درDevSecOps  و شیوه‌های مهندسی، اصطلاح اسرار معمولاً به اعتبار دیجیتال مانند نام کاربری، رمزهای عبور، عبارات عبور، توکن های auth، کلیدهای SSH، گواهینامه‌های SSL / TLS و کلیدهای برنامه و API اشاره دارد و مدیریت اسرار به ذخیره سازی امن، مدیریت و دسترسی محدود به اعتبار کسب و کار انتقادی اشاره دارد که در مجموع به عنوان اسرار شناخته می‌شود.

اسرار برای تأیید اعتبار فرایندهای سازمانی، گردش کار، خدمات و برنامه‌های کاربردی استفاده می‌شود.

چرا مدیریت اسرار برای سازمان‌ها ضروری است؟

همانطور که سازمان‌ها رشد می‌کنند و مقیاس آنان گسترده می‌شود، مدیریت اسرار به یک نیاز الزام آور برای فناوری اطلاعات، DevOps  و تیم‌های مهندسی تبدیل می‌شود. این به دلیل ماهیت در حال گسترش پایگاه‌های کد و فرایندهای انها است که باعث گسترش اسرار در برنامه‌های مختلف، میکروسرویس ها، ابزارهای توسعه دهنده و RPA، ظروف و گردش کار ارکستراسیون و API ها می‌شود.

اعتبارنامه‌ها اغلب در فرمت‌های متن ساده در فایل‌ها و اسکریپت‌ها ذخیره می‌شوند و معمولاً در میان چندین نفر درگیر در خطوط لوله CI / CD، فرایندهای اتوماسیون و گردش کار مهندسی به اشتراک گذاشته می‌شوند. تغییر این اعتبارنامه‌ها بدون برنامه ریزی یا اطلاع رسانی مناسب می‌تواند منجر به شکست ابشاری چندین فرایند بحرانی شود.

علاوه بر این، اگر این اعتبارنامه‌ها سهواً افشا شوند، می‌توانند توسط بازیگران مخرب برای نقض سیستم‌های اطلاعاتی حیاتی سازمان مورد سوء استفاده قرار گیرند. از این رو، اجرای روش‌های امن و به خوبی تعریف شده برای مدیریت و حفاظت از این اعتبارنامه‌ها برای کاهش خطر دسترسی غیر مجاز یا سوء استفاده بسیار مهم است.

با این حال، با یک راه حل مدیریت اسرار مناسب، تیم‌های سازمانی می‌توانند از جاسازی اعتبارنامه‌ها در فرمت‌های متن ساده با ذخیره سازی انها در یک بستر دیجیتالی رمزگذاری شده جلوگیری کنند، که گزینه‌هایی را برای واکشی ایمن، چرخش، ردیابی و مدیریت اسرار از یک کنسول مرکزی فراهم می‌کند.

چالش‌های عمده مرتبط با مدیریت اسرار

در اینجا برخی از خطرات و هشدارهای رایج مرتبط با مدیریت اسرار وجود دارد:

۱: پراکندگی اعتبارنامه

هنگامی که اسرار به درستی مدیریت نشوند، می‌توانند به راحتی توسط مهاجمان به سرقت بروند. این می‌تواند منجر به نقض داده‌ها شود که می‌تواند به شهرت سازمان آسیب برساند و میلیون‌ها تومان در هزینه‌های اصلاح هزینه کند.

۲: عدم پاسخگویی و دید

بدون یک روال مدیریت اسرار مناسب در محل، عملاً غیرممکن است که استفاده از این اسرار را که برای تأیید اعتبار فرایندها و گردش کار استفاده می‌شود، ردیابی کند. این به نوبه خود باعث می‌شود که تیم‌های امنیتی برای جلوگیری و کاهش خطرات سوء استفاده اعتبار دشوار باشند.

۳: اختلالات و قطعی بی سابقه

اگر اعتبارنامه‌های سخت افزاری بدون هیچ برنامه ریزی و تأیید قبلی تغییر کنند، می‌تواند منجر به شکست چندین گردش کار، خدمات و فرایند در کنار هم شود.

۴: نقض انطباق

بسیاری از صنایع مشمول مقرراتی هستند که سازمان‌ها را ملزم به محافظت از داده‌های حساس می‌کند. اگر اسرار به درستی مدیریت نشوند، ممکن است یک سازمان این مقررات را نقض کند که می‌تواند منجر به جریمه یا مجازات‌های دیگر شود.

شروع کار با مدیریت اسرار: اتوماسیون کلیدی است

با افزایش حجم و پیچیدگی فرایندهای سازمانی و گردش کار، برای تیم‌های فناوری اطلاعات مهم است که از سیاست‌های مدیریت اسرار استفاده کنند که شامل اسکن دوره‌ای، چرخش و نظارت زنده بر اسرار توزیع شده در سراسر سازمان است.

همانطور که در بالا ذکر شد، مدیریت دستی اغلب بصورت سیلو شده (مخازن مجزای ذخیره سازی اطلاعات حساس) است و کدگذاری سخت اسرار هم یک فرایند دست و پا گیر و هم یک عمل امنیتی بد است. اکثر ابزارهای موجود در بازار برای مدیریت اسرار برنامه‌ها یا سیستم عامل‌های خاص (Kubernetes، Docker، Jenkins  و غیره) یا زیر فرایندهای تحت انها طراحی شده‌اند. در حالی که ابزارهای مدیریت رمز عبور برنامه در طول سال‌ها به دست آورده‌اند، اکثر ابزارها فقط یک اتاق اساسی برای واکشی و ذخیره اسرار و هیچ چیز فراتر از ان ارائه نمی‌دهند.

همه چیز درباره دسترسی ممتاز را از اینجا بخوانید

مدیریت اسرار یک ماژول جدایی ناپذیر از ابزارهای مدرن مدیریت دسترسی ممتاز (PAM) است که نه تنها با قابلیت‌های گنجه اسرار همراه است، بلکه کنترل‌های حاکمیت دسترسی ظریف را برای اعمال کنترل بر کسانی که به این اسرار دسترسی دارند، ارائه می‌دهد. ابزارهای PAM همچنین کنترل‌های مدیریت رمز عبور برنامه به برنامه (AAPM) را برای تأیید اعتبار برنامه‌ها، نقاط پایانی، حساب‌های غیر انسانی، فرایندها و خدماتی که در سراسر شرکت توزیع می‌شوند، ارائه می‌دهند.

بهترین تمرینات مدیریت اسرار ضروری

با اتخاذ اصول Zero Trust در استراتژی PAM خود، می‌توانید:

• رمزهای عبور، کلیدها و سایر اسرار را به صورت دوره‌ای کشف کنید و انها را از یک کنسول مرکزی مدیریت کنید.
• از تمام حساب‌های ممتاز که نیاز به دسترسی به این اسرار به طور منظم. را دارند حسابرسی کامل کنید.
• سیاست‌های رمز عبور دقیق که پیچیدگی رمز عبور، طول، دوره چرخش و انقضا را پوشش می‌دهد به اجرا دربیاورید.
• عملیات سخت برنامه نویسی اعتبار در فرمت‌های متن ساده و جاسازی انها در فایل‌ها، اسکریپت‌ها، ساخت کد و برنامه‌های کاربردی را از بین خواهید برد.
• قادر به اختصاص و پیاده سازی دسترسی حداقل امتیاز برای حذف حقوق دسترسی دائمی. کمترین امتیازات پیش فرض را برای کاربران خواهید شد که در حالت ایده آل باید تا حد ممکن پایین باشد.
• اشخاص ثالث و فروشندگان را با حداقل امتیازات پیش فرض برای انجام کار خود فراهم میکنید.
• اهرم تجزیه و تحلیل تهدید به ارتباط ممیزی دسترسی ممتاز با حوادث در سراسر شرکت را به تصمیم گیری های امنیتی اگاهانه.

اصل کمترین امتیاز چیست؟

مدیریت اسرار با  ManageEngine PAM360

PAM360، راه حل PAM سازمانی ManageEngine، با پوشش تمام سیستم عاملهای مختلف، راه حل‌های DevSecOps CI / CD و ابزارهای RPA را برای اطمینان از مدیریت امن اعتبار برنامه فراهم می‌کند. این ادغام به فرایندها و برنامه‌ها اجازه می‌دهد تا به طور خودکار اعتبارنامه‌ها را از گنجه PAM360 بازیابی کنند. شما همچنین قادر به انجام اقدامات حساس مانند ارائه دسترسی، تغییرات رمز عبور دوره‌ای، کنترل دانه‌ای و حسابرسی خواهید بود – همه بدون اختلال در گردش کار داخلی.

فراموش نباید کرد تهدید امنیتی ناشی از افشا یا لو رفتن راز تهدیدی بسیار بزرگ و هزینه بری است. با PAM360 جلوی جرم آنکس که اسرار هویدا میکرد را میگیرید!

نوشته راز چیست؟ اولین بار در سرویس دسک پلاس فارسی مدانت. پدیدار شد.

اصل کمترین امتیاز

اصل امنیت سایبری کمترین امتیاز یا Principle of least privilege (POLP) یک چارچوب امنیت اطلاعات است که هدف آن ارائه حداقل سطح دسترسی یا مجوزهای مورد نیاز به افراد برای انجام وظایف خود است. امنیت فناوری اطلاعات، به طور کلی، یک رشته پیچیده و چند وجهی است و کمترین امتیاز به عنوان یکی از ضروری‌ترین شیوه‌های امنیت سایبری برای محافظت از دسترسی به دارایی‌های سازمانی حیاتی است. کمترین امتیاز فقط به دسترسی انسان محدود نمی‌شود بلکه این شامل برنامه‌های کاربردی، ابزارهای اتوماسیون و دستگاه‌های متصل در شبکه مانند نقاط پایانی IoT، که نیاز به دسترسی به سیستم‌های ممتاز در شبکه شرکت دارند، را نیز در بر می گیرد.

کمترین امتیاز چیست؟

اجرای کمترین امتیاز به سادگی به معنای اختصاص حداقل امتیازات مورد نیاز برای انجام یک کار است. اجرای مؤثر کمترین امتیاز شامل اجرای یک مکانیسم کنترل دسترسی متمرکز و متمرکز در سراسر شبکه سازمانی است که امنیت سایبری و الزامات انطباق را متعادل می‌کند و همچنین اطمینان حاصل می‌کند که هیچ مانعی برای نیازهای عملیاتی روزانه کاربران نهایی وجود ندارد.

چرا کمترین امتیاز مهم است؟

حداقل امتیاز، با هدف فشرده سازی سطح حمله به سازمان و از طریق کاهش تعداد مسیرهای دسترسی به سیستم‌های ممتاز است.

یک رویکرد رایج که توسط سازمان‌ها برای جلوگیری از امتیازات بیش از حد اتخاذ شده است، لغو دسترسی اداری از کاربران کسب و کار است. با این حال، تیم‌های فناوری اطلاعات اغلب نیاز به اعطای امتیازات به کاربران نهایی دارند که عملیات روزانه انها شامل دسترسی به سیستم‌های ممتاز است. در چنین مواردی، امتیازات دوباره اعطا می‌شوند و به ندرت لغو می‌شوند، که منجر به انباشت تدریجی حقوق دسترسی فراتر از آنچه مورد نیاز است می شود. این عمل از طریق سازمان در سطوح مختلف کاربران نفوذ می‌کند و منجر به یک وضعیت امنیتی به نام خزش امتیاز یا Privilege Creep می‌شود که به طور بالقوه می‌تواند مشکل دسترسی غیر مجاز را تشدید کند. هنگامی که شرکت‌ها چنین انباشت امتیازات پیچیده‌ای را نادیده می‌گیرند، مستعد ابتلا به افشای حساب‌های مهم خود به خزش امتیاز می‌شوند.

خزش امتیاز چیست؟

خزش امتیاز گسترش امتیازات فراتر از سطح دسترسی کاربر است. خزش امتیاز اغلب زمانی اتفاق می افتد که مدیران فناوری اطلاعات سخاوتمند هستند در حالی که امتیازات را به کاربران اختصاص می‌دهند تا از بوروکراسی پشتیبانی فناوری اطلاعات فرار کنند. یکی دیگر از دلایل قابل قبول و رایج خزش امتیاز این است که یک تیم فراموش کند امتیازات کاربران قدیمی یا موقت را حذف کند.

نمونه‌های معمول خزش امتیاز شامل این است که شرح شغل فرد به روز شود و امتیازات قدیمی فرد حتی پس از دوره انتقال لغو نشود، یا اگر یک فرد به طور موقت برای انجام یک کار خارج از عملکرد شغلی معمول خود نیاز به امتیازات اضافی داشته باشد و سازمان این امتیازات اضافی را پس از اتمام کار لغو نکند.

خطرات خزش امتیاز را می‌توان با اجرای کمترین امتیاز در میان تمام کارکنان در شرکت کاهش داد. هنگامی که کار انجام می‌شود، دسترسی بلافاصله لغو می‌شود و درب آسیب پذیری های بالقوه و امتیازات ایستاده را می‌بندد. به طور خلاصه، اجرای اصل کمترین امتیاز حول مدل امنیتی صفر اعتماد یا Zero Trust می‌چرخد، یعنی این ایده که هر کارمند، صرف نظر از موقعیت جغرافیایی خود، پتانسیل قربانی شدن در معرض بازیگران تهدید کننده یا حتی خودش قادر میشود به تهدید مبدل شود.

چگونه اعتماد صفر و کمترین امتیاز در کنترل دسترسی مبتنی بر نقش بازی می‌کند؟

چرا مدیر باید در وهله اول کمترین امتیاز را اجرا کند؟ اول، همه کارکنان نیاز به دسترسی به هر اتاق ندارند، به ویژه مکان‌های مهم مانند گاوصندوق، که اطلاعات و ثروت مشتری را نگه می‌دارد. دوم، مدیر به کارکنان اعتماد می‌کند تا وظایفی را انجام دهند که تحت نظارت نقش انها قرار می‌گیرند، اما همچنین نیاز به تأیید به موقع دارند تا وظایفی را انجام دهند که نیاز به ورود به اتاق‌هایی دارند که خارج از دسترسی پیش فرض انها قرار دارند.

در حال حاضر به طور مشابه، از طریق استفاده از یک راه حل PAM که شامل اعتماد صفر و اصل کمترین امتیاز است، مدیران فناوری اطلاعات می‌توانند محدودیت‌های دسترسی را بر کاربران اعمال کنند تا امتیازات خود را به الزامات نقش کاربر محدود کنند. روش کار هر راه حل PAM بر اساس اصل امنیت سایبری کمترین امتیاز است. یک راه حل PAM تنظیماتی را برای مدیران فناوری اطلاعات ارائه می‌دهد تا محدودیت‌های خود را پیکربندی کنند و کمترین امتیاز را برای کاربران بر اساس نقش‌های خود نقشه برداری کنند.

این اساساً این است که چگونه اعتماد صفر، اجرای اصل کمترین امتیاز را از طریق کنترل دسترسی مبتنی بر نقش، تقویت می‌کند.

نمونه‌هایی از کنترل دسترسی مبتنی بر نقش مبتنی بر اعتماد صفر:

فرض کنید یک کارمند وجود دارد که با منابع حیاتی در یک تیم فناوری اطلاعات کار می‌کند. از انها انتظار می‌رود که هر بار که وارد سیستم می‌شوند درخواست‌های دسترسی را ارسال کنند. سپس این درخواست توسط مدیر IT تأیید می‌شود. هنگامی که کار انها برای روز تکمیل می‌شود، کاربر از منبع خارج می‌شود و انتظار می‌رود که در صورت نیاز به دسترسی به سیستم، درخواست دیگری را مطرح کند.

یکی دیگر از نمونه‌های قابل قبول می‌تواند شامل تیم‌های مختلف کارکنان باشد که انتظار می‌رود به یک منبع حیاتی دسترسی داشته باشند. با این حال، تنها یک نفر از هر تیم به این منبع دسترسی دارد، کاهش قرار گرفتن در معرض هویت‌های متعدد و در نتیجه کاهش تهدید دسترسی غیر مجاز.

همه چیز درباره دسترسی ممتاز را از اینجا بخوانید

ادامه مطلب در صفحه بعد…

نوشته اصل کمترین امتیاز و اعتماد صفر! اولین بار در سرویس دسک پلاس فارسی مدانت. پدیدار شد.