Introduction aux contrôles de commandes SSH et aux capacités avancées de PEDM pour Linux dans PAM360

PAM360 est la solution complète de gestion des accès privilégiés (PAM) de ManageEngine, conçue pour les entreprises afin de protéger les identités sensibles et privilégiées contre les menaces internes et externes. Avec le principe du moindre privilège inscrit dans l’ensemble du produit, les capacités de gestion de l’élévation et de la délégation des privilèges (PEDM) de PAM360 aident les entreprises à éliminer les privilèges permanents et à fournir un accès privilégié granulaire de manière limitée dans le temps.

 Quelles sont les nouveautés de PAM360 ? 

  • PAM360 propose désormais des fonctionnalités avancées d’élévation des privilèges pour les ressources basées sur Linux, en plus de ses fonctionnalités PEDM déjà étendues pour les environnements Windows.

  • Exploitez le contrôle des commandes SSH pour n’autoriser l’exécution que d’un ensemble de commandes sélectionnées pendant les sessions privilégiées à distance.

 L’importance de la PEDM pour les entreprises 

Les équipes informatiques accordent souvent des privilèges d’accès à un employé qui en a besoin pour une tâche, puis oublient de les révoquer une fois la tâche terminée. Ces privilèges sont appelés privilèges permanents. Laisser des privilèges permanents non vérifiés pour des actifs privilégiés au-delà de la durée nécessaire revient à ouvrir la porte à une attaque de l’intérieur.

PEDM, une partie de PAM, fait référence à un ensemble de fonctions qui aident les équipes informatiques à fournir un accès élevé temporaire aux utilisateurs ayant des niveaux d’accès inférieurs pour des demandes basées sur des tâches. Il s’agit d’utilisateurs qui n’auraient autrement pas accès à une ressource sensible et d’utilisateurs qui ont un accès limité à une machine mais qui ont besoin d’un accès administratif temporaire pour exécuter des fonctions critiques. PEDM limite l’exposition des mots de passe et garantit qu’il n’y a aucun privilège permanent.

En plus de son ensemble complet de fonctionnalités PEDM pour les environnements Windows, y compris les contrôles d’élévation de privilèges en libre-service et l’accès juste à temps, PAM360 offre désormais des fonctionnalités PEDM avancées pour Linux.

 Contrôle des commandes SSH   

Le contrôle des commandes SSH est le dernier ajout aux capacités étendues de surveillance et de gestion des sessions privilégiées de PAM360, qui comprennent la surveillance en temps réel, le contrôle des applications, les transferts de fichiers sécurisés, l’enregistrement et la fin des sessions à distance.

Souvent, les entreprises dépendent des ressources Unix ou Linux pour les fonctions quotidiennes critiques. Les interruptions de la disponibilité de ces ressources perturbent les processus quotidiens cruciaux et entraînent des temps d’arrêt coûteux. Grâce aux capacités de contrôle (ou de filtrage) des commandes SSH de PAM360, les administrateurs informatiques peuvent créer des listes de commandes autorisées pour les périphériques Linux critiques et permettre que seules les commandes pré-approuvées soient exécutées lorsqu’une connexion SSH est établie avec un périphérique.

 Le cas de Zylker  

Zylker est une entreprise fictive comptant des centaines d’utilisateurs privilégiés, notamment des administrateurs de bases de données, des administrateurs de fichiers et des administrateurs système, qui ont besoin d’un accès élevé à des serveurs Linux sensibles pour exécuter quotidiennement des commandes privilégiées. Ces commandes peuvent inclure la modification ou la suppression de fichiers, l’exploration de données et la modification des autorisations de répertoire sur des serveurs Linux critiques pour l’entreprise.

Compte tenu de la nature sensible des serveurs et du nombre d’utilisateurs nécessitant un accès privilégié, il est vital pour les administrateurs informatiques de pré-approuver et de limiter les commandes qui peuvent être exécutées sur la ressource cible, même par des utilisateurs privilégiés.

Si le contrôle des commandes SSH (ou filtrage) de PAM360 est configuré pour un dispositif, les utilisateurs ne pourront exécuter que les commandes figurant dans la liste des autorisations. Toute commande ne faisant pas partie du groupe de commandes autorisées ne peut être exécutée sur le dispositif, même par des utilisateurs privilégiés.

 Élévation de privilèges en libre-service 

L’élévation de privilèges en libre-service dans PAM360 permet aux administrateurs informatiques de fournir un accès élevé aux utilisateurs non privilégiés qui ont besoin d’exécuter des commandes privilégiées ou d’accéder à des applications, des services et des répertoires sensibles, le tout sans partager les mots de passe des comptes privilégiés hautement sensibles. Pour ce faire, ils autorisent les utilisateurs à exécuter une liste pré-approuvée de commandes privilégiées avec des privilèges élevés.

 
Rencontrez Sarah chez Zylker  

Sarah est une consultante externe en données pour Zylker. Elle effectue la collecte quotidienne des journaux sur les serveurs Linux critiques en accédant au répertoire /var/log/wtmp à l’aide de comptes locaux non privilégiés. Cependant, pour sa prochaine tâche, Sarah a également besoin des privilèges root ou sudo sur le même ensemble de serveurs afin d’effectuer des opérations de nettoyage de répertoire.

Cela peut se produire de deux façons : 

  1. Sarah reçoit des informations d’identification privilégiées ou un accès sudo à la machine.

  2. Un administrateur informatique peut configurer l’élévation de privilèges en libre-service pour un compte privilégié sur la machine Linux à l’aide de PAM360 et autoriser une liste de commandes pré-approuvées que Sarah peut exécuter avec un accès élevé.

Dans le premier scénario, il n’y a aucune restriction sur les commandes et les opérations que Sarah peut exécuter lorsqu’elle est connectée au serveur, ce qui ouvre la voie à l’abus de privilèges. Sarah pourrait supprimer et modifier des fichiers critiques, installer accidentellement des logiciels malveillants ou accéder à d’autres informations sensibles présentes sur le serveur.

Dans le second scénario, Sarah utilise l’élévation de privilèges en libre-service pour obtenir un accès élevé, mais elle ne peut exécuter que les commandes pré-approuvées pour accéder au répertoire requis. Cela permet également de s’assurer que les informations d’identification privilégiées ne sont pas exposées à des contractants tiers comme Sarah.

 Audits et rapports exhaustifs  

Les pistes d’audit et les rapports exhaustifs de PAM360 capturent toutes les activités d’élévation des privilèges, y compris la configuration du contrôle des commandes SSH, la configuration de l’élévation des privilèges en libre-service, la liste et le regroupement des commandes autorisées, l’installation d’agents et les tentatives d’élévation des commandes non autorisées. Grâce aux pistes d’audit complètes de PAM360, les administrateurs informatiques disposent d’une visibilité totale sur les activités d’élévation de privilèges dans toute l’entreprise et s’assurent qu’ils sont prêts pour les audits.

Planifiez une démonstration gratuite et personnalisée pour découvrir les capacités de PAM360 en profondeur directement auprès de nos experts ! 

Source : Introducing SSH command controls and advanced PEDM capabilities for Linux in PAM360 – by Fazil Razak