PAM은 왕이지만 누가 왕을 보호하고 있습니까?

— 작성자: Jonathan Nativ, APAC 영업 이사, Silverfort -

체스 게임에서 왕은 가장 중요한 기물입니다. 상대방이 왕을 잡으면 게임이 종료됩니다. 그러나 왕은 상대적으로 취약한 기물이며 루크, 비숍, 물론 여왕과 같은 더 강한 기물에 의해 보호됩니다.

IT 세계에서는 권한 있는 액세스 관리(PAM) (암호 저장소라고도 함)는 조직에서 가장 중요하고 민감한 사용자(권한이 있는 사용자)의 자격 증명인 왕국의 키를 저장하고 진입점으로 여러 번 사용되기 때문에 '왕'입니다. 외부 사용자를 위해 조직으로.
따라서 적들은 이를 타협하기 위해 할 수 있는 모든 일을 할 것입니다.

PAM 솔루션이란 무엇이며 보호하는 것이 중요한 이유는 무엇입니까?

PAM 솔루션은 모든 중요한 자격 증명이 저장되고 관리되는 중앙 집중식 저장소입니다. 여기에는 다음이 포함됩니다.
1. 도메인 관리자 자격 증명
2. 데이터베이스 자격 증명
3. 클라우드 인프라 자격 증명 및 액세스 키
4. 방화벽 암호
5. 기업 소셜 미디어 계정
6. 더 많은

PAM 솔루션에 대해 주목해야 할 한 가지 핵심 사항은 일단 구현되면 가장 권한이 있는 사용자의 모든 자격 증명을 포함하므로 네트워크에서 가장 민감한 단일 시스템이 된다는 것입니다.

에 따르면 가트너, 조직에서 권한 있는 계정을 보호하는 것은 요즘 최우선 보안 프로젝트입니다. 이는 데이터 유출의 80% 이상에서 손상된 자격 증명이 사용되었기 때문입니다. 공격자가 네트워크에 액세스할 때 가장 먼저 찾는 것은 권한 있는 자격 증명입니다. 이러한 자격 증명을 통해 가치가 높은 자산에 액세스하고 네트워크에서 측면으로 이동하며 악성 소프트웨어를 설치할 수 있습니다.

PAM 솔루션을 사용하는 시스템 관리자 중 한 명이 피싱 공격의 피해자가 되어 개인 자격 증명이 도용되면 어떻게 됩니까? 해당 자격 증명이 PAM 솔루션에 대한 액세스를 허용하는 경우 공격자는 이제 한 중앙 위치에 편리하게 저장된 모든 자격 증명에 액세스할 수 있습니다.

적이 PAM 솔루션에 액세스할 수 있게 되면 말 그대로 네트워크의 모든 민감한 시스템에 무제한으로 액세스할 수 있게 됩니다. 첨가 다중 요소 인증 (MFA)는 도난당한 사용자 자격 증명의 사용에 대비해 중요한 보안 계층을 제공합니다. 이러한 이유로 PAM 공급업체는 항상 PAM 솔루션과 함께 MFA 솔루션을 구현할 것을 적극 권장합니다.

그렇다면 내 왕을 어떻게 보호해야 합니까?

Deloitte가 발행한 최근 논문에서 PAM과 MFA는 동등한 중요성을 지닌 기업을 위한 2가지 최고의 ID 이니셔티브로 선정되었습니다. 이 두 가지 중요한 이니셔티브는 함께 진행됩니다. 공격자가 또 다른 비밀번호를 사용하여 쉽게 액세스할 수 있다면 민감한 비밀번호를 모두 한 곳에 보관하는 것은 의미가 없습니다. PAM 솔루션이 MFA로 보호되면 공격자가 시스템 관리자의 자격 증명을 훔쳐도 공격자는 PAM 솔루션에 액세스할 수 없습니다. 그 이유는 추가적인 요인이 인증 (예: 모바일 애플리케이션을 통한 토큰 또는 승인) 액세스 권한이 부여되기 전에 사용자의 승인이 필요합니다.

MFA 솔루션을 선택하고 구현할 때 전면 도어뿐만 아니라 PAM 솔루션에 대한 모든 인터페이스가 MFA에 의해 보호되는지 확인하는 것이 중요합니다. 이것은 말처럼 쉽지 않을 수 있습니다.
설명해 드리겠습니다.
대부분의 PAM 솔루션에는 다음과 같은 여러 인터페이스가 있습니다.
1. 웹 포털 액세스 – 자격 증명 검색 및 관리 작업에 사용
2. 프록시 액세스 – 시스템 관리자가 저장된 자격 증명을 사용하여 시스템에 연결하는 데 사용합니다(보다 투명하기 때문에 시스템 관리자가 선호하는 방법입니다).
3. API 액세스 – 자동화된 작업에 사용되며 서비스 계정

[그림설명] 위의 이미지는 일반적인 PAM 솔루션의 기본적인 고수준 아키텍처를 보여줍니다.

여왕이 온다

실질적인 보호를 제공하기 위해 MFA 솔루션은 PAM 시스템에 대한 각 인터페이스를 보호하는 방법을 제공해야 합니다.
모든 인터페이스를 보호하지 않으면 공격자가 침입할 수 있는 취약점이 시스템에 남게 됩니다.
많은 경우 MFA는 복잡한 통합 요구 사항으로 인해 모든 PAM 인터페이스에서 구현되지 않습니다. 대부분의 경우 MFA 구현에는 네트워크 아키텍처에 대한 변경뿐만 아니라 에이전트 또는 프록시가 필요합니다. PAM 솔루션은 종종 "블랙 박스" 어플라이언스로 제공되기 때문에 에이전트를 설치하거나 코드를 변경할 수 없습니다.

MFA 솔루션 RADIUS를 기반으로 하는 RADIUS는 열린 세션마다 OTP(일회용 암호)를 입력해야 하기 때문에 구현이 복잡하고 나쁜 사용자 경험을 제공합니다. 관리자는 매일 수많은 세션을 열 수 있다는 점을 명심하십시오. 귀찮은 일이 됩니다.)

Silverfort의 에이전트리스 및 프록시리스 솔루션 모든 PAM 인터페이스에서 MFA 활성화 시스템이나 환경을 복잡하게 변경할 필요가 없습니다. 덕분에 Silverfort의 에이전트 없는 아키텍처는 각 세션에 대해 반복해서 MFA를 수행할 필요 없이 웹 인터페이스, GUI 클라이언트, API 및 프록시를 포함하여 PAM 솔루션에 대한 모든 인터페이스를 보호할 수도 있습니다.

MFA 공급업체를 선택할 때 최종 사용자 경험을 고려하는 것도 중요합니다.
IT 관리자(이를 사용하는 특권 계정)은 일반적으로 작업 흐름의 변화에 ​​매우 민감합니다. 또한 그들은 한 시간 동안 PAM 솔루션을 여러 번 사용하므로 불편함이 생산성에 큰 영향을 미칠 수 있습니다.
대부분의 경우 사용자는 PAM 솔루션에 대한 자격 증명을 브라우저나 연결 관리자에 저장하여 삶을 더 쉽게 만듭니다.

PAM 솔루션을 위한 MFA 공급자를 선택할 때 고려해야 할 기타 측면:
1. 현재 워크플로의 변경 사항
2. 여러 MFA 챌린지 없이 동시에 여러 세션을 여는 기능
3. 소프트 토큰 및 모바일 MFA 앱과 같은 사용하기 쉬운 MFA 옵션
4. 주어진 시간 내에 한 번만 MFA를 트리거하는 기능
5. 사용자 행동과 맥락을 고려한 위험 기반 MFA

Silverfort의 위험 기반 인증 솔루션 는 유연하며 사용자가 항상 보안을 유지하면서 한 번만 MFA로 인증할 수 있도록 하여 보안과 사용자 경험 간의 균형을 제공할 수 있습니다. 이는 적응형 위험 기반 접근 방식과 함께 PAM 구현을 위한 이상적인 MFA 솔루션이 됩니다.

최종 단어

PAM은 조직의 중요한 보안 계층입니다. PAM 프로젝트에는 상당한 시간과 리소스가 필요합니다. 문을 잠그고 창문을 열어두는 것이 이치에 맞습니까?

PAM 솔루션을 처음부터 보호하려면 MFA를 추가해야 합니다. 이는 PAM 솔루션의 필수적인 부분으로 간주되어야 하며 네트워크에서 가장 중요한 자산을 보호하기 위해 모든 경로와 인터페이스를 통한 액세스를 보호하는 데 사용해야 합니다.