IGA und PAM: Wie die Identity Governance Administration mit PAM verbunden ist

Die missbräuchliche Aneignung von Benutzeridentitäten ist eine der Hauptursachen für viele schwerwiegende Cybersicherheitsvorfälle. Die Bedrohung kann in Form eines böswilligen Akteurs auftreten, der sich als autorisierter Systembenutzer ausgibt, eines Hackers, der ein fiktives Benutzerkonto erstellt, oder eines legitimen Benutzers, der unzulässige Aktionen durchführt. In jedem Fall haben Sicherheitsverantwortliche Schwierigkeiten, die Handlungen eines böswilligen Benutzers zu erkennen, oder sie entdecken das Problem erst nach der Tat.

Identity Governance and Administration (IGA) bietet eine Möglichkeit, solche identitätsbasierten Risiken abzuschwächen. Privileged Access Management (PAM), das administrative Benutzer verwaltet, ist auf IGA abgestimmt und verstärkt dessen Wirksamkeit. Wenn Sie verstehen, wie sie zusammenarbeiten, können Sicherheitsmanager die Sicherheit auf der Grundlage eines robusten Identitätsmanagements stärken.

PAM verstärkt die IGA und verbessert die Sicherheit im gesamten Unternehmen erheblich.

Was ist IGA?

IGA ist Teil des umfassenderen, sich ständig weiterentwickelnden Bereichs des Identitäts- und Zugriffsmanagements (IAM). Ursprünglich war es als User Administration and Provisioning (UAP) bekannt. Während sich UAP auf die Bereitstellung des Systemzugriffs auf der Grundlage statischer Benutzerverzeichnisse konzentrierte, geht IGA einen Schritt weiter und macht den Prozess dynamischer und granularer. Angesichts der Komplexität der heutigen Organisationen und der Systeme, auf die sie sich stützen, reichte es nicht mehr aus, den Zugriff auf der Grundlage fester Berechtigungen zu gewähren. IGA übernimmt die Verwaltung der digitalen Identität und der Zugriffsrechte über mehrere Systeme und Anwendungen hinweg.

Eine IGA-Lösung aggregiert und korreliert Identitäts- und Berechtigungsdaten, die in der Regel frei über die Systeme und Datenressourcen eines Unternehmens verteilt sind. IGA ist an der Verwaltung von Berechtigungen, der Gewährung und dem Entzug von Berechtigungen beteiligt und zertifiziert den Zugriff. Während IGA Zugriffsanfragen bearbeitet, ermöglicht es Zugriffs- und Identitätsprüfungen, Berichte und Analysen. IGA verwaltet Zugriffsberechtigungen über den gesamten Lebenszyklus der Identität. Mit diesen Eigenschaften ist es hilfreich für die Einhaltung von Sarbanes Oxley (SOX) und anderen Vorschriften wie GDPR, 23 NYCRR 500 usw., die Kontrollen und Überprüfbarkeit des Systemzugriffs vorschreiben.

IGA verwaltet Zugriffsberechtigungen über den gesamten Lebenszyklus der Identität.

Was ist PAM?

PAM umfasst eine Sammlung von Prozessen und Tools, die den Zugriff auf die administrativen Backends wichtiger Systeme verwalten. Privilegierte Benutzer sind in der Lage, sich bei der Systemsteuerung anzumelden und Einstellungen zu ändern, Benutzerzugänge einzurichten oder zu löschen und vieles mehr. Eine Form von PAM, die von manuell bis automatisiert reichen kann, ist für jedes ernsthafte InfoSec-Programm unbedingt erforderlich. Schließlich kann der versehentliche oder absichtliche Missbrauch von privilegierten Konten schwerwiegende Auswirkungen auf das Geschäft haben, wie z.B. Datenverlust, Systemstörungen und Verletzung der Privatsphäre. PAM bietet eine Gegenmaßnahme.

Eine PAM-Lösung bietet eine optimierte Verwaltung von Zugriffsrechten. Sie kann privilegierten Benutzern Rechte für bestimmte Systeme gewähren und entziehen. Die WALLIX PAM-Lösung zum Beispiel zentralisiert die PAM-Funktionen, so dass Administratoren einen einzigen Kontrollpunkt für alle privilegierten Benutzer haben. Mit WALLIX kennt der privilegierte Benutzer das Root-Passwort für das System, das er verwaltet, nicht. Dadurch wird das Risiko der Weitergabe von Passwörtern oder der Beibehaltung des privilegierten Zugriffs durch ehemalige Mitarbeiter nach der Kündigung erheblich verringert. WALLIX zeichnet auch Sitzungen mit privilegierten Konten auf, was für Audits und die Reaktion auf Zwischenfälle nützlich ist.

Ein privilegierter Benutzer muss nicht unbedingt ein Angestellter oder sogar eine Person sein. Ein privilegierter Benutzer kann fast jeder oder alles sein. Eine PAM-Lösung regelt alle privilegierten Zugriffe von Mitarbeitern, Auftragnehmern und Mitarbeitern von Drittanbietern. Es kann sich sogar um ein automatisiertes System handeln, das entweder innerhalb oder außerhalb des Unternehmens arbeitet.

PAM besteht aus einer Sammlung von Prozessen und Tools, die den Sicherheitsteams vollständige Transparenz und Kontrolle darüber geben, wer Zugriff auf die wichtigsten Systeme eines Unternehmens hat.

IGA und PAM zusammen: Gegenseitige Verstärkung

Die Vereinheitlichung von IGA und PAM ermöglicht eine zentrale Stelle für die Definition und Durchsetzung von Richtlinien für alle Formen des Identitätsmanagements. Mit einem integrierten IGA- und PAM-Ansatz kann eine Anfrage für privilegierten Zugriff innerhalb der Parameter der IGA-Richtlinien des Unternehmens verwaltet werden. Alle Zugriffsanfragen und -genehmigungen sind Teil einer einzigen Zugriffskontrollkette. Sowohl der Zugriff von Basisbenutzern als auch von privilegierten Benutzern wird leichter überprüfbar.

Es gibt eine Reihe von Ansätzen, um die sich gegenseitig verstärkende Beziehung zwischen IGA und PAM zu erreichen. Das Ziel sollte es sein, einen einzigen maßgeblichen Identitätsspeicher aufzubauen. Mithilfe von APIs können die beiden Lösungen automatisierte Arbeitsabläufe zur Bearbeitung aller Zugriffsanfragen, einschließlich der Anfragen für privilegierten Zugriff, ermöglichen.

Vorteile der Vereinheitlichung von IGA und PAM

Ein zentraler Kontrollpunkt für die Bereitstellung aller Identitätszugriffe im Unternehmen.
Vertrauen darauf, dass privilegierte Zugriffssitzungen im Rahmen der Identity Governance-Richtlinien durchgeführt werden.
Leichtere Aufdeckung von Unstimmigkeiten bei Zugriffsberechtigungen, einschließlich Verstößen gegen die Funktionstrennung und andere rollenbasierte Zugriffsbeschränkungen, die bei der Einhaltung von Vorschriften üblich sind.
Optimierter Prozess für das Onboarding und Offboarding aller Benutzer, sowohl intern als auch extern.

Verbessern Sie die Sicherheit mit IGA und PAM

Die Herausforderungen, die Benutzeridentität im Griff zu behalten, werden weiter wachsen, da sich die Belegschaft auf verschiedene Standorte verteilt und darauf besteht, verschiedene Geräte zu verwenden. Parallel dazu verlagern sich die Datenbestände in neue Hosting-Modi wie Cloud- und Hybrid-Architekturen. Die Idee des „Benutzers“ an sich entwickelt sich weiter, da automatisierte, KI-gesteuerte Systeme nun eine Reihe von Aufgaben übernehmen. In diesem Umfeld ist eine strengere Kontrolle der Benutzeridentität unerlässlich. Das Zusammenspiel von IGA und PAM bietet eine Lösung. Sie bieten Administratoren eine flexible und effiziente Möglichkeit, Benutzeridentitäten und Zugriffsrechte zu verwalten.

Möchten Sie mehr über die WALLIX Bastion PAM-Lösung erfahren und darüber, wie sie mit Ihren bestehenden IGA-Prozessen verbunden werden kann? Nehmen Sie Kontakt auf.

Kontakt

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.