FortiPAM: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
 
(48 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 26: Zeile 26:
</pre>
</pre>
</small>
</small>
=FAQ=
= FAQ =




=== Für was kann ich FortiPAM brauchen? ===
=== Welche Funktionen bietet mir FortiPAM? ===


{| class="wikitable" style="width:1024px"
{| class="wikitable" style="width:1024px"
|- style="background:#89E871"
|- style="background:#89E871"
|colspan="2" style="text-align:left;"|
|colspan="2" style="text-align:left;"|
PAM steht für '''Privileged Access Management'''. Die Hauptfunktionen sind:
PAM steht für '''Privileged Access Management'''. Hauptfunktionen:
|-
|-
|  
|  
'''[[Lizenzierung:FAQ#UTP_Bundle|UTP Bundle]]'''  
'''Manage Privileged Access'''  
|  
|  
''FC-10-XXXXX-950-02-DD''
-Stellt sicher, dass nur autorisierte User Zugang haben <br> -Zugang auf kritische Ressourcen/Prozesse soll  auf so wenige User wie nötig limitiert werden <br> -Gemäss hierarchischer User Roles -> z.B. relevant, wenn Zugänge ausgewählten Third Parties erlaubt werden''
|-
|-
|  
|  
'''[[Lizenzierung:FAQ#Enterprise_Bundle|Enterprise Bundle]]'''  
'''Manage Privileged Credentials'''  
|
|
''FC-10-XXXXX-811-02-DD''
-Stellt sicher, dass Credentials sicher (via Vault) gespeichert, sowie automatisch erstellt und rotiert werden
|-
|
'''Monitor and Record Sessions'''  
|
-Stellt sicher, dass Post-Session-Audits abgerufen werden können (z.B. in Video-Format) <br> -Laufende Zugriffe/Sessions können terminiert werden
|-
|-
|}
|}


PAM steht für '''Privileged Access Management'''. Die Hauptfunktionen sind:
- '''Manage Privileged Access''': Stellt sicher, dass nur autorisierte User Zugang haben -> Zugang auf kritische Ressourcen/Prozess soll  auf so wenig User wie nötig limitiert werden (sog. '''principle of least privilege''') gemäss vorkonfigurierter, hierarchischer Access/User Roles. Dies kann u.a. dnn relevant sein, wenn z.B. Prozesse und deren Zugänge an Third Parties ausgelagert werden.
- '''Manage Privileged/Account Credentials''': Stellt sicher, dass Credentials sicher (via Vault) gespeichert, sowie automatisch erstellt und rotiert werden
- '''Monitor and Record Sessions''': Stell sicher, dass sog. '''''Post-Session-Audits''''' abgerufen werden können (z.B. in Video-Format), auch können laufende Zugriffe/Sessions in Echtzeit terminiert werden
Wie oben erwähnt, basiert '''Manage Privileged Access''' u.a. auf vorkonfiguriertem User Management bzw. User Roles (auch User Groups sind möglich). Hier ist die Anbindung von lokalen und remote Usern (u.a. RADIUS, AD/LDAP, SAML IdP) möglich. Auch eine SSO-Anbindung ist möglich, jedoch nicht empfohlen aufgrund der Kritikalität, weil PAM idR sehr «heikle» Daten mit sich trägt, und auf einem einzigen System konzentriert. Technisch aber machbar gemäss AdminGuide: https://docs.fortinet.com/document/fortipam/1.4.1/administration-guide/519315/saml-single-sign-on-sso
FortiPAM bietet folgende vor-definierte User Rollen:
- '''Guest User''': kann SECRETS nur sehen/lesen, sehr beschränkt
- '''Standard User''': kann auf SECRETS abrufen und starten, nur basic


- '''Power User''': kann SECRETS abrufen und starten, und deren Grundeinstellungen verwalten
FortiPAM bietet folgende vor-definierte User Roles:


- '''Administrator''': kann FortiPAM als Ganzes vewalten und konfigurieren
- '''Guest User''': kann Secrets nur beschränkt sehen (read-only)
- '''Standard User''': kann "einfache" Secrets abrufen und starten
- '''Power User''': kann Secrets abrufen, sowie deren Grundeinstellungen verwalten
- '''Administrator''': kann FortiPAM als Ganzes verwalten und konfigurieren
+ '''Break Glass (Emergency Account)''': kann direkten Zugriff auf SECRETS gewähren (ohne Autorisierung)
----
<small>add 17.10.2024 - CHri5</small>


- Break Glass (Emergency Account): Normaler Zugang wird umgangen, und dirketer Zugriff auf SECRETS wwuird gwährt (ohne Authorisierung)


=== Welche Komponenten bietet mir FortiPAM? ===
=== Aus welchen Komponenten besteht FortiPAM? ===


[[Datei:Fortinet-0078.jpg|800px|link=]]
[[Datei:Fortinet-0078.jpg|800px|link=]]


Die Hauptkomponente eines FortiPAM-Szenarios sind die sog. SECRETS. SECRET = Sammlung von Credentials für ein spezifisches Ziel-System via spezfischer Zugangs-Protokoll (im FortiPAM) gespeichert.
{| class="wikitable" style="width:1024px"
 
|- style="background:#89E871"
 
|colspan="2" style="text-align:left;"|
SECRET Launcher: Interaktives Script welches Applikationen auf end-User Geräten startet, ubden es die (auf FortiPAM) gespeicherten Credentials verwendet -> hier wird auch User-Typ bestimmt (Plug-In, FortiClient etc.)
FortiPAM-Komponenten:
 
|-
SECRET Launchers auf Server Side:
|
 
'''Secrets''' (= Hauptkomponente)
- SSH Servers
|
- RDP Servers
-Sammlung von Credentials für ein spezifisches Ziel-System via spezifischer Zugangs-Protokolle
- VNC Servers
|-
- Network Devices
|
- Web Appas
'''Secret Launcher (generell)'''
 
|
SECRET Launchers auf Client Side:
-Interaktives Script, welches Applikationen startet und die (auf FortiPAM) gespeicherten Credentials verwendet <br>
-Mit diesen Scirpts kann auch die Zugriffsart bestimmt werden (z.B. Zugriff via Browser-Extension und/oder Zugriff via FortiClient)
|-
|
'''Secret Launcher (Server Side)'''
|
-Z.B: SSH Servers, RDP Servers, VNC Servers, Network Devices, Web Apps
|-
'''Secret Launcher (Client Side)'''
|
-Default Native app launchers: Putty, WINSCP, Remote Desktop, MSTSC, VNC viewer, TightVNC <br>
-Default Web-based launchers: Web-SSH, Web-RDP, Web-VNC, Web-SFTP, Web-SMB
|-
|}


- Default Native App launchers: Putty, WINSCP, Remote Desktop, MSTSC, VNC Viewer, TightVNC
- Default Web-based launchers: Web-SSH, Web-RDP, Web-VNC, Web-SFTP, Web-SMB




Zeile 104: Zeile 110:


- Session Recording (Video): Sessions auf dem (Ziel)Server werden aufgezeichnet, Klick-Aktivitäten werden aufgzeichnet
- Session Recording (Video): Sessions auf dem (Ziel)Server werden aufgezeichnet, Klick-Aktivitäten werden aufgzeichnet


=== Welche Deployment-Optionen bietet mir FortiPAM? ===
=== Welche Deployment-Optionen bietet mir FortiPAM? ===

Aktuelle Version vom 17. Oktober 2024, 13:46 Uhr

Fortinet:FortiPAM

Vorwort

Diese Seite erklärt das FortiPAM Produkt

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Welche Funktionen bietet mir FortiPAM?

PAM steht für Privileged Access Management. Hauptfunktionen:

Manage Privileged Access

-Stellt sicher, dass nur autorisierte User Zugang haben
-Zugang auf kritische Ressourcen/Prozesse soll auf so wenige User wie nötig limitiert werden
-Gemäss hierarchischer User Roles -> z.B. relevant, wenn Zugänge ausgewählten Third Parties erlaubt werden

Manage Privileged Credentials

-Stellt sicher, dass Credentials sicher (via Vault) gespeichert, sowie automatisch erstellt und rotiert werden

Monitor and Record Sessions

-Stellt sicher, dass Post-Session-Audits abgerufen werden können (z.B. in Video-Format)
-Laufende Zugriffe/Sessions können terminiert werden


FortiPAM bietet folgende vor-definierte User Roles: 

- Guest User: kann Secrets nur beschränkt sehen (read-only)
- Standard User: kann "einfache" Secrets abrufen und starten
- Power User: kann Secrets abrufen, sowie deren Grundeinstellungen verwalten
- Administrator: kann FortiPAM als Ganzes verwalten und konfigurieren
+ Break Glass (Emergency Account): kann direkten Zugriff auf SECRETS gewähren (ohne Autorisierung)

add 17.10.2024 - CHri5


Aus welchen Komponenten besteht FortiPAM?

Fortinet-0078.jpg

Secret Launcher (Client Side)

FortiPAM-Komponenten:

Secrets (= Hauptkomponente)

-Sammlung von Credentials für ein spezifisches Ziel-System via spezifischer Zugangs-Protokolle

Secret Launcher (generell)

-Interaktives Script, welches Applikationen startet und die (auf FortiPAM) gespeicherten Credentials verwendet
-Mit diesen Scirpts kann auch die Zugriffsart bestimmt werden (z.B. Zugriff via Browser-Extension und/oder Zugriff via FortiClient)

Secret Launcher (Server Side)

-Z.B: SSH Servers, RDP Servers, VNC Servers, Network Devices, Web Apps

-Default Native app launchers: Putty, WINSCP, Remote Desktop, MSTSC, VNC viewer, TightVNC
-Default Web-based launchers: Web-SSH, Web-RDP, Web-VNC, Web-SFTP, Web-SMB



SECRET Policy: Ermöglicht das Konfigurieren von SECRET-Einstellungen

- Hier findet u.a das Password Managemnt, Sessin REcording, Tunnel Encryption, AntiVirus Scan, DLP Scan, Checkout etc. statt. - AV wird auf «Files in Transit» angewendet, d.h. wenn z.b. Firmware Images, Script Files, Executables oder anderes up-/downloaded werden

- Approval Feature: Falls ein SECRET mit einer Approval Policy konfiguriert ist, muss das approval gutgeheissen werden, bevor der User auf das Secret zugrefen kann -> hier wird gemäss User/User-Gruppen-Hierarechien -> minmale Anzahl an Approvals kann festgelegt werden

- Checkout Feature: User könne z.B. auf SECRETS zuggreifen, nachdem eine bestimmte Checkout-Zeit abgelaufen ist

- Session Recording (Video): Sessions auf dem (Ziel)Server werden aufgezeichnet, Klick-Aktivitäten werden aufgzeichnet

Welche Deployment-Optionen bietet mir FortiPAM?

FortiPAM funktioniert idR in Kombination mit einem Client. FortiPAM bietet jedoch folgende Setup Optionen:

- No agent, no Browser Extension (Windows, Linux, Mac)

- Browser, Extension only (Windows, Linux, Mac)

- Free PAM-only FortiClient (Windows, Mac)

- Standard FortiClient with PAM (Windows)

+ Kombination mit FortiClient ZTNA ist sinnvoll

Fortinet-0079.jpg


Mehr Infos zur Lizenzierung im folgenden WIKI Artikel

Info.svg

Offizielles Dokument von Fortinet: Datei:FortiPAM Intro.pdf


Seite befindet sich im Aufbau

add 17.10.2024 - CHri5

Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=FortiPAM&oldid=40398