fbpx

ההבדל בין פתרונות IAM/IDM לפתרונות PAM

פעמים רבות קיימת אי הבנה בנוגע לפתרונות Identity & Access Management (בקצרה: IAM) ופתרונות Privileged Access Management (בקצרה: PAM) היות ושני הפתרונות עוסקים באותו מרחב, בעלי תכונות דומות אך בעלי תוצאות שונות.

שני הפתרונות מתמודדים בסוגיות משתמשים, גישה ותפקידים (Access and Roles) ואף כוללים התייחסות גם לשמירת נתונים על ידי הגנה על למי יש גישה למערכות ומה מותר להם לעשות במערכות רגישות. למרות העובדות הללו, מדובר בפתרונות שונים לגמרי … תפקידו של PAM הוא להגן על משתמשים עם גישה מיוחסת לנתונים רגישים. IAM דואג למשתמשים או ללקוחות היומיומיים של הארגון, ושולט בגישה ובחוויה אותם מקבלים משתמשים בתוך יישום.

בעוד IAM מאפשר לספק לעובדים גישה לחשבון הדוא"ל שלהם, וכן לספק גישה ברמה גבוהה יותר עבור עובדים מסוימים במטרה להיכנס למערכות תפעול שונות כדוגמת כספים ו HR או אפליקציות אחרות. לעומת זאת, כלי PAM מסוגלים לנהל סיסמאות ואימות ומאפשרים למשתמשים, שרתים ולמאגרי מידע לתקשר בצורה מאובטחת. חשבונות מיוחסים אלה מוגדרים כרגישים ביותר מכיוון שהם נותנים גישה ליכולות ניהול כגון הגדרות רשת ושרת.

למרות שפתרון IAM המיושם במלואו מהווה אבן יסוד בבקרת אבטחה, עדיין חסרים בו כמה יכולות כדי לדעת במי יש גישה לאילו נכסים. לדוגמה:

  • חשבונות משותפים המשמשים את הארגון לניהול – פתרונות IAM חסרים את הראות למי יש גישה למערכות אלה ומה מתרחש בעת מי הפעלת חשבונות אלה
  • מערכות IAM טובות ביצירה והסרה של גישה לחשבונות, אך חסרות חשיפה ודיווח כאשר מתבצעת גישה מיוחסת ליישומים ובסיסי נתונים.
  • מכיוון שמערכות IAM מנהלות את הגישה למגוון גדול של קבוצות שונות של מערכות, הן מוגבלות ביכולת הפירוט להגדרת הרשאות גישה ליישום או אפילו פקודה פרטנית. דבר זה עלול ליצור סיכון אבטחה של מתן הרשאות רחבות מדי למנהל מערכת רק כדי לגשת לנכס, יישום, סקריפט או מסד נתונים.
  • מערכות IAM לא יעדו לפקח/לשלוט בפועל על פעילויות חשבונות מיוחסים. היכולת לבקר ולעקוב אחר פעולותיהם של מנהלי מערכות הינה יכולת אבטחה קריטית הנדרשת על ידי תקנות ונבדקת מעת לעת על ידי רואי החשבון בהתאם להוראות רגולטוריות.
  • מערכות IAM אינן יכולות למנוע מתקפת Lateral Movement
  • מערכות IAM אינן כוללות יכולת הקלטה של שיח המשתמש

בדרך כלל מומלץ ליישם בעיקר פתרון PAM ולאחריו פתרון IAM משלים. הסיבה היא שפתרונות PAM לוקחים את האבטחה והתאימות צעד נוסף קדימה (הצפנת הסיסמה, הפרדת השיח בין התחנות השונות – מניעת Lateral Movement והקלטת Session של המשתמש) ומסייעים לצוותי IT להשיג שליטה על משתמשים וחשבונות מיוחסים. כמובן, שניתן ליישם ניהול גישה מיוחסת (PAM) וניהול זהויות וגישה (IAM) באופן בלתי תלוי. אולם בדרך זו מפספסים ערכי מפתח שיכולים להגיע מאינטגרציה של הפתרונות, כגון: קבלת שליטה על גישת משתמשים, ניהול הרשאות וזכויות משתמש תוך התייחסות לדרישות אבטחה ורגולציה/הוראות תאימות.

שילוב של פתרונות IAM ו- PAM עוזר לצוותי IT להשיג נראות, ידע, גישה ושליטה מלאים.

 

המאמר נכתב על ידי גיא חורש, מהנדס פרה-סייל, בינת תקשורת מחשבים.

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן