30 July 2022

Jak wdrożyliśmy system zarządzania bezpiecznymi dostępami w Grupie Kęty

Klient:

Grupa Kapitałowa Kęty
Jak wdrożyliśmy system zarządzania bezpiecznymi dostępami w Grupie Kęty  
theme-w-ico
theme-ico
sektor:
 Produkcja

Grupa Kapitałowa Kęty

Grupa Kapitałowa składa się z 24 spółek i prowadzi działalność w ramach trzech segmentów biznesowych. Każdy z segmentów posiada spółkę wiodącą, której nazwa jest jednocześnie główną marką stanowiącą o rozpoznawalności produktów danego segmentu na rynku. Są nimi: Grupa KĘTY S.A., Aluprof S.A. oraz Alupol Packaging S.A.   Spółka specjalizuje się w produkcji profili, komponentów i zewnętrznych rolet okiennych wykonanych z aluminium. Jej działalność obejmuje też montaż fasad aluminiowych oraz wytwarzanie opakowań giętkich.

quote-l

Wdrożenie PAM było kolejnym ważnym elementem rozwoju systemu zarządzania cyberbezpieczeństwem w Grupie Kęty.

Roch Jasiaczek, Dyrektor IT w Grupie Kęty
quote-r
theme-ico
cel projektu:

Wdrożenie systemu zarządzania dostępem

Celem wdrożenia było ustandaryzowanie połączeń do konsoli serwerów oraz monitorowanie/audytowanie oraz rejestrowanie prac na kontach administracyjnych które są przeprowadzanie bezpośrednio na konsoli serwera.

Konta administracyjne są newralgiczną częścią systemów komputerowych ze względu na uprawnienia umożliwiające zwykle nieograniczoną ingerencję w konstrukcję systemów oraz przechowywane w nich dane. W przypadku dostępu do konta administracyjnego istnieje zagrożenie uszkodzenia lub zniszczenia systemów lub danych zarówno na skutek celowego złośliwego działania jak i na skutek pomyłki administratora, a także na skutek uruchamiania programów (w tym również ewentualnych wirusów komputerowych) z odziedziczonymi z konta administratora wysokimi uprawnieniami w systemie. Z tego względu konta administracyjne muszą podlegać specjalnej ochronie i kontroli, tak aby zminimalizować w/w zagrożenia.

Wyznaczone podstawowe cele:

  • ograniczenie dostępu do haseł kont uprzywilejowanych,
  • użycie kont administracyjnych tylko wtedy kiedy jest to bezwzględnie konieczne, tzn. wykonywana czynność wymaga zestawu uprawnień, które posiada wyłącznie konto administracyjne,
  • dostęp do konta administracyjnego wyłącznie przez dedykowane osoby,
  • rozliczalność użycia kont administracyjnych, wraz z możliwości monitorowania  wykonywanych  czynności
liczba
theme-ico
theme-ico
Wybrane rozwiązanie

Rozwiązanie typu PAM dla biznesu:

  • Monitorowanie sesji uprzywilejowanych 
    Nadzór aktywność użytkowników uprzywilejowanych dzięki możliwościom obserwowania sesji 
  • Bezpieczny dostęp zdalny 
    Zezwala użytkownikom uprzywilejowanym na uruchamianie, jednym kliknięciem, bezpośrednich połączeń do zdalnych hostów bez agentów końcowych, wtyczek do przeglądarek oraz programów pomocniczych.
  • Podnoszenie uprawnień just in time 
    Nadawanie wyższych uprawnienia tylko wtedy, kiedy jest to wymagane przez użytkowników 
  • Przemysłowy sejf danych poufnych 
    Skanuje sieci i wykrywa krytyczne zasoby, aby automatycznie dodawać konta uprzywilejowane do bezpiecznego sejfu, który oferuje scentralizowane zarządzanie, 
  • Bezpieczeństwo poświadczeń aplikacji 
    Połączenia aplikacji do aplikacji dzięki bezpiecznemu API, które eliminuje potrzebę trwałego kodowania poświadczeń.
  • Inspekcje 
    Przechowuje wszystkie zdarzenia związane z operacjami konta uprzywilejowanego w formie bogatych dzienników oraz nagranych sesji. 
  • Zarządzanie certyfikatami SSL 
    Zabezpiecz reputację internetową swojej marki dzięki kompletnej ochronie certyfikatów SSL i tożsamości cyfrowych. 
liczba
theme-ico

Przebieg wdrożenia

  • Integracja z AD
  • Użytkownicy typu Approve Request
  • Konfiguracja nagrywania sesji dostępowej
  • Konfiguracja automatycznej rotacji hasła
  • Konfiguracja Discover Accounts
  • Audit
  • Raportowanie
liczba
theme-ico

Wyzwanie i Efekt prac

Głównym czynnikiem ryzyka było możliwa utrata dostępu do narzędzi administracyjnych w przypadku awarii systemu PAM, dlatego już na etapie projektu zostały opracowane odpowiednie plany awaryjne.

Efekt prac

  • Uruchomiony pojedynczy interfejs z dostępem do zasobów które zostały udostępnione konkretnemu użytkownikowi.
  • Scentralizowane nadawanie uprawnień poprzez grupy w AD do zasobów w PAM.
  • Monitorowanie i nagrywanie sesji w celu poprawienia bezpieczeństwa.
  • Zgodność z zaleceniami audytu.
liczba