https://store-images.s-microsoft.com/image/apps.4483.7e83fd6c-51c7-4e90-bc30-3fdddeac267f.99e93c80-c707-4928-9a25-61cc2960fce5.ee0c0b0e-47ed-4a07-9213-53cd71ca3923

Priviliged Identity Management in Active Directory omgevingen

by RawWorks

Met deze tool is het mogelijk om PIM op bestaande active directory's uit te voeren

PRIVILEGED IDENTIY MANAGEMENT

Bij Privileged Identity Management (PIM) as a service wordt een dienst geleverd waarbij op basis van een PowerApp gebruikers van de IT-omgeving beheerders rechten via de Active Directory van de on-premisses omgeving kunnen aanvragen. Doel van deze tool is het onder controle houden van het aantal beheerders en het kunnen aantonen wie, wanneer beheerders rechten heeft aangevraagd. De rechten zijn onder te verdelen in verschillende gradaties en types. Deze worden in overleg met de klant ingeregeld via het security model.


WELKE PROBLEMEN LOST DEZE DIENST OP?

  • Beperken van het aantal (domain) administrator accounts bij klanten

  • Traceerbaar wie wanneer rechten heeft aangevraagd waarvoor en wie heeft goedgekeurd

  • Aanvragen via powerapp/micro-app

  • Dienst per maand opzegbaar

  • Koppeling met SOC/Siem dienst mogelijk

  • Accounts worden aangemaakt en verwijderd dus geen vervuiling

VOOR WELKE TYPE KLANTEN IS DEZE DIENST INTERESSANT

Voor bedrijven of instellingen die:

  • Degene die nog een on-premisses (Microsoft) IT omgeving hebben

  • Degene die geen IAM tooling (of onvoldoende) in place hebben voor beheeraccounts

  • Degene die auditing van beheer accounts niet (of onvoldoende) op orde hebben


DELIVERY VORMEN

PIM as a service wordt in twee vormen geleverd:

  • Als dienst vanuit de omgeving van RawWorks.

De service draait in de beveiligde cloudomgeving van RawWorks en wordt centraal beheerd en gepatched

  • Als dienst vanuit de klantomgeving (tegen meerprijs)

De service draait in de cloudomgeving van de klant. Hiervoor is aanschaf extra licenties en extra kosten voor beheer (ivm decentraal beheer) noodzakelijk

Verwante diensten:

Bovenop deze dienst werken we vanuit de

  • Cloud Tribe aan

  • Een IaC Landing Zone in Azure (straks ook in AWS)

  • OneSecure

  • Competence as a service

  • Workspace Tribe aan

  • Een IaC Workspace (die noemen we de DevOps Workspace).

  • Een datalake-as-a-Service,

INHOUD VAN DE DIENST

Bij Privileged Identity Management wordt een beheerschil om het beheren van de diverse soorten beheer (administrator) accounts gelegd. Hierdoor kunnen medewerkers die beheerrechten benodigd zijn op de on-premisses omgeving deze aanvragen via een PowerApp/Micro-app Vooraf worden met de klant de rollen besproken en in het security model gezet. Hierdoor is duidelijk wie welke rol kan aanvragen en wie deze kan goedkeuren (indien nodig). De borging van dit proces wordt in het model opgenomen en op basis hiervan wordt de tooling ingericht.

De aanvraag wordt gedaan via een micro-app/powerapp. Deze trapt onderwater via een pipeline de benodigde scripts af waar via parameters is aangegeven vanuit het security model wat de rollen zijn en wie deze aan mag vragen. Er wordt in de active directory op basis van een templateaccount een nieuw administrator account aangemaakt. De logingegevens van het account worden via mail (en wachtwoord via bijv. sms) verstuurd. Indien nodig is het ook mogelijk om bestaande beheeraccounts aan en uit te zetten (voor bijvoorbeeld toegang tot andere beheerportalen van bijvoorbeeld firewalls welke aan ad gekoppeld zijn). In geval van storingen binnen de Azure infrastructuur of internet is het verstandig een “break the glass” account in de kluis te leggen zodat beheer toch mogelijk blijft.

VOORDELEN VAN DE DIENST

Als dienst af te nemen en per maand opzegbaar

  • Controle en audit op wie wanneer beheersrechten benodigd is

  • Minimalisatie van attack surface op beheer accounts


At a glance

https://store-images.s-microsoft.com/image/apps.385.7e83fd6c-51c7-4e90-bc30-3fdddeac267f.99e93c80-c707-4928-9a25-61cc2960fce5.7c27fcda-e89f-4429-90c4-9e82007bb9c9
/staticstorage/linux/20241105.1/assets/videoOverlay_7299e00c2e43a32cf9fa.png
https://store-images.s-microsoft.com/image/apps.385.7e83fd6c-51c7-4e90-bc30-3fdddeac267f.99e93c80-c707-4928-9a25-61cc2960fce5.7c27fcda-e89f-4429-90c4-9e82007bb9c9