FortiPAM: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Zeile 37: Zeile 37:
|-
|-
|  
|  
'''[[Lizenzierung:FAQ#UTP_Bundle|UTP Bundle]]'''  
'''Manage Privileged Access'''  
|  
|  
''FC-10-XXXXX-950-02-DD''
''Stellt sicher, dass nur autorisierte User Zugang haben -> Zugang auf kritische Ressourcen/Prozess soll  auf so wenig User wie nötig limitiert werden (sog. '''principle of least privilege''') gemäss vorkonfigurierter, hierarchischer Access/User Roles. Dies kann u.a. dnn relevant sein, wenn z.B. Prozesse und deren Zugänge an Third Parties ausgelagert werden.D''
|-
|-
|  
|  

Version vom 17. Oktober 2024, 12:19 Uhr

Fortinet:FortiPAM

Vorwort

Diese Seite erklärt das FortiPAM Produkt

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Für was kann ich FortiPAM brauchen?

PAM steht für Privileged Access Management. Die Hauptfunktionen sind:

Manage Privileged Access

Stellt sicher, dass nur autorisierte User Zugang haben -> Zugang auf kritische Ressourcen/Prozess soll auf so wenig User wie nötig limitiert werden (sog. principle of least privilege) gemäss vorkonfigurierter, hierarchischer Access/User Roles. Dies kann u.a. dnn relevant sein, wenn z.B. Prozesse und deren Zugänge an Third Parties ausgelagert werden.D

Enterprise Bundle

FC-10-XXXXX-811-02-DD

PAM steht für Privileged Access Management. Die Hauptfunktionen sind:

- Manage Privileged Access: Stellt sicher, dass nur autorisierte User Zugang haben -> Zugang auf kritische Ressourcen/Prozess soll auf so wenig User wie nötig limitiert werden (sog. principle of least privilege) gemäss vorkonfigurierter, hierarchischer Access/User Roles. Dies kann u.a. dnn relevant sein, wenn z.B. Prozesse und deren Zugänge an Third Parties ausgelagert werden.

- Manage Privileged/Account Credentials: Stellt sicher, dass Credentials sicher (via Vault) gespeichert, sowie automatisch erstellt und rotiert werden

- Monitor and Record Sessions: Stell sicher, dass sog. Post-Session-Audits abgerufen werden können (z.B. in Video-Format), auch können laufende Zugriffe/Sessions in Echtzeit terminiert werden

Wie oben erwähnt, basiert Manage Privileged Access u.a. auf vorkonfiguriertem User Management bzw. User Roles (auch User Groups sind möglich). Hier ist die Anbindung von lokalen und remote Usern (u.a. RADIUS, AD/LDAP, SAML IdP) möglich. Auch eine SSO-Anbindung ist möglich, jedoch nicht empfohlen aufgrund der Kritikalität, weil PAM idR sehr «heikle» Daten mit sich trägt, und auf einem einzigen System konzentriert. Technisch aber machbar gemäss AdminGuide: https://docs.fortinet.com/document/fortipam/1.4.1/administration-guide/519315/saml-single-sign-on-sso

FortiPAM bietet folgende vor-definierte User Rollen:

- Guest User: kann SECRETS nur sehen/lesen, sehr beschränkt

- Standard User: kann auf SECRETS abrufen und starten, nur basic

- Power User: kann SECRETS abrufen und starten, und deren Grundeinstellungen verwalten

- Administrator: kann FortiPAM als Ganzes vewalten und konfigurieren

- Break Glass (Emergency Account): Normaler Zugang wird umgangen, und dirketer Zugriff auf SECRETS wwuird gwährt (ohne Authorisierung)

Welche Komponenten bietet mir FortiPAM?

Fortinet-0078.jpg

Die Hauptkomponente eines FortiPAM-Szenarios sind die sog. SECRETS. SECRET = Sammlung von Credentials für ein spezifisches Ziel-System via spezfischer Zugangs-Protokoll (im FortiPAM) gespeichert.


SECRET Launcher: Interaktives Script welches Applikationen auf end-User Geräten startet, ubden es die (auf FortiPAM) gespeicherten Credentials verwendet -> hier wird auch User-Typ bestimmt (Plug-In, FortiClient etc.)

SECRET Launchers auf Server Side:

- SSH Servers - RDP Servers - VNC Servers - Network Devices - Web Appas

SECRET Launchers auf Client Side:

- Default Native App launchers: Putty, WINSCP, Remote Desktop, MSTSC, VNC Viewer, TightVNC - Default Web-based launchers: Web-SSH, Web-RDP, Web-VNC, Web-SFTP, Web-SMB


SECRET Policy: Ermöglicht das Konfigurieren von SECRET-Einstellungen

- Hier findet u.a das Password Managemnt, Sessin REcording, Tunnel Encryption, AntiVirus Scan, DLP Scan, Checkout etc. statt. - AV wird auf «Files in Transit» angewendet, d.h. wenn z.b. Firmware Images, Script Files, Executables oder anderes up-/downloaded werden

- Approval Feature: Falls ein SECRET mit einer Approval Policy konfiguriert ist, muss das approval gutgeheissen werden, bevor der User auf das Secret zugrefen kann -> hier wird gemäss User/User-Gruppen-Hierarechien -> minmale Anzahl an Approvals kann festgelegt werden

- Checkout Feature: User könne z.B. auf SECRETS zuggreifen, nachdem eine bestimmte Checkout-Zeit abgelaufen ist

- Session Recording (Video): Sessions auf dem (Ziel)Server werden aufgezeichnet, Klick-Aktivitäten werden aufgzeichnet


Welche Deployment-Optionen bietet mir FortiPAM?

FortiPAM funktioniert idR in Kombination mit einem Client. FortiPAM bietet jedoch folgende Setup Optionen:

- No agent, no Browser Extension (Windows, Linux, Mac)

- Browser, Extension only (Windows, Linux, Mac)

- Free PAM-only FortiClient (Windows, Mac)

- Standard FortiClient with PAM (Windows)

+ Kombination mit FortiClient ZTNA ist sinnvoll

Fortinet-0079.jpg


Mehr Infos zur Lizenzierung im folgenden WIKI Artikel

Info.svg

Offizielles Dokument von Fortinet: Datei:FortiPAM Intro.pdf


Seite befindet sich im Aufbau


add 17.10.2024 - CHri5