За PAM обычно отвечает главный функциональный заказчик платформы. Да, у него будет доступ ко всем возможностям, и при большом желании он сможет получить доступ к любой системе (если её пароли хранятся в PAM). Как и любой другой суперпользователь.
Но это не значит, что администратора PAM так легко скомпрометировать:
Пароля недостаточно. Многофакторная аутентификация снижает риск утечки ключа любой системы, а сам пароль должен быть надёжным.
«Суперадмина» можно контролировать. То есть, чтобы получить доступ к ssh суперпользователя сервера PAM, даже суперадмину придется войти в платформу контроля привилегированных доступов.
Все действия фиксируются и могут направляться во внешний SIEM, чтобы не было единой точки хранения логов и анализа потенциальных инцидентов.
Ограничение доступа по IP. Адрес или диапазон сети, с которого можно подключаться, задаётся явно. Это позволяет исключить суперправа из общей сети, оставив их только в выделенном сегменте управления.
Разделение полномочий. Один админ добавляет ресурсы, другой пользователей, третий объединяет их для реального доступа. Никто в одиночку не может сделать что-то критичное.
Конечно, тезисы «взломать можно всё» и «человек — самое слабое звено» никто не отменял. Но безопасность — это не конечная точка, а процесс, сочетающий технологии и организационные меры.
РАМ, как и любая система ИБ – не серебряная пуля, а кто утверждает обратное, просто перегибает с маркетинговыми уловками.
За PAM обычно отвечает главный функциональный заказчик платформы. Да, у него будет доступ ко всем возможностям, и при большом желании он сможет получить доступ к любой системе (если её пароли хранятся в PAM). Как и любой другой суперпользователь.
Но это не значит, что администратора PAM так легко скомпрометировать:
Пароля недостаточно. Многофакторная аутентификация снижает риск утечки ключа любой системы, а сам пароль должен быть надёжным.
«Суперадмина» можно контролировать. То есть, чтобы получить доступ к ssh суперпользователя сервера PAM, даже суперадмину придется войти в платформу контроля привилегированных доступов.
Все действия фиксируются и могут направляться во внешний SIEM, чтобы не было единой точки хранения логов и анализа потенциальных инцидентов.
Ограничение доступа по IP. Адрес или диапазон сети, с которого можно подключаться, задаётся явно. Это позволяет исключить суперправа из общей сети, оставив их только в выделенном сегменте управления.
Разделение полномочий. Один админ добавляет ресурсы, другой пользователей, третий объединяет их для реального доступа. Никто в одиночку не может сделать что-то критичное.
Конечно, тезисы «взломать можно всё» и «человек — самое слабое звено» никто не отменял. Но безопасность — это не конечная точка, а процесс, сочетающий технологии и организационные меры.
РАМ, как и любая система ИБ – не серебряная пуля, а кто утверждает обратное, просто перегибает с маркетинговыми уловками.