CyberArk Application Identity Manager (AIM)

Uzyskaj całkowitą kontrolę nad hasłami wbudowanymi w aplikacjach i skryptach obejmując ochroną twoje centrum danych oraz infrastrukturę aplikacyjną.
Rozwiąż problem bezpieczeństwa poprzez eliminację zaszytych w aplikacje i skrypty haseł.
CyberArk Application Identity Manager umożliwia ochronę danych przedsiębiorstwa poprzez eliminację zaszytych w aplikacje, skrypty i pliki konfiguracyjne.

Wyzwanie

W dzisiejszych czasach infrastruktura IT jest bardzo złożona. Duża ilość skryptów, procesów i aplikacji potrzebuje dostępu do wieloplatformowych zasobów, skąd pobierają i zapisują poufne dane. Aplikacje takie działają na podstawie dedykowanych kont (konta serwisowe), w większości konta takie posiadają nieograniczony dostęp do najważniejszych informacji w przedsiębiorstwie. Bardzo często takie tożsamości padają ofiarą ataków kierowanych. Ostatnimi czasy wiele wyrafinowanych ataków było przeprowadzone poprzez kompromitację wbudowanych haseł.
Zabezpieczanie, zarządzanie i automatyczna zamiana wbudowanych i zapisanych lokalnie haseł w znaczącym stopniu zwiększa stopień komplikacji jak i podnosi koszty działów IT. Dlatego też wiele organizacji nigdy nie zmienia wbudowanych haseł lub lokalnie zapisanych kluczy SSH, pozostawiając przedsiębiorstwo narażone na ataki.
Niezarządzanie wbudowanymi hasłami oraz kluczami SSH stanowi wielkie zagrożenie wliczając w to:

Zewnętrzne i wewnętrzne ataki

Hasła do kont serwisowych są niezmieniane, w większości zapisane w jawnym tekście i znane dużej ilości pracowników działu IT, zewnętrznym deweloperom, kontraktorom jak i byłym pracownikom. Ponieważ takie konta posiadają dostęp do systemów wewnętrznych, skompromitowane konto może prowadzić do niekontrolowanego dostępu do bardzo ważnych informacji biznesowych.

Niezdane audyty

Standardy bezpieczeństwa i regulacje przykładają coraz większą uwagę do kont uprzywilejowanych. Obecnie większość regulacji/standardów obejmuje swoim zakresem procesy zarządzania wbudowanymi hasłami.

Przestoje

Aplikacje krytyczne wymagają wysokiej dostępności. Ręczne zarządzanie hasłami w aplikacjach może powodować okresowe przestoje w aplikacjach krytycznych dla biznesu. Co w większości przypadków nie wchodzi w grę. Może powodować utratę wizerunku lub kosztowne przestoje.

 

Rozwiązanie

Chcąc rozwiązać wyżej wymienione problemy, przedsiębiorstwa mogą rotować wbudowane hasła, np. zmiana w plikach konfiguracyjnych przy użyciu CyberArk Enterprise Password Vault. Jest to dobry pierwszy krok w kierunku zabezpieczenia wbudowanych haseł. Jednakże najlepsze praktyki wskazują na całkowitą eliminację wbudowanych haseł. CyberArk Application Identity Manager umożliwia ochronę danych zgromadzonych w aplikacjach biznesowych poprzez eliminację wbudowanych haseł z plików konfiguracyjnych, skryptów i kodu aplikacji. Co więcej rozwiązanie może być wykorzystywane do przechowywania i rotacji kluczy SSH na serwerach. Minimalizując w ten sposób nieautoryzowane użycie. Wykorzystując opatentowaną technologię CyberArk Digital Vault® przedsiębiorstwa mogą w bezpieczny sposób przechowywać hasła do aplikacji oraz klucze SSH. Rotacja kluczy i haseł nie ma wpływu na wydajność krytycznych aplikacji. Rozwiązanie oferuje elastyczne metody instalacji, tak aby sprostać wymaganiom bezpieczeństwa jak i dostępności różnych aplikacji.

 

Application Identity Manager umożliwia organizacjom na:

Ograniczenie wewnętrznych i zewnętrznych zagrożeń

Zabezpieczenie krytycznych systemów biznesowych przechowujących najbardziej wartościowe dane poprzez eliminacje wbudowanych haseł znalezionych w aplikacjach, skryptach i plikach konfiguracyjnych. Dodatkowo poprzez usunięcie z serwerów kluczy SSH wykorzystywanych przez aplikacje i skrypty.

Spełnić wymagania audytu oraz standardów bezpieczeństwa

Bycie zgodnym z wewnętrznymi jak i zewnętrznymi regulacjami, które wymagają regularną zmianę haseł i kluczy SSH. Dodatkowo wprowadzając monitoring dostępu do haseł i kluczy.

Zapewnienie ciągłości biznesowej

Zabezpieczenie podstawowych systemów biznesowych przy wykorzystaniu mechanizmów wysokiej dostępności i wydajności, niezależnej od dostępności sieci. Redukując tym ryzyko przestoju aplikacji.

 

Funkcje Application Identity Manager

Application Identity Manager wykorzystuje opatentowaną przez CyberArk technologię Digital Vault Technology® zaprojektowaną aby spełniała najwyższe wymagania bezpieczeństwa wymagane przy zabezpieczaniu tożsamości uprzywilejowanych oraz haseł.
Application Identity Manager dostarcza szeroki zestaw funkcji potrzebny do zarządzania hasłami oraz kluczami SSH, wliczając w to:

Eliminacja wbudowanych haseł

Organizacje mogą usunąc statyczne hasła z wszystkich skryptów, kodu aplikacji oraz plików konfiguracyjnych, tworząc je niewidocznymi dla deweloperów oraz pracowników wsparcia.

Bezpieczne przechowywanie i rotacja haseł

CyberArk Digital Vault Technology jest wykorzystywana do przechowywania i rotacji tożsamości jednocześnie udostępniając wiele możliwości z zakresu autentykacji, szyfrowania i ochrony danych. Hasła wbudowane i klucze SSH mogą być automatycznie rotowane w oparciu o polityki bez wpływu na wydajność i dostępność aplikacji.

Uwierzytelnianie aplikacji

W celu autoryzacji Application Identity Manager wykorzystuje zaawansowane techniki, m.in. ścieżka uruchomienia, sygnatura (hash aplikacji), system operacyjny i wiele innych, tak aby uwierzytelniać aplikację, która wymaga poświadczeń.

Bezpieczna kopia podręczna tożsamości

Dla krytycznych aplikacji biznesowych w celu zapewnienia wysokiej dostępności i wydajności, niezależnej od sieci.

Wsparcie dla wielu platform

Application Identity Manager jest elastycznym rozwiązaniem, zaprojektowanym aby wspierać duże, różnorodne środowiska.

 

Opcje instalacji Application Identity Manager

W większości przypadków organizacje posiadają zbiór różnych aplikacji począwszy od najbardziej krytycznych takich jak aplikacje web dla użytkowników końcowych a kończąc na mniej krytycznych drobnych aplikacjach. Application Identity Manager jest elastycznym rozwiązaniem zaprojektowanym tak, aby współgrać z różnymi aplikacjami biznesowymi i najlepiej się do nich dostosować. Instalacja może obejmować:

Credential Provider

Rekomendowany dla krytycznych aplikacji biznesowych, które wymagają najwyższego poziomu zabezpieczeń bez redukcji wydajności oraz dostępności. Instalacja Credential Provider obejmuje agenta, który jest instalowany na serwerze aplikacji i komunikuje się poprzez API w celu wyciągnięcia haseł ze skarbca CyberArk. Taki agent zapisuje lokalną kopię tożsamości w celu zapewnienia ciągłego dostępu do kont serwisowych, niezależnie od dostępności sieci czy wydajności.

Application Server Credential Provider

Jest rozwiązaniem zabezpieczającym i zarządzającym strumienie danych w serwerach aplikacji takich jak IBM WebSphere, Orable Weblogic, JBoss, Tomcat. Integracja wymaga jednorazowej konfiguracji i nie wymaga zmiany w kodzie źródłowym aplikacji. Tożsamości mogą być zmieniane na podstawie polityki przedsiębiorstwa, bez przestoju dla aplikacji, zapewniając pełną dostępność.

Central Credential Provider

Jest bez agentowa opcją, która jest rekomendowana dla mniej krytycznych aplikacji. W tej opcji na serwerze aplikacji nie jest wymagany żaden agent. Zamiast tego agent jest instalowany w centralnej lokalizacji i umożliwia obsługę wielu aplikacji. W celu uzyskania tożsamości aplikacje komunikują się poprzez web serwisy z serwerem skarbca CyberArk. W celu redukcji obciążenia skarbca Central Credential Provider zarządza bezpieczną kopią lokalną tożsamości, umożliwia to też wzrost wydajności od strony aplikacji. Moduł ten może być zainstalowany w wielu podsieciach, jak najbliżej aplikacji końcowych. Dodatkowo można używać technologii równoważenia obciążenia. Instalacja nie wymaga instalacji czy modyfikacji na serwerach czy końcówkach, jest też dobrą opcją dla rozwiązań chmurowych i aplikacji desktopowych.

 

Kompletne rozwiązanie

CyberArk Application Identity Manager jest elementem CyberArk Privileged Account Security Solution, który stanowi kompletne rozwiązanie do zabezpieczania, monitorowania, wykrywania, powiadamiania o kontach uprzywilejowanych. Produkty z rodziny CyberArk mogą być zarządzane osobno lub mogą tworzyć kompletne, spójne rozwiązanie dla systemów operacyjnych, baz danych, aplikacji, hiperwizorów, urządzeń sieciowych, aplikacji bezpieczeństwa i wielu innych. Rozwiązania działają w oparciu o technologię CyberArk Shared Technology Platform, która dostarcza bezpieczeństwo na poziomie dużych przedsiębiorstw, umożliwia firmom instalacje pojedynczego elementu a w późniejszym okresie rozszerzanie rozwiązania w celu zapewnienia zmieniających się wymagań biznesowych.

 

By uzyskać dodatkowe informacje skontaktuj się ze specjalistami CyberArk.