אתם יכולים להשתמש ב-Privileged Access Manager (PAM) כדי לשלוט בהעלאת הרשאות זמנית בדיוק בזמן לחשבונות משתמשים נבחרים, וכדי לצפות ביומני ביקורת לאחר מכן ולגלות למי הייתה גישה לאילו משאבים ומתי.
כדי לאפשר שינוי זמני של רמת הגישה, יוצרים הרשאה ב-Privileged Access Manager ומוסיפים לה את המאפיינים הבאים:
קבוצה של ישויות מורשות שמורשות לבקש מענק כנגד ההרשאה.
האם נדרשת הצדקה למתן ההרשאה.
קבוצה של תפקידים להקצאה זמנית. אפשר להגדיר תנאי IAM לתפקידים.
משך הזמן המקסימלי של בקשת הגישה.
אופציונלי: האם הבקשות צריכות אישור ממערכת נבחרת של חשבונות משתמשים, והאם החשבונות האלה צריכים להסביר למה הם נותנים אישור.
אופציונלי: בעלי עניין נוספים שצריך לעדכן אותם לגבי אירועים חשובים, כמו מענקים ואישורים בהמתנה.
גורם ראשי שנוסף כמשתמש ששולח בקשה להרשאה יכול לבקש גישה להרשאה הזו. אם הפעולה תצליח, התפקידים שמופיעים בהרשאה יוקצו להם עד לסיום משך ההרשאה, ולאחר מכן התפקידים יבוטלו על ידי Privileged Access Manager.
תרחישים לדוגמה
כדי להשתמש ב-Privileged Access Manager בצורה יעילה, כדאי להתחיל בזיהוי של תרחישי שימוש ספציפיים שבהם הוא יכול לתת מענה לצרכים של הארגון. כדאי להתאים את ההרשאות ב-Privileged Access Manager על סמך תרחישי השימוש האלה והדרישות והאמצעים הנחוצים. התהליך הזה כולל מיפוי של המשתמשים, התפקידים, המשאבים והמשכי הזמן הרלוונטיים, וגם של ההצדקות והאישורים הנדרשים.
אפשר להשתמש ב-Privileged Access Manager כשיטה מומלצת כללית כדי להעניק הרשאות זמניות ולא קבועות, אבל הנה כמה תרחישים שבהם השימוש בו נפוץ:
מתן גישה לשעת חירום: מאפשר לכוחות הצלה נבחרים לבצע משימות קריטיות בלי לחכות לאישור. אתם יכולים לדרוש נימוקים לבקשות גישה לשעת חירום כדי לקבל הקשר נוסף.
שליטה בגישה למשאבים רגישים: שליטה הדוקה בגישה למשאבים רגישים, עם דרישה לאישורים ולהצדקות עסקיות. אפשר גם להשתמש ב-Privileged Access Manager כדי לבדוק איך נעשה שימוש בגישה הזו – למשל, מתי תפקידים שהוקצו היו פעילים עבור משתמש, אילו משאבים היו נגישים במהלך הזמן הזה, מה היה הנימוק לגישה ומי אישר אותה.
לדוגמה, אפשר להשתמש ב-Privileged Access Manager כדי:
לתת למפתחים גישה זמנית לסביבות ייצור לצורך פתרון בעיות או פריסות.
לתת למהנדסי תמיכה גישה לנתונים רגישים של לקוחות למשימות ספציפיות.
להעניק לאדמינים של מסד הנתונים הרשאות מורחבות לצורך תחזוקה או שינויים בהגדרות.
הטמעה של הרשאות מינימליות ברמת גרנולרית: הקצאת תפקידי אדמין או גישה רחבה לכל המשתמשים עלולה להגדיל את שטח המתקפה. כדי למנוע את זה, אדמינים יכולים להקצות תפקידים קבועים עם הרשאות מינימליות ולהשתמש ב-Privileged Access Manager כדי לספק גישה זמנית ומוגבלת בזמן למשימות ספציפיות כשצריך. אדמינים יכולים ליצור הרשאות עם תנאים מבוססי-תגים ולאכוף על מבקשי ההרשאות ליצור בקשות למתן הרשאות עם היקף מותאם אישית, ולבטל את ההרשאות אחרי שהמשימה הושלמה. כך מצטמצמים באופן משמעותי הסיכויים לשימוש לרעה, ומתחזק העיקרון של גישה 'בזמן אמת'.
אוטומציה של אישורי גישה עם הרשאות מיוחדות: כדי לשפר את היעילות, אתם יכולים להגדיר חשבונות שירות או זהויות של סוכנים כמאשרים בצינורות ה-DevOps. בחשבונות האלה אפשר לבצע אוטומציה של אישורים פרוגרמטיים באמצעות אימות כרטיסים ישירות ממערכות ITSM, וכך לבטל בדיקות ידניות איטיות.
עזרה באבטחת חשבונות שירות וזהויות של סוכנים: במקום להקצות תפקידים לחשבונות שירות או לזהויות של סוכנים באופן קבוע, אפשר לאפשר להם להעלות את רמת ההרשאות שלהם ולקבל תפקידים רק כשצריך לבצע משימות אוטומטיות.
צמצום האיומים הפנימיים ושימוש לרעה בשוגג: באמצעות אישורים ממספר משתמשים, אפשר לדרוש מאשר שני לבקשות למתן הרשאות. הגישה הזו מפחיתה את הסיכון שגישה זדונית תאושר על ידי אדמין יחיד או על ידי חשבון שנפרץ.
ניהול גישה לקבלנים ולעובדים חיצוניים: מתן גישה זמנית ומוגבלת בזמן למשאבים לקבלנים או לחברי כוח עבודה מורחב, עם דרישה לאישורים ולהצדקות.
העברת תפקידים קבועים לגישה זמנית: תיקון הרשאות מוגזמות שזוהו על ידי הכלי להמלצות ב-IAM. במקום לבטל את התפקיד באופן סופי, אפשר להפוך אותו להרשאה זמנית על פי דרישה. מידע נוסף מופיע במאמר תיקון הרשאות מוגזמות באמצעות Privileged Access Manager.
יכולות ומגבלות
בקטעים הבאים מתוארות היכולות והמגבלות השונות של Privileged Access Manager.
משאבים נתמכים
מערכת Privileged Access Manager תומכת ביצירת הרשאות ובבקשת מענקים לפרויקטים, לתיקיות ולארגונים.
אם רוצים להגביל את הגישה לקבוצת משנה של משאבים בפרויקט, בתיקייה או בארגון, אפשר להוסיף תנאים ב-IAM להרשאה. Privileged Access Manager תומך בכל מאפייני התנאים שנתמכים בקישורי תפקידים של מדיניות הרשאות. הכלי Privileged Access Manager תומך רק בשירותים שתומכים בגישה מפורטת דרך IAM, כי הוא משתמש בתנאים של IAM כדי לנהל גישה זמנית.
תפקידים נתמכים
מנהל הרשאות גישה תומך בתפקידים מוגדרים מראש, בתפקידים בהתאמה אישית ובתפקידים הבסיסיים אדמין, כתיבה וקריאה. Privileged Access Manager לא תומך בתפקידים בסיסיים מדור קודם (בעלים, עריכה וצפייה).
זהויות נתמכות
מנהל הגישה עם הרשאות מתקדמות תומך בכל סוגי הזהויות, כולל Cloud Identity, איחוד שירותי אימות הזהות של כוח עבודה, איחוד שירותי אימות הזהות של עומסי עבודה וזהויות של סוכנים.
רישום ביומן ביקורת
אירועים ב-Privileged Access Manager, כמו יצירת הרשאות, בקשה או בדיקה של מענקים, מתועדים ביומני הביקורת של Cloud. רשימה מלאה של האירועים שיומני הרישום של Privileged Access Manager מתעדים מופיעה במאמר תיעוד הביקורת של Privileged Access Manager. מידע על צפייה ביומנים האלה זמין במאמר ביקורת על אירועי הרשאה והענקת הרשאה ב-Privileged Access Manager.
אישורים בכמה רמות ומכמה משתמשים
אדמינים של Privileged Access Manager יכולים להגדיר אישורים רב-שכבתיים ואישורים ממספר משתמשים. האפשרות הזו שימושית בתרחישי שימוש שכוללים את הפעולות הבאות:
- פעולות בסיכון גבוה, כמו שינוי של תשתית חיונית או גישה למידע אישי רגיש
- אכיפת הפרדת תפקידים
- אוטומציה של תהליכי אישור מרובי-רמות בתהליכי עבודה דינמיים באמצעות חשבונות שירות או זהויות של סוכנים כמאשרים חכמים
התכונה הזו מאפשרת לאדמינים של Privileged Access Manager להגדיר יותר מרמת אישור אחת לכל הרשאה, כך שניתן להגדיר עד שתי רמות של אישורים עוקבים לכל הרשאה. אדמינים יכולים לחייב עד חמש אישורים לכל רמה. מידע נוסף זמין במאמר בנושא יצירת זכויות גישה.
התאמה אישית של היקף הגישה
הגורמים המבקשים יכולים להתאים אישית את היקף בקשות הגישה שלהם כך שיכללו רק את התפקידים והמשאבים הספציפיים שהם צריכים במסגרת ההרשאה שלהם. מידע נוסף זמין במאמר בנושא שליחת בקשה להרשאות גישה זמניות.
אישורים של חשבון שירות וזהות סוכן
אדמינים של Privileged Access Manager יכולים להגדיר חשבונות שירות וזהויות של סוכנים כגורמים שמוסמכים לאשר בקשות. כך האדמינים יכולים להוסיף חשבונות שירות, זהויות של סוכנים וזהויות במאגרי זהויות של עומסי עבודה כמאשרים כשהם יוצרים או משנים הרשאות. מידע נוסף זמין במאמר הגדרת ההגדרות של Privileged Access Manager.
תמיכה בירושה
הזכויות וההרשאות שמוגדרות ברמת הארגון או התיקייה מוצגות בתיקיות ובפרויקטים שנגזרים מהם במסוף Cloud de Confiance by S3NS . מגישי הבקשות יכולים לבקש גישה למשאבי הצאצא על סמך ההרשאות האלה ישירות במשאבי הצאצא. מידע נוסף זמין במאמר בנושא שליחת בקשה לגישה זמנית עם הרשאות גבוהות באמצעות Privileged Access Manager.
התאמה אישית של ההעדפות לגבי התראות
אדמינים עם הרשאות לניהול ההגדרות של Privileged Access Manager יכולים לשנות את העדפות ההתראות לגבי אירועים שונים ב-Privileged Access Manager ברמת המשאב. ההגדרות האלה מאפשרות לאדמינים להשבית באופן סלקטיבי התראות לגבי אירועים ספציפיים ופרסונות ספציפיות, או להשבית את כל ההתראות. מידע נוסף זמין במאמר הגדרת ההגדרות של Privileged Access Manager.
תזמון הענקת גישה
מבקשי הגישה יכולים לתזמן בקשות למתן גישה עד שבעה ימים מראש. כך המבקשים יכולים להתאים את הגישה לתחזוקה מתוכננת או למשמרות של כוננות, ומקצרים את זמן ההמתנה לאישורים. מידע נוסף זמין במאמר בנושא בקשת גישה זמנית עם הרשאות גבוהות יותר.
ביטול הרשאה
מגישי הבקשות יכולים לבטל בקשות למתן הרשאות שממתינות לאישור או שנקבע להן מועד להפעלה. המבקשים יכולים גם לסיים את ההרשאות הפעילות שלהם כשהמשימה שדורשת הרשאות מיוחדות הושלמה או כשהגישה כבר לא נדרשת. ארגונים יכולים להמליץ על כך כשיטה מומלצת להגבלת משך הגישה עם הרשאות מיוחדות רק לזמן שבו היא נדרשת באופן פעיל. מידע נוסף זמין במאמר בנושא ביטול הרשאות.
שימור הרשאות
הרשאות נמחקות אוטומטית מ-Privileged Access Manager 30 ימים אחרי שהן נדחות, מבוטלות, נסגרות או מסתיימות. היומנים של ההרשאות נשמרים ביומני הביקורת של Cloud למשך תקופת השמירה של היומנים בדלי _Required.
מידע על צפייה ביומנים האלה זמין במאמר אירועים של הרשאות ושל הענקת הרשאות ב-Privileged Access Manager.
שינויים במדיניות IAM וב-Privileged Access Manager
מערכת Privileged Access Manager מנהלת גישה זמנית על ידי הוספה והסרה של קישורי תפקידים ממדיניות ה-IAM של המשאבים. אם שינויים יבוצעו בהקצאות התפקידים האלה על ידי גורם אחר מלבד Privileged Access Manager, יכול להיות ש-Privileged Access Manager לא יפעל כצפוי.
כדי למנוע את הבעיה הזו, מומלץ לבצע את הפעולות הבאות:
- אל תשנו באופן ידני את הקישורים לתפקידים שמנוהלים על ידי Privileged Access Manager.
- אם אתם משתמשים ב-Terraform כדי לנהל את מדיניות ה-IAM, ודאו שאתם משתמשים במשאבים לא סמכותיים במקום במשאבים סמכותיים. כך אפשר לוודא ש-Terraform לא יבטל את הקישורים של תפקידים ב-Privileged Access Manager, גם אם הם לא מופיעים בהגדרות של מדיניות IAM הדקלרטיבית.
התראות
הכלי Privileged Access Manager יכול לשלוח לכם התראות על אירועים שונים שמתרחשים בו, כמו שמתואר בקטעים הבאים.
התראות באימייל
מערכת Privileged Access Manager שולחת התראות באימייל לבעלי העניין הרלוונטיים לגבי שינויים בהרשאות ובמענקים. קבוצות הנמענים הן:
מי יכולים לבקש הרשאה:
- כתובות אימייל של משתמשי Cloud Identity וקבוצות שצוינו כמבקשים בהרשאה.
- כתובות אימייל שהוגדרו ידנית בהרשאה: כשמשתמשים ב-Cloud de Confiance console, כתובות האימייל האלה מופיעות בשדה Requester email recipients בקטע Add requesters. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
requesterEmailRecipients.
איך מעניקים הרשאות אישור לזכאות:
- כתובות האימייל של משתמשים וקבוצות ב-Cloud Identity שצוינו כגורמים מאשרים ברמת האישור.
- כתובות אימייל שהוגדרו ידנית בהרשאה: כשמשתמשים במסוףCloud de Confiance , כתובות האימייל האלה מופיעות בשדה נמעני אישור בקטע הוספת מאשרים. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
approverEmailRecipientsשל שלבי תהליך העבודה לאישור.
אדמין של ההרשאה:
- כתובות אימייל שהוגדרו ידנית בהרשאה: כשמשתמשים במסוףCloud de Confiance , כתובות האימייל האלה מופיעות בשדה Admin email recipients בקטע Entitlement details. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
adminEmailRecipients.
- כתובות אימייל שהוגדרו ידנית בהרשאה: כשמשתמשים במסוףCloud de Confiance , כתובות האימייל האלה מופיעות בשדה Admin email recipients בקטע Entitlement details. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
מגיש הבקשה למענק:
- כתובת האימייל של מי שמבקש את ההרשאה, אם הוא משתמש ב-Cloud Identity.
- כתובות אימייל נוספות שנוספו על ידי המבקש בזמן שליחת הבקשה למתן ההרשאה: כשמשתמשים במסוף Cloud de Confiance , כתובות האימייל האלה מופיעות בשדה כתובות אימייל נוספות. כשמשתמשים ב-CLI של gcloud או ב-API בארכיטקטורת REST, כתובות האימייל האלה מופיעות בשדה
additionalEmailRecipients.
Privileged Access Manager שולח אימיילים לכתובות האימייל האלה במקרים הבאים:
| נמענים | אירוע |
|---|---|
| מי יכולים לבקש הרשאה | כשההרשאה מוקצית וזמינה לשימוש על ידי המבקש |
| מתן הרשאות לאישור זכאות | כשמתקבלת בקשת גישה שנדרש לאשר |
| מבקש הגישה |
|
| אדמין של ההרשאה |
|
התראות Pub/Sub
Privileged Access Manager משולב עם מאגר משאבי ענן.
אתם יכולים להשתמש בתכונה פידים של מאגר משאבי ענן כדי לקבל התראות על כל השינויים בהרשאות דרך Pub/Sub. סוג הנכס שבו ייעשה שימוש למענקים הוא
privilegedaccessmanager.googleapis.com/Grant.