PAM — administrator, root, service operator va boshqa yuqori huquqli accountlarning accessi, credentiali va sessionini boshqaradigan xavfsizlik tizimi. To‘liq nomi Privileged Access Management.
Privileged account tizim konfiguratsiyasini o‘zgartirish, ma’lumotni o‘qish, boshqa user yaratish va security control’larni o‘chirish imkoniga ega bo‘lishi mumkin. Shu sababli u oddiy user accountidan qat’iyroq nazorat qilinadi.
Privileged account
Privileged identity turlari:
- domain administrator;
- root;
- cloud administrator;
- database admin;
- network admin;
- application operator;
- emergency account;
- service account;
- automation credential.
Har account owner, maqsad va lifecycle’ga ega bo‘ladi.
Shared account muammosi
Bir nechta administrator bitta root yoki admin parolini ishlatsa:
- kim amal qilgani noma’lum;
- parol keng tarqaladi;
- xodim ketganda rotation kerak;
- audit zaif;
- revocation qiyin.
PAM individual identity’ni shared privileged session bilan bog‘laydi.
Vault
Privileged credential encrypted vault’da saqlanadi.
User parolni ko‘rmasdan broker yoki session orqali targetga ulanadi.
ni boshqaradi.
Vaultning o‘zi eng yuqori himoyalangan tizimlardan biri bo‘ladi.
Password rotation
Administrator va service account parollari davriy yoki har foydalanishdan keyin almashtirilishi mumkin.
Rotation target system bilan sinxron bajariladi.
Application eski credentialni cache qilsa outage yuz berishi mumkin.
Secret consumerlari yangilanishga tayyor bo‘ladi.
Just-in-Time access
User doimiy admin role saqlamaydi.
Kerakli vazifa uchun qisqa vaqtga privilege oladi.
Jarayon:
Bu standing privilege’ni kamaytiradi.
Just Enough Administration
Administratorga butun tizim emas, aynan kerakli command yoki resource beriladi.
Masalan, support xodimi user parolini reset qila oladi, lekin role va audit logni o‘zgartira olmaydi.
Granular delegation least privilege’ni kuchaytiradi.
Session brokering
Administrator target serverga to‘g‘ridan-to‘g‘ri emas, PAM proxy orqali ulanadi.
- identity tekshiradi;
- target credentialni yashiradi;
- command va sessionni log qiladi;
- policy qo‘llaydi;
- sessionni to‘xtatishi mumkin.
Network targetga faqat brokerdan accessga ruxsat beradi.
Session recording
Terminal, remote desktop yoki database sessioni yozib olinishi mumkin.
Recording:
uchun ishlatiladi.
Unda secret va personal data bo‘lishi mumkin, shu sababli access va retention cheklanadi.
Command control
PAM ayrim commandlarni allow yoki deny qilishi mumkin.
Masalan:
Command parsing shell, script va alternate tool orqali bypass qilinmasligi kerak.
Approval
Yuqori xavfli access uchun manager, system owner yoki security tasdig‘i talab qilinadi.
Emergency holatda break-glass account ishlatilishi mumkin.
Break-glass foydalanishi darhol alert va keyingi reviewga olib keladi.
Credential checkout
Ayrim modelda user parolni vaqtincha oladi.
Checkout muddati tugagach credential rotation qilinadi.
Parol clipboard, terminal history yoki personal password managerda qolmasligi kerak.
Session brokering parolni umuman ko‘rsatmasligi mumkin.
Service account
Non-human privileged accountlar ko‘pincha uzoq yashaydigan parolga ega.
PAM:
- owner;
- dependency;
- rotation;
- usage;
- dormant credential;
- application restart
ni boshqaradi.
Imkon bo‘lsa short-lived workload identity ishlatiladi.
SSH key
Administrator SSH keylari inventory qilinadi.
Muammolar:
- authorized_keys ichida eski key;
- shared private key;
- expiration yo‘q;
- owner noma’lum;
- repositoryga tushgan key.
Certificate-based SSH qisqa muddatli access berishi mumkin.
Cloud privilege
Cloud admin access role assumption va short-lived token orqali beriladi.
Permanent access key kamaytiriladi.
PAM cloud IAM bilan integratsiya qilib:
ni boshqaradi.
Privilege escalation
Oddiy account sudo, role assumption yoki admin tool orqali privilege oladi.
Har elevation:
- user;
- command;
- vaqt;
- target;
- ticket;
- reason
bilan audit qilinadi.
PAM va IAM
IAM user lifecycle va umumiy accessni boshqaradi.
PAM privileged credential va sessionga chuqurroq nazorat qo‘shadi.
IAM account yaratishi, PAM esa uning privileged ishlatilishini broker qilishi mumkin.
Monitoring
Alertlar:
- noodatiy vaqtda admin login;
- ko‘p targetga ulanish;
- credential export;
- recording o‘chishi;
- emergency account;
- policy bypass;
- yangi privileged account.
PAM loglari SIEMga uzatiladi.
Discovery
PAM joriy etilishidan oldin network, directory, cloud va configurationlardan privileged accountlar inventar qilinadi. Noma’lum local admin, eski service account va embedded credential topiladi. Discovery natijasi owner va rotation rejasiga bog‘lanadi.
Privileged workstation
Administrator kundalik email qurilmasidan productionga kirmasligi mumkin. Maxsus boshqariladigan privileged access workstation browsing, local admin va noma’lum applicationlarni cheklaydi. Bu phishing va credential theft yo‘lini kamaytiradi.
Secret injection
Application parolni config file’dan o‘qish o‘rniga runtime’da vault yoki agent orqali olishi mumkin. Secret diskka yozilmaydi va qisqa muddatli bo‘ladi. Process environmenti ham boshqa user va debug loglardan himoyalanadi.
Session termination
Threat aniqlansa PAM aktiv privileged sessionni darhol to‘xtatishi va credentialni rotation qilishi mumkin. Faqat UI’da userni disable qilish allaqachon ochilgan SSH yoki database sessionini yopmasligi ehtimoli bor.
Bog‘liq tushunchalar
Privileged Access Management, Privileged account, Vault, Just-in-Time access, Session recording, Password rotation, Break-glass account, IAM, Least privilege, SSH certificate