Thycotic az L. törvényi megfelelésért

Az L. törvényről dióhéjban, hogy mi is ez és kire vonatkozik:

A „2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról” a pontos megnevezése. A nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonságát hivatott védeni. A törvény hatálya kiterjed a Honvédségre, az Országos Bírósági Hivatalra és bíróságokra, az ügyészségekre, a fővárosi és megyei kormányhivatalokra, a központi államigazgatási szervekre, stb. Az érintett szervezeteknél nem csak adminisztratív, hanem logikai és fizikai szinten is megkell felelnie az elektronikus rendszereknek (bele értve az informatikai rendszereket is).

A szervezet vezetője többek között köteles gondoskodni az elektronikus információs rendszerek védelméről, amibe az azonosítás, hitelesítés, hálózati hozzáférések kezelése és monitorozása is bele tartozik.

Ezeknek a szervezeteknek a Thycotic Secret Server ideális megoldást kínál a jelszó menedzsment területére a törvényi megfeleléshez. Amennyiben még nem ismered részletesen a Thycotic PAM megoldását, akkor az alábbi linken megtalálod a bemutató doksit: PAM.

Pontonként a megfelelésért a Secret Serverrel

A korábban Pass-the-hash és egyéb jelszó menedzsmenthez köthető támadások elleni védelemmel indult amerikai gyártó, a Thycotic Secret Server terméke, a magyar információbiztonsági törvényeknek is segít megfelelni. Nézzük meg pontonként, hogy a Secret Server hogyan ugorja meg a legkritikusabb azonosításra, legkisebb jogosultság elvére vagy akár monitorozásra vonatkozó kitételeket az L. törvényben:

A Thycotic Secret Server termék bemutatásban megjelenő Secret kifejezés egy gyűjtőfogalom, ami a Secret Server által tárolt és kezelt információt jelenti. Ez az információ lehet privilegizált jelszó routerekhez, szerverekhez, fizikai eszközökhöz, applikációkhoz; de lehet egy fájl, SSL tanúsítvány, licenszkulcs és még sok minden. A secretek létrehozását Secret Templat-ek segítik az implementáció közben.

• 3.3.9.2.2. - Az elektronikus információs rendszer többtényezős hitelesítést alkalmaz a különleges jogosultsághoz kötött - úgynevezett privilegizált - felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez. – A Secret Server-el használhatunk Duo Security, RADIUS, Email, FIDO2, TOTP Authenticator és a 10.6-os verziótól Yubikeys-t is a kétfaktoros hitelesítés megvalósításához.
• 3.3.10.10.1.1-2. - Meghatározott időtartamú inaktivitás után, vagy a felhasználó erre irányuló lépése esetén a munkaszakasz zárolásával megakadályozza az elektronikus információs rendszerhez való további hozzáférést; megtartja a munkaszakasz zárolását mindaddig, amíg a felhasználó a megfelelő eljárások alkalmazásával nem azonosítja és hitelesíti magát újra. –  A Secret Serverben található Check In és Check Out státuszok beállításával lehetőségünk van akár kizárólag csak egy meghatározott időtartamra biztosítani egy secret használatát. Miután ez az idő lejárt, a rendszer automatikusan visszaveszi a felhasználás jogát. A Check In mechanizmus mellé automatikus jelszócserét is társíthatunk az adott host-on, vagy az adott időtartamon belül meg is hosszabbíthatjuk a lejáratot.
• 3.3.10.2.1.9. - Meghatározott gyakorisággal felülvizsgálja a felhasználói fiókokat, a fiókkezelési követelményekkel való összhangot. - A Secret Polycik közt beállíthatjuk, hogy a Secret Server automatikusan tesztelje a secret-ben szereplő accountok valós jogosultságát a cél host-on. Ezt a folyamatot automatizálhatjuk és értesítést is kérhetünk az eredményről.
• 3.3.10.2.5. - Az elektronikus információs rendszer automatikusan naplózza a fiókok létrehozásával, módosításával, engedélyezésével, letiltásával és eltávolításával kapcsolatos tevékenységeket, és értesíti ezekről a meghatározott személyeket vagy szerepköröket. - A Secret Serverrel a privilegizált munkamenetek rögzítése a kiemelt userek és adminok hozzáférésének teljes rögzítését jelenti, így minden tevékenységük nyomon követhetővé válik attól a pillanattól, hogy a felhasználó egy munkamenetet elindít, egészen amíg ki nem jelentkezik. A korábban már részletesen bemutatott 10.6-os verzióban a Session monitoring újítások közé tartozik a nagy mennyiségű munkamenetet rögzítő felhasználók teljesítményének javítása. A munkamenet rögzítés egy plusz felügyeleti réteget biztosít, és segít abban, hogy a felhasználók ellenőrizhetők legyenek a privilegizált fiókok elérésekor. Sőt az Event Subscriptions funkció bekapcsolásával értesítést vagy riasztást is kérhetünk minden egyes lépésről.
• 3.3.10.2.7. Figyelni kell az elektronikus információs rendszer fiókjait az érintett szervezet által meghatározott szokatlan használat szempontjából, és meghatározott személyeknek vagy szerepköröknek jelenteni kell azt. – Az Email Notifications beállítással lehetőségünk van különböző eseményekre feliratkozni. Amennyiben az adott esemény megtörténik, email értesítést kapunk a rendszertől. Ilyen események lehetnek például próbálkozás hozzáférési jogosultságok megváltoztatásra, vagy adott secret szerkesztése, megnézése.
• 3.3.10.13.5. – A privilegizált parancsok végrehajtásához és biztonságkritikus információk eléréséhez távoli hozzáférést csak meghatározott és elfogadott igény esetén engedélyez. – A Secret Server-ben lehetőségünk van a secret-ek használatát jóváhagyáshoz kötni, így egy secret addig nem használható, amíg egy felhasználó vagy felhasználók csoportjából egy felhasználó nem hagyja azt jóvá. Valamint lehetőség van a kikért időtartam módosítására. Sőt beállítható IP címek szerinti korlátozás, ezzel a különböző felhasználók bejelentkezési próbálkozását csak adott IP cím tartományból fogadjuk el, így lehetőség van kikényszeríteni, hogy csak olyan felhasználók jelentkezzenek be, akik VPN-en keresztül csatlakoznak a belső hálózatunkba, vagy alapból a belső hálózaton keresztül csatlakoznak a védett hálózatra. És ha mindez nem lenne elég, az egyes secretek felhasználási okáról kérhetünk kommentet, mielőtt egy user használatba vehetné azt.

Minden, ami egy PAM-ba bele fér – Secret Server erősségek

A Secret Server néhány fontos tulajdonsága összegezve:

• Teljes életciklus menedzsmentet valósít meg a vállalati privilegizált felhasználói fiókok kezelésére.
• Jóváhagyási folyamatok (több szem elve) is kialakíthatók a kiemelten fontos accountok védelmére.
• A valós idejű munkamenet felügyelet (Session monitoring), -rögzítés és billentyűzetfigyelő (keylogging) segítségével felügyelhetők az informatikai rendszerekhez történő hozzáférések. Nem csak a privilegizált felhasználók felügyeletéért, de a védelméért is tehetünk ezzel a funkcióval.
• A privilegizált felhasználók hozzáféréseit, akár automatikusan cseréli a megadott policy-k szerint, ezzel kevesebb munkaóra, erősebb felügyelet valósítható meg.
• Üzleti felhasználók és alkalmazások hozzáféréseit is képes kezelni, így nem csak a plusz beszerzendő termék, hanem az üzlet hasznos eszközévé válik a Secret Server.
• A legmagasabb biztonsági besorolás eléréséhez a termékben alkalmazott AES 256 titkosítás, kombinálható HSM-mel, sőt akár end-to-end titkosítás is kialakítható.
• Androidra és iPhone-ra is létezik SS alkalmazás, így a mobileszközökön is megvalósíthatók a fent felsorolt biztonsági intézkedések.
• A Secret Server-t lehetőség van klaszterezett környezetben kialakítani, így a magas rendelkezésre állás (HA) is kialakítható.
• A szabványoknak való megfelelésben is helytáll, a PCI-DSS, HIPAA, NIST és számos más nemzetközi szabványnak is megfelel a Thycotic Secret Server.

Ennek a rövid demónak köszönhetően bepillanthatsz a Secret Server termékbe:

Még sokáig sorolhatnánk a Thycotic díjnyertes PAM megoldásának a képességeit, de inkább keress fel minket az elérhetőségeink bármelyikén, hogy a Secret Server összes a 2013. L. évi törvénynek megfeleltethető funkcióját bemutathassuk neked akár személyesen egy ÉLŐ DEMÓ-ban is!