Kaido Järvemets selgitab

Mis on privilegeeritud ligipääsu haldus ja kuidas see õiged uksed avab?

Oma olulisi administreerimiskontosid ei tohiks igapäevaselt ligipääsetavasse masinasse lahtisena jätta. Tegemist on mõttemaailma muutusega, millega inimesed peavad kaasa tulema: tähtsatel kontodel ei tohi rippuda piltlikult võtmed ees, et kui keegi kogemata peale satub, saab sisse astuda ja sees rahulikult igal pool ringi jalutada. Privilegeeritud ligipääsu haldus ütlebki, kes, mis tingimustel, mis ajal ja millele ligi pääseb.

Kõigi õigustega administraatorid ei pea pidevalt omama kõiki tipptasemel ligipääsuõigusi. See on turvaoht. Ligipääsu halduses tulevad mängu aja- ja kohapõhised aktiveerimised ehk kui administraatoril on vaja süsteemseid muudatusi teha, siis saab ta ainult need õigused, mida selle tegemiseks vaja.

Lähtuda tuleb miinimumprintsiibist: õigusi antakse minimaalselt vaid konkreetse tegevuse tarbeks, mitte kogu aeg maksimaalselt ja ühtemoodi. Kui administraatorid on täisõigustes, siis juhul, kui keegi suudab tema konto ära kaaperdada, on tagajärjed rängad ning küberrünnak toimub väga kiiresti.

Tsonaalse administreerimismudeli artiklis oli sellest juba juttu, et administraatorid ei teeks kõiki oma asju igapäevasest töömasinast. Üsna tihti ei tajuta neid riske, mis tekivad, kui IT üksus tegutseb kogu aeg täis-õigustes.

Tsonaalsed administreerimismudelid ei küsi raha. Vajalikud meetmed saab ise rakendada, tuleb vaid teha enamat, kui vaikimisi konfiguratsiooni kasutada.

Kui ettevõtted juurutavad järjest erinevaid pilveteenuseid, siis on privileegritud kontohalduse võimalused juba valikus olemas. See eeldab pisut kallimat litsentsi, aga tasub end üsna kiiresti ära. Vähemalt administraatoritele võiks selle litsentsi hankida, et riske maandada.

Kokku on privilegeeritud kontohaldusega võimalik kaitsta administraatorite kontosid neljal tasemel (pildil) pluss täiendavalt ka turvavõtmega, mis võiks olla kasutusel administreerimiskontode lisakaitseks.

Kõige suurem muutus privilegeeritud ligipääsu puhul on aga ettevõttes mõttemaailma muutmine, mitte ainult litsentside uuendamine ja võtmete kasutamine. Paratamatult osad inimesed ei tahagi muudatustega kaasa tulla. Juurutust saab teha faaside kaupa, inimeste kaupa, töölõikude kaupa, et hajutada üleminekut ja tõsta kasutajate teadlikkust.

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.