Bosh sahifa Wiki PAM

PAM

PAM — administrator, root, service operator va boshqa yuqori huquqli accountlarning accessi, credentiali va sessionini boshqaradigan xavfsizlik tizimi. To‘liq nomi Privileged Access Management.

Privileged account tizim konfiguratsiyasini o‘zgartirish, ma’lumotni o‘qish, boshqa user yaratish va security control’larni o‘chirish imkoniga ega bo‘lishi mumkin. Shu sababli u oddiy user accountidan qat’iyroq nazorat qilinadi.

Privileged account

Privileged identity turlari:

Har account owner, maqsad va lifecycle’ga ega bo‘ladi.

Shared account muammosi

Bir nechta administrator bitta root yoki admin parolini ishlatsa:

  • kim amal qilgani noma’lum;
  • parol keng tarqaladi;
  • xodim ketganda rotation kerak;
  • audit zaif;
  • revocation qiyin.

PAM individual identity’ni shared privileged session bilan bog‘laydi.

Vault

Privileged credential encrypted vault’da saqlanadi.

User parolni ko‘rmasdan broker yoki session orqali targetga ulanadi.

Vault:

  • access policy;
  • rotation;
  • checkout;
  • approval;
  • audit;
  • emergency recovery

ni boshqaradi.

Vaultning o‘zi eng yuqori himoyalangan tizimlardan biri bo‘ladi.

Password rotation

Administrator va service account parollari davriy yoki har foydalanishdan keyin almashtirilishi mumkin.

Rotation target system bilan sinxron bajariladi.

Application eski credentialni cache qilsa outage yuz berishi mumkin.

Secret consumerlari yangilanishga tayyor bo‘ladi.

Just-in-Time access

User doimiy admin role saqlamaydi.

Kerakli vazifa uchun qisqa vaqtga privilege oladi.

Jarayon:

  1. access request;
  2. approval yoki policy;
  3. temporary role;
  4. session;
  5. expiration;
  6. automatic revoke.

Bu standing privilege’ni kamaytiradi.

Just Enough Administration

Administratorga butun tizim emas, aynan kerakli command yoki resource beriladi.

Masalan, support xodimi user parolini reset qila oladi, lekin role va audit logni o‘zgartira olmaydi.

Granular delegation least privilege’ni kuchaytiradi.

Session brokering

Administrator target serverga to‘g‘ridan-to‘g‘ri emas, PAM proxy orqali ulanadi.

Proxy:

  • identity tekshiradi;
  • target credentialni yashiradi;
  • command va sessionni log qiladi;
  • policy qo‘llaydi;
  • sessionni to‘xtatishi mumkin.

Network targetga faqat brokerdan accessga ruxsat beradi.

Session recording

Terminal, remote desktop yoki database sessioni yozib olinishi mumkin.

Recording:

uchun ishlatiladi.

Unda secret va personal data bo‘lishi mumkin, shu sababli access va retention cheklanadi.

Command control

PAM ayrim commandlarni allow yoki deny qilishi mumkin.

Masalan:

Command parsing shell, script va alternate tool orqali bypass qilinmasligi kerak.

Approval

Yuqori xavfli access uchun manager, system owner yoki security tasdig‘i talab qilinadi.

Emergency holatda break-glass account ishlatilishi mumkin.

Break-glass foydalanishi darhol alert va keyingi reviewga olib keladi.

Credential checkout

Ayrim modelda user parolni vaqtincha oladi.

Checkout muddati tugagach credential rotation qilinadi.

Parol clipboard, terminal history yoki personal password managerda qolmasligi kerak.

Session brokering parolni umuman ko‘rsatmasligi mumkin.

Service account

Non-human privileged accountlar ko‘pincha uzoq yashaydigan parolga ega.

PAM:

  • owner;
  • dependency;
  • rotation;
  • usage;
  • dormant credential;
  • application restart

ni boshqaradi.

Imkon bo‘lsa short-lived workload identity ishlatiladi.

SSH key

Administrator SSH keylari inventory qilinadi.

Muammolar:

  • authorized_keys ichida eski key;
  • shared private key;
  • expiration yo‘q;
  • owner noma’lum;
  • repositoryga tushgan key.

Certificate-based SSH qisqa muddatli access berishi mumkin.

Cloud privilege

Cloud admin access role assumption va short-lived token orqali beriladi.

Permanent access key kamaytiriladi.

PAM cloud IAM bilan integratsiya qilib:

ni boshqaradi.

Privilege escalation

Oddiy account sudo, role assumption yoki admin tool orqali privilege oladi.

Har elevation:

  • user;
  • command;
  • vaqt;
  • target;
  • ticket;
  • reason

bilan audit qilinadi.

PAM va IAM

IAM user lifecycle va umumiy accessni boshqaradi.

PAM privileged credential va sessionga chuqurroq nazorat qo‘shadi.

IAM account yaratishi, PAM esa uning privileged ishlatilishini broker qilishi mumkin.

Monitoring

Alertlar:

  • noodatiy vaqtda admin login;
  • ko‘p targetga ulanish;
  • credential export;
  • recording o‘chishi;
  • emergency account;
  • policy bypass;
  • yangi privileged account.

PAM loglari SIEMga uzatiladi.

Discovery

PAM joriy etilishidan oldin network, directory, cloud va configurationlardan privileged accountlar inventar qilinadi. Noma’lum local admin, eski service account va embedded credential topiladi. Discovery natijasi owner va rotation rejasiga bog‘lanadi.

Privileged workstation

Administrator kundalik email qurilmasidan productionga kirmasligi mumkin. Maxsus boshqariladigan privileged access workstation browsing, local admin va noma’lum applicationlarni cheklaydi. Bu phishing va credential theft yo‘lini kamaytiradi.

Secret injection

Application parolni config file’dan o‘qish o‘rniga runtime’da vault yoki agent orqali olishi mumkin. Secret diskka yozilmaydi va qisqa muddatli bo‘ladi. Process environmenti ham boshqa user va debug loglardan himoyalanadi.

Session termination

Threat aniqlansa PAM aktiv privileged sessionni darhol to‘xtatishi va credentialni rotation qilishi mumkin. Faqat UI’da userni disable qilish allaqachon ochilgan SSH yoki database sessionini yopmasligi ehtimoli bor.

Bog‘liq tushunchalar

Privileged Access Management, Privileged account, Vault, Just-in-Time access, Session recording, Password rotation, Break-glass account, IAM, Least privilege, SSH certificate