Keamanan identitas adalah hal yang populer saat ini, dan memang demikian adanya. Mengamankan identitas yang mengakses sumber daya organisasi adalah model keamanan yang baik.
Namun ID mempunyai keterbatasan, dan ada banyak kasus penggunaan ketika sebuah bisnis harus menambahkan lapisan keamanan lain pada identitas yang kuat. Dan inilah yang ingin kami bicarakan di SSH Communications Security hari ini.
Mari kita lihat tujuh cara untuk menambahkan kontrol keamanan tambahan untuk sesi kritis dan sensitif bagi pengguna yang memiliki hak istimewa sebagai pelengkap sistem lain.
Baut 1: Mengamankan akses untuk ID berdampak tinggi
Karena ID yang kuat adalah elemen kunci dalam akses istimewa, model kami adalah berintegrasi secara asli dengan solusi manajemen identitas dan akses (IAM), seperti Microsoft Entra ID. Kami menggunakan IAM sebagai sumber identitas dan izin dan memastikan organisasi Anda selalu mengetahui perubahan apa pun di ID Entra pada identitas, grup, atau izin secara real-time.
Integrasi asli memungkinkan otomatisasi proses joiners-movers-leavers karena jika pengguna dihapus dari IAM, semua hak akses dan sesi akan dicabut secara instan. Hal ini menjaga proses SDM dan TI tetap sinkron.
Solusi kami memetakan kelompok keamanan yang dihosting di Entra ID dengan peran dan menerapkannya untuk kontrol akses berbasis peran (RBAC) untuk pengguna yang memiliki hak istimewa. Tidak ada akses berbasis peran yang dibuat tanpa identitas.
Dengan ID yang ditautkan ke peran, kami menerapkan kontrol keamanan tambahan yang tidak tersedia di IAM, seperti:
- Manajemen Peningkatan dan Delegasi Hak Istimewa (PEDM) memungkinkan perusahaan untuk menerapkan kontrol yang sangat ketat terhadap tugas-tugasnya, memberikan akses secukupnya dengan hak istimewa paling sedikit hanya untuk jangka waktu yang tepat. Akses dapat dibatasi pada tugas, aplikasi, atau skrip tertentu, bukan seluruh server.
- Penemuan akun istimewa dari lingkungan cloud, hybrid, dan lokal, termasuk Akun Administrator Lokal dan akun administrator Unix dan Linux.
- Sumber identitas yang terisolasi dan independen: Jika suatu organisasi tidak ingin memperkenalkan, misalnya, identitas pihak ketiga ke IAM mereka.
- Otorisasi admin eksternal untuk menyetujui akses ke target penting sebagai langkah verifikasi tambahan
- Jalan menuju tanpa kata sandi dan tanpa kunci: Mengurangi risiko kredensial bersama, seperti kata sandi dan kunci autentikasi, dengan mengelolanya bila diperlukan atau menggunakan akses tepat waktu tanpa kata sandi dan kunci.
- Sesi pencatatan, pemantauan, pencatatan, dan audit untuk forensik dan kepatuhan.
Bolt-on 2: Solusi yang telah teruji dan siap digunakan di masa depan untuk keamanan cloud hibrid di bidang TI dan OT
Solusi manajemen akses kritis yang serbaguna dapat menangani lebih dari sekadar lingkungan TI. Ini dapat menyediakan:
- Manajemen akses terpusat ke cloud hybrid di bidang TI dan OT: Gunakan logika yang sama, konsisten, dan koheren untuk mengakses target penting apa pun di lingkungan apa pun.
- Penemuan otomatis aset cloud, lokal, dan OT: Dapatkan tampilan global ke dalam aset Anda secara otomatis untuk pengelolaan akses yang mudah.
- Dukungan multi-protokol: IT (SSH, RDP, HTTPS, VNC, TCP/IP) dan OT (Ethernet/IP, Profinet, Modbus TCP, OPC UA, IEC61850) semuanya didukung.
- Keamanan Aplikasi Istimewa: Saat Anda menghosting aplikasi dengan hak istimewa (seperti repositori GitHub), kami menerapkan kontrol keamanan yang cermat untuk setiap akses.
- Isolasi browser untuk koneksi penting melalui HTTP(S): Membangun sesi terisolasi ke target untuk mengontrol akses web pengguna ke sumber daya untuk melindungi sumber daya dari pengguna dan pengguna dari sumber daya.
Baut 3: Mencegah bypass kontrol keamanan
Beberapa kredensial akses yang paling umum, kunci SSH, tidak terdeteksi oleh alat PAM tradisional serta rangkaian produk Entra. Ribuan sesi dijalankan melalui protokol Secure Shell (SSH) di lingkungan TI besar tanpa pengawasan atau tata kelola yang tepat. Alasannya adalah manajemen kunci SSH yang tepat memerlukan keahlian khusus, karena kunci SSH tidak berfungsi dengan baik dengan solusi yang dibuat untuk mengelola kata sandi.
Kunci SSH memiliki beberapa karakteristik yang membedakannya dari kata sandi, meskipun kunci tersebut juga merupakan kredensial akses:
- Kunci SSH tidak dikaitkan dengan identitas secara default.
- Mereka tidak pernah kedaluwarsa.
- Mereka mudah dibuat oleh pengguna ahli tetapi sulit dilacak setelahnya.
- Jumlahnya sering kali melebihi kata sandi dengan perbandingan 10:1.
- Fungsinya berbeda dari kata sandi, itulah sebabnya alat yang berfokus pada kata sandi tidak dapat menanganinya.
Kunci yang tidak diatur juga dapat menyebabkan bypass manajemen akses istimewa (PAM). Kami dapat mencegah hal ini dengan pendekatan kami, seperti yang dijelaskan di bawah ini:
Baut 4: Lebih baik tanpa kata sandi dan kunci –manajemen kredensial istimewa dilakukan dengan benar
Mengelola kata sandi dan kunci itu bagus, tetapi menggunakan kata sandi dan tanpa kunci adalah hal yang elit. Pendekatan kami dapat memastikan bahwa lingkungan Anda tidak memiliki kata sandi atau kepercayaan berbasis kunci di mana pun, bahkan di brankas. Hal ini memungkinkan perusahaan untuk beroperasi di lingkungan yang sepenuhnya bebas kredensial.
Beberapa manfaatnya antara lain:
- Tidak ada kredensial untuk dicuri, hilang, disalahgunakan, atau salah dikonfigurasi
- Tidak perlu merotasi kata sandi atau kunci untuk mengurangi pemrosesan dan sumber daya
- Tidak perlu mengubah skrip produksi di server agar brankas dapat berfungsi
- Perusahaan Anda mengendalikan kunci autentikasi – kunci tersebut biasanya memerlukan lebih banyak perhatian daripada kata sandi
Secara keseluruhan, autentikasi tanpa kata sandi dan tanpa kunci memungkinkan tingkat kinerja yang tidak dapat dicapai oleh alat PAM tradisional, seperti dijelaskan di bagian selanjutnya.
Bolt-on 5: Mengamankan koneksi otomatis dalam skala besar
Mesin, aplikasi, dan sistem saling berkomunikasi, misalnya sebagai berikut:
- Koneksi aplikasi-ke-aplikasi (A2A): Mesin mengirim dan menerima data melalui API dan mengautentikasi dirinya sendiri menggunakan rahasia aplikasi.
- Transfer berkas: Transfer file dari mesin ke mesin membantu server yang berbeda berbagi informasi penting tanpa manusia membaca data rahasia ini.
- Pekerjaan batch terjadwal aplikasi-ke-aplikasi: Pekerjaan batch mengacu pada program terjadwal yang dibuat untuk menjalankan beberapa pekerjaan secara bersamaan tanpa memerlukan campur tangan manusia.
IAM sering kali tidak dapat menangani koneksi mesin sama sekali, dan PAM tradisional tidak dapat menanganinya dalam skala besar. Seringkali alasannya adalah koneksi berbasis SSH diautentikasi menggunakan kunci SSH, yang tidak dapat dikelola dengan baik oleh PAM tradisional. Dengan pendekatan kami, koneksi otomatis dapat diamankan dalam skala besar sambil memastikan bahwa kredensialnya berada di bawah tata kelola yang tepat, terutama karena pendekatan bebas kredensial yang dijelaskan di bagian 4.
Bolt-on 6: Siapa melakukan apa dan kapan – mengaudit, mencatat, dan memantau kepatuhan
Solusi seperti Entra ID tidak memiliki jejak audit yang tepat. Fitur-fitur khas yang hilang di dalamnya tetapi ditemukan dalam solusi kami meliputi:
- Dasbor untuk melihat peristiwa audit
- Laporan kebijakan untuk kepatuhan terhadap peraturan
- Perekaman sesi dan pemantauan untuk inspeksi empat mata tersedia bila diperlukan
- Analisis Entitas dan Perilaku Pengguna (UEBA) didasarkan pada kecerdasan buatan dan pembelajaran mesin untuk mendeteksi kelainan apa pun dalam sesi berdasarkan perilaku, lokasi, waktu, perangkat, dan postur keamanan perangkat.
Bolt-on 7: Koneksi aman kuantum antara situs, jaringan, dan cloud
Koneksi yang aman kuantum tidak hanya membuat koneksi Anda tahan terhadap masa depan, bahkan terhadap komputer kuantum, tetapi juga merupakan cara yang nyaman untuk mengirimkan data berskala besar antara dua target dengan cara yang aman.
- Jadikan koneksi apa pun aman melalui jaringan publik terbuka dengan terowongan enkripsi end-to-end yang aman untuk kuantum yang tidak meninggalkan jejak di server
- Lampirkan data atau protokol apa pun – bahkan yang tidak terenkripsi – ke dalam terowongan aman kuantum
- Kedaulatan data: Kelola rahasia Anda sendiri dengan menggunakan kunci enkripsi pribadi untuk koneksi
- Mengangkut data dalam lapisan topologi jaringan yang lebih dalam: Lapisan 2 (lapisan data link) atau Lapisan 3 (lapisan jaringan)
PrivX Zero Trust Suite – Bolt-On Terbaik untuk Rangkaian Produk Microsoft Entra untuk Koneksi Penting
Meskipun IAM seperti Microsoft Entra ID hebat, mereka tidak memiliki fitur yang wajib bagi pengguna berdampak tinggi yang mengakses target berisiko tinggi. PrivX Zero Trust Suite kami terintegrasi secara asli dengan sejumlah IAM, bahkan secara bersamaan, dan memperluas fungsinya ketika identitas saja tidak cukup.
Hubungi kami untuk demo guna mempelajari mengapa Anda perlu memasang solusi keamanan penting ke Entra IAM Anda guna mengencangkan sekrup di lingkungan produksi.
