Leur principal objet est de minimiser le risque de violations de sécurité, surtout celles résultant d’un vol d’identifiants ou d’un abus de privilèges ciblant des comptes sensibles. Les administrateurs informatiques, les équipes de sécurité et d’autres utilisateurs y recourent souvent lorsqu’ils doivent exécuter des tâches privilégiées. Un tel poste peut aussi servir à fournir un accès à distance à des systèmes privilégiés, aidant à réduire le risque d’exposition.
Les utilisateurs autorisés disposent de ces postes pour obtenir un accès administratif à des comptes privilégiés via un outil PAM, qui gère et régit l’accès à des terminaux sensibles.
Ces postes sont des machines dédiées, renforcées via une stratégie multiniveau pour offrir une sécurité maximale des comptes et des ressources privilégiés. On les configure en général avec plusieurs contrôles de sécurité, notamment :
seule une série prédéfinie d’applications et de commandes sont exécutables sur un poste. Cela réduit la surface d'attaque en réservant ces environnements à certains utilisateurs.
les postes sont habituellement isolés du reste du réseau, rendant plus difficile leur atteinte par un attaquant.
l’utilisateur doit s’authentifier via la MFA pour accéder à un poste.
les postes sont configurés avec des bonnes pratiques de sécurité, comme la tenue à jour des logiciels et la désactivation des services inutiles.
Les postes servant spécialement à un accès privilégié, on ne peut pas les utiliser pour des tâches générales, comme la navigation Web, le courrier électronique, la collaboration d’équipe et d’autres usages. De plus, ils comportent des applications autorisées et d’autres formes de restrictions administratives, n’acceptant donc pas des connexions de réseaux ou d’appareils externes. Des solutions PAM offrent tous ces contrôles..
Lorsqu'une machine d'un réseau, telle qu'un client, tente d'établir une connexion avec une autre machine, le client demandera de vérifier l'identité de la machine du périphérique ou de la charge de travail auquel il tente de se connecter.
Le processus par lequel une machine, qu'il s'agisse d'un appareil ou d'une charge de travail, valide l'identité d'une autre machine est appelé authentification de machine à machine.
Il est fortement recommandé d'appliquer des politiques strictes lors de la configuration de l'authentification machine à machine lors de la gestion de l'identité des machines.
Voici des contrôles vitaux qu’une solution PAM doit offrir pour les postes de travail à accès privilégié.
renforce le degré de sécurité en imposant plusieurs niveaux et modes d’authentification.
recense, intègre, gère et partage automatiquement les comptes et les identifiants privilégiés appartenant à différents types de terminaux, comme des systèmes d’exploitation, des bases de données, des applications, des périphériques réseau, des hyperviseurs, etc. Applique des contrôles d’accès précis, permettant uniquement aux utilisateurs autorisés de se connecter et d’exécuter certaines tâches privilégiées.
analyse, enregistre et archive les sessions privilégiées. Vérifie ces sessions en temps réel pour faciliter l’audit forensique et arrête automatiquement les sessions lorsqu’une activité utilisateur malveillante est détectée.
utilise leprincipe du privilège minimum, veillant à octroyer aux utilisateurs un accès à des comptes et des ressources sensibles selon leurs rôles et besoins.
fournit aux utilisateurs un accès élevé à durée limitée à des terminaux privilégiés selon leurs besoins. Il s’agit d’un élément clé d’une solution PAM, permettant de révoquer les privilèges et faire tourner les mots de passe des terminaux sensibles après chaque utilisation.
offre un accès sécurisé d’un clic de postes de travail à des terminaux distants, les administrateurs pouvant ainsi accéder à des systèmes sensibles d’autres endroits sans nuire à la sécurité.
applique des stratégies de mots de passe selon les besoins de sécurité internes et offre des outils de suivi pour démontrer la conformité avec les normes sectorielles et de l’entreprise.
permet aux utilisateurs d’exécuter des applications et des commandes autorisées avec divers niveaux de privilèges pour réduire le risque de programmes malveillants.
analyse constamment les utilisateurs et les appareils selon de nombreux paramètres de sécurité pour établir des notes de confiance. Utilise ces notes pour générer automatiquement des stratégies d’accès selon l’état de sécurité. Exploite l’analyse comportementale et l’APPRENTISSAGE AUTOMATIQUE pour identifier des modèles comportementaux inhabituels et isoler de façon proactive les menaces.