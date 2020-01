IT-Sicherheitsspezialist CyberArk hat sein PAM-Portfolio (Privileged-Access- oder auch Privileged-Account-Management) um neue „Just-in-Time“-Funktionen erweitert. Dies soll helfen, mit privilegierten Konten verbundene Risiken weiter zu reduzieren und eine ganzheitliche „Least Privilege“-Strategien umzusetzen.

CyberArks Lösungen ermöglichen Unternehmen laut Hersteller jetzt, privilegierte Zugriffsrechte nur bei Bedarf und nicht länger als nötig zu vergeben – unabhängig vom Benutzertyp, Zielsystem oder von der Umgebung (lokal oder Cloud). Die privilegierten Sessions werden laut dem US-Security-Anbieter automatisch isoliert, aufgezeichnet und in Echtzeit überwacht, um Missbrauch oder auch Seitwärtsbewegungen von Angreifern im Netzwerk zu unterbinden.

Der Hintergrund: IT-Organisationen vergeben privilegierte Konten und Zugangsdaten häufig dauerhaft, obwohl die Zugriffsrechte nur kurzfristig erforderlich sind, so CyberArk. Dies vergrößere die Angriffsfläche unnötig. Das Sicherheitsproblem betreffe vor allem SSH-Keys, die oft schlecht verwaltet und damit leicht zu kompromittieren seien.

Die hauseigene Lösung biete nun eine zeitlich begrenzte SSH-Zertifikat-Authentifizierung, um den Zugriff auf bestehende oder neu erstellte Instanzen in Linux-Systemen zu sichern, ohne dass man Konten und Zugangsdaten manuell verwalten müsste. Der Just-in-Time-Zugang mit Authentifizierung per SSH-Zertifikat stehe über die CyberArk-Lösung Core Privileged Access Security wie auch über das SaaS-Angebot Privilege Cloud bereit.

Mit den Just-in-Time-Bereitstellungs- und -Zugriffsfunktionen im CyberArk-Tool Endpoint Privilege Manager kann eine IT-Organisation laut CyberArk einen lokalen Administratorzugang zu Windows- und Mac-Rechnern sowie zu Unix- und Linux-Servern nach Bedarf für eine bestimmte Zeitdauer gewähren. Auf der Basis von Active-Directory-Berechtigungen könne die IT auch einen temporären Zugriff auf Unix- und Linux-Systeme ermöglichen oder einen zeitlich limitierten Account erstellen, um eine One-Time-Session für autorisierte Benutzer einzurichten. Die Software biete auch eine Integration in den AWS Security Token Service, um temporäre Zugangsdaten mit begrenzten privilegierten Rechten für Nutzer von Amazon IAM (Identity- and Access-Management) anzufordern.

Mit der Lösung Alero, die CyberArk im Juli letzten Jahres vorgestellt hatte, könne die IT Remote-Usern oder Externen wie Drittanbietern und Dienstleistern einen solchen Just-in-Time-Zugang einräumen. Per Integration in gängige ITSM-Suiten (IT-Service-Management) sei es zudem möglich, Anwendern vorübergehend erweiterte Zugriffsrechte zu gewähren, sobald sichergestellt ist, dass der Benutzer ein gültiges offenes Ticket besitzt oder eine manuelle Bestätigung eines autorisierten Mitarbeiters erhalten hat.

Weitere Informationen finden sich unter www.cyberark.com/solutions/just-in-time/