Cyber-Ark On-Demand Privileges Manager
Lösung zur zentralen Verwaltung von sudo-Rechten

Mit dem „sudo“-Kommando können wichtige Unix-Befehle auch ohne Kenntnis des Root-Passwortes ausgeführt werden. Bei einer großen Anzahl von Unix-Systemen ist die „sudo“-Verwaltung aber sehr aufwändig, weil sie auf jedem Server lokal erfolgen muss. Eine Lösung soll der neue On-Demand Privileges Manager von Cyber-Ark bieten, der eine granulare Vergabe von Administratorrechten ermöglicht.

In vielen Unternehmen haben Admins, Anwendungsentwickler oder Datenbankverantwortliche permanente Sonderrechte (Superuser), agieren aber vollkommen anonym. Sie erhalten oft dauerhaft Zugriff auf geschäftskritische Systeme und Daten, die sie für ihre tägliche Arbeit jedoch nicht immer benötigen. In Unix-Umgebungen wird dabei vielfach das Kommando „sudo“ (super user do) genutzt. Es wird verwendet, um Administrationsaufgaben auch ohne Kenntnis des Root-Passwortes mit Root-Rechten durchzuführen. Im Unterschied zur Nutzung des Kommandos „su“ (switch user) wird die Aktion im Kontext des personalisierten User-Accounts ausgeführt.

In großen Firmen ist der „sudo“-Administrationsaufwand extrem hoch, weil die Konfiguration lokal auf jedem einzelnen Server und damit zeitaufwändig erfolgen muss. Das wird immer dann zu einer Herausforderung, wenn ein neuer Administrator in das Konzept eingebunden werden muss oder wenn ein Mitarbeiter das Team wechselt und dadurch andere Rechte benötigt. Zudem ist die Verwendung von „sudo“ unter Sicherheitsaspekten problematisch, da die „sudo“-Aktivitäten lokal protokolliert werden und damit leicht vom Root-Benutzer selbst manipuliert werden können. Unternehmen müssen daher den Administrationsaufwand reduzieren und ihre Superuser dahingehend überwachen, wer zu welchem Zeitpunkt und zu welchem Zweck auf kritische Systeme und Daten zugreift.

Eine Lösung für diese Anforderung soll der On-Demand Privileges Manager von Cyber-Ark bieten, der die On-Demand-Bereitstellung von privilegierten Berechtigungen ermöglicht. Vorteil der Lösung: Provisioning (Vergabe) und De-Provisioning (Rücknahme) von Rechten erfolgen von einer zentralen Stelle aus und können auf einzelne User oder ganze Gruppen angewendet werden.

Durch die granulare Vergabe von Superuser-Privilegien, wie sie Unix- und Linux-Administratoren sowie Root-User benötigen, kann die Sicherheit im Unternehmen deutlich erhöht werden. Die granulare Vergabe ermöglicht dabei eine Beschränkung der Zugriffsberechtigungen von Superusern auf bestimmte Aufgaben und Befehle. Damit werden auch die Gefahren reduziert, die sich aus einem Insider-Datenmissbrauch oder durch menschliche Fehler ergeben. Zudem bietet die Lösung eine volle Kontrolle der Superuser-Aktivitäten im gesamten Unternehmen: Alle während einer privilegierten Sitzung eingegebenen Befehle sowie der gesamte System-Output werden protokolliert und revisionssicher gespeichert.

Der On-Demand Privileges Manager ist Bestandteil der Privileged Identity Management Suite von Cyber-Ark, einer modularen Softwarelösung für die Verwaltung, Sicherung und Überwachung privilegierter Benutzerkonten und damit verbundener Aktivitäten. (Quelle: Cyber-Ark Software Ltd./GST)