Klient: Grupa Kapitałowa Kęty
Sektor: Produkcja
Grupa Kapitałowa składa się z 24 spółek i prowadzi działalność w ramach trzech segmentów biznesowych. Każdy z segmentów posiada spółkę wiodącą, której nazwa jest jednocześnie główną marką stanowiącą o rozpoznawalności produktów danego segmentu na rynku. Są nimi: Grupa KĘTY S.A., Aluprof S.A. oraz Alupol Packaging S.A. Spółka specjalizuje się w produkcji profili, komponentów i zewnętrznych rolet okiennych wykonanych z aluminium. Jej działalność obejmuje też montaż fasad aluminiowych oraz wytwarzanie opakowań giętkich.
Cel projektu: Wdrożenie systemu zarządzania dostępem
Celem wdrożenia było ustandaryzowanie połączeń do konsoli serwerów oraz monitorowanie/audytowanie oraz rejestrowanie prac na kontach administracyjnych które są przeprowadzanie bezpośrednio na konsoli serwera.
Konta administracyjne są newralgiczną częścią systemów komputerowych ze względu na uprawnienia umożliwiające zwykle nieograniczoną ingerencję w konstrukcję systemów oraz przechowywane w nich dane. W przypadku dostępu do konta administracyjnego istnieje zagrożenie uszkodzenia lub zniszczenia systemów lub danych zarówno na skutek celowego złośliwego działania jak i na skutek pomyłki administratora, a także na skutek uruchamiania programów (w tym również ewentualnych wirusów komputerowych) z odziedziczonymi z konta administratora wysokimi uprawnieniami w systemie. Z tego względu konta administracyjne muszą podlegać specjalnej ochronie i kontroli, tak aby zminimalizować w/w zagrożenia.
Wyznaczone podstawowe cele:
- ograniczenie dostępu do haseł kont uprzywilejowanych,
- użycie kont administracyjnych tylko wtedy kiedy jest to bezwzględnie konieczne, tzn. wykonywana czynność wymaga zestawu uprawnień, które posiada wyłącznie konto administracyjne,
- dostęp do konta administracyjnego wyłącznie przez dedykowane osoby,
- rozliczalność użycia kont administracyjnych, wraz z możliwości monitorowania wykonywanych czynności
Wybrane rozwiązanie
Rozwiązanie typu PAM dla biznesu:
- Monitorowanie sesji uprzywilejowanych
Nadzór aktywność użytkowników uprzywilejowanych dzięki możliwościom obserwowania sesji
- Bezpieczny dostęp zdalny
Zezwala użytkownikom uprzywilejowanym na uruchamianie, jednym kliknięciem, bezpośrednich połączeń do zdalnych hostów bez agentów końcowych, wtyczek do przeglądarek oraz programów pomocniczych.
- Podnoszenie uprawnień just in time
Nadawanie wyższych uprawnienia tylko wtedy, kiedy jest to wymagane przez użytkowników
- Przemysłowy sejf danych poufnych
Skanuje sieci i wykrywa krytyczne zasoby, aby automatycznie dodawać konta uprzywilejowane do bezpiecznego sejfu, który oferuje scentralizowane zarządzanie,
- Bezpieczeństwo poświadczeń aplikacji
Połączenia aplikacji do aplikacji dzięki bezpiecznemu API, które eliminuje potrzebę trwałego kodowania poświadczeń.
- Inspekcje
Przechowuje wszystkie zdarzenia związane z operacjami konta uprzywilejowanego w formie bogatych dzienników oraz nagranych sesji.
- Zarządzanie certyfikatami SSL
Zabezpiecz reputację internetową swojej marki dzięki kompletnej ochronie certyfikatów SSL i tożsamości cyfrowych.
Przebieg wdrożenia
- Integracja z AD
- Użytkownicy typu Approve Request
- Konfiguracja nagrywania sesji dostępowej
- Konfiguracja automatycznej rotacji hasła
- Konfiguracja Discover Accounts
- Audit
- Raportowanie
Wyzwanie
Głównym czynnikiem ryzyka było możliwa utrata dostępu do narzędzi administracyjnych w przypadku awarii systemu PAM, dlatego już na etapie projektu zostały opracowane odpowiednie plany awaryjne.
Efekt prac
- Uruchomiony pojedynczy interfejs z dostępem do zasobów które zostały udostępnione konkretnemu użytkownikowi.
- Scentralizowane nadawanie uprawnień poprzez grupy w AD do zasobów w PAM.
- Monitorowanie i nagrywanie sesji w celu poprawienia bezpieczeństwa.
- Zgodność z zaleceniami audytu.
„Wdrożenie PAM było kolejnym ważnym elementem rozwoju systemu zarządzania cyberbezpieczeństwem w Grupie Kęty”
Roch Jasiaczek Dyrektor IT w Grupie Kęty.