Privilege elevation and delegation management (PEDM) atau peningkatan hak istimewa dan manajemen delegasi adalah kategori Privileged Access Management (PAM) yang mencakup kontrol penting untuk memberikan akses administratif yang menyeluruh dan sementara pada pengguna non-admin ke aplikasi, resource, script, dan sistem penting. PEDM memungkinkan tim IT Anda menerapkan prinsip least privilege, yaitu pemberian hak istimewa sewajarnya bagi user agar dapat menyelesaikan pekerjaannya. Prinsip ini membantu menghilangkan risiko standing privilege yang seringkali berkaitan dengan akun istimewa yang usang, tidak dikelola, dan tidak lagi digunakan.
PEDM menjadi komponen penting dalam software PAM
Terkadang, non-admin user, seperti developer, membutuhkan privilege yang lebih tinggi untuk mendapatkan akses administratif ke resource penting. Dalam situasi seperti itu, tim IT membutuhkan metode untuk meningkatkan privilege sementara dan mencabutnya kembali setelah user menyelesaikan tugas mereka.
Meskipun solusi Privileged Account and Session Management (PASM) dapat memberikan akses sementara ke akun yang penting, akses tersebut hanya dapat diberikan secara keseluruhan atau tidak sama sekali. Dalam kasus ini, user biasanya dipetakan ke akun admin sementara yang dikenal sebagai ephemeral account. Akun ini akan memberi user akses administratif penuh ke resource yang mereka perlukan, termasuk aplikasi dan aset yang sebenarnya tidak boleh diakses atau tidak perlu mereka akses untuk menyelesaikan tugas. Selain itu, jika ephemeral account ini dibagikan ke lebih banyak user, atau lebih buruk lagi jika salah satu dari akun tersebut disusupi, penyerang dapat memanfaatkannya untuk menavigasi jaringan dan sistem dengan privilege tanpa terdeteksi.
PEDM mengatasi masalah ini dengan mengizinkan user mengakses resource dan aplikasi yang sensitif melalui pendekatan berbasis waktu dan permintaan (time and request-based approach). Elevated privilege diberikan sementara kepada user untuk mengakses resource yang mereka butuhkan dalam jangka waktu tertentu. Setelah waktu yang ditentukan habis, privilege tersebut dicabut dan kredensial dari privileged account akan dirotasi. Hal ini dilakukan untuk mencegah upaya akses tidak sah di masa mendatang dan membersihkan standing privilege yang dapat dieksploitasi oleh penyerang atau bahkan pihak internal yang tidak bertanggung jawab.
Kelola user privilege dengan kemampuan PEDM ManageEngine PAM360
Kemampuan PEDM ManageEngine PAM360 memungkinkan tim IT untuk menetapkan kontrol granular dan visibilitas atas user privilege dengan menyertakan just-in-time and self-service privilege elevation untuk akun Windows local dan domain. Dengan begitu, Anda dapat memberikan privilege yang lebih tinggi kepada user agar mereka dapat mengakses aplikasi, sistem, script, dan proses tertentu untuk periode yang ditentukan. Pemberian akses ini dikontrol dengan ketat menggunakan prinsip least privilege, sehingga tim IT dapat memberikan hak istimewa yang cukup bagi non-admin user untuk menjalankan aktivitas mereka.
Jenis-jenis kemampuan PEDM yang ditawarkan oleh PAM360
PAM360 menawarkan dua pilihan untuk meningkatkan hak istimewa, yaitu dengan agent (agent-based) dan tanpa agen (agentless). Dalam mode agentless, yang dikenal sebagai just-in-time privilege elevation, user dengan kebutuhan akses yang valid akan secara otomatis ditambahkan ke local security group untuk mendapatkan akses sementara ke sistem target. Setelah periode akses mereka berakhir, hak istimewa mereka akan dikembalikan seperti semula. Tak hanya itu, domain user account juga dapat ditambahkan ke domain security group melalui integrasi dengan solusi manajemen Active Directory dari ManageEngine, yaitu ADManager Plus. Pelajari lebih lanjut tentang cara kerja fitur PEDM just-in-time dari PAM360.
Di sisi lain, pendekatan peningkatan hak istimewa (privilege elevation) berbasis agent dikenal sebagai self-service privilege elevation. Pendekatan ini diaktifkan dengan menginstal dan mengonfigurasi self-service privilege elevation agent di endpoint target. Pelajari lebih lanjut tentang cara kerja pendekatan ini.
