nella Trusted Zone nella rete o nel cloud. Tutti gli accessi sono indirizzati attraverso il nostro 'session manager', che registra tutte le azioni sullo schermo tramite video, le registra e le indicizza in modo che azioni specifiche possano essere cercate in seguito". Il tagging permette di tracciare le azioni dell'utente, per esempio cercando quali query SQL sono state fatte.
Single sign-on access
Il sistema funziona senza agenti perché la 'session probe' nel sistema di destinazione è creata temporaneamente e rimossa dopo l'accesso." Oltre al gestore delle sessioni di log sull'apparecchio, chiamato Bastion, il gestore delle password è un altro componente chiave. Consente l'accesso single sign-on al sistema di destinazione senza che l'utente conosca altri dati di accesso all'interno del sistema. È possibile, per esempio, generare una password di 120 cifre molto forte per i singoli accessi dopo ogni sessione, che però l'utente esterno non deve nemmeno conoscere, grazie alla gestione delle password e all'assegnazione dei diritti.