قابلیتهای نرمافزار PAM360
PAM360 یک راهکار جامع مدیریت دسترسیهای پرامتی (Privileged Access Management) است که سازمانها را قادر میسازد تا دسترسی به حسابهای حساس، سرورها، پایگاههای داده، برنامهها و زیرساختهای شبکه را بهصورت امن، متمرکز و قابل ممیزی مدیریت کنند.
با PAM360، سازمانها میتوانند:
- مدیریت گذرواژههای پرامتی را خودکار کنند و از ایجاد خطاهای انسانی جلوگیری کنند.
- دسترسیها را بر اساس سیاستهای امنیتی کنترل و محدود کنند، حتی برای کاربران با دسترسی بالا.
- جلسات پرامتی را ضبط و نظارت کنند تا هر فعالیت قابل ردیابی و امن باشد.
- ادغام با ابزارهای DevSecOps و CI/CD داشته باشند تا کلیدها و توکنها در فرآیندهای اتوماسیون بهصورت امن مدیریت شوند.
- گواهیها و SSL را مدیریت و از آسیبپذیریهای امنیتی جلوگیری کنند.
PAM360 با ارائه امکاناتی مثل احراز هویت چندمرحلهای، کنترل دسترسی برنامهها، اتوماسیون وظایف پرامتی و گزارشگیری پیشرفته، نهتنها امنیت را تقویت میکند بلکه عملیات روزانه تیمهای IT و امنیت را ساده و قابل اعتماد میسازد.
به بیان ساده، PAM360 پلی بین امنیت و بهرهوری سازمان است که دسترسیهای حساس را تحت کنترل کامل نگه میدارد و ریسکهای امنیتی را به حداقل میرساند.
بخش ادمین PAM360
مدیریت و کنترل دسترسیهای پرامتی به سیستمها، سرورها و اپلیکیشنها به یکی از حیاتیترین چالشهای امنیتی تبدیل شده است. دسترسیهای پرامتی، دروازه ورود به منابع حیاتی سازمان هستند و هر نقص در مدیریت آنها میتواند تهدیدی جدی برای امنیت دادهها، عملکرد سیستمها و تداوم کسبوکار ایجاد کند.
PAM360 بهعنوان یک پلتفرم جامع مدیریت دسترسیهای پرامتی، این چالش را به فرصت تبدیل میکند. با امکانات گستردهای همچون مدیریت هوشمند گذرواژهها، احراز هویت چندمرحلهای، کنترل جلسات پرامتی، و ادغام با ابزارهای CI/CD و DevSecOps، PAM360 نه تنها امنیت را تضمین میکند بلکه فرآیندهای عملیاتی را نیز ساده و خودکار میسازد.
برای یک ادمین PAM360، این ابزار حکم فرماندهی مرکز امنیت سازمان را دارد: مشاهده و مدیریت منابع حیاتی، تعریف سیاستهای دسترسی، نظارت بر جلسات حساس و اطمینان از رعایت بهترین استانداردهای امنیتی. به عبارتی، ادمین PAM360 پلی است میان فناوری و امنیت، که با شفافیت و کنترل کامل، سازمان را از تهدیدات داخلی و خارجی محافظت میکند.
در این بخش، با ابزارها، قابلیتها و تنظیمات کلیدی ادمین PAM360 آشنا خواهید شد تا بتوانید دسترسیهای پرامتی را به صورت امن، هوشمند و قابل ممیزی مدیریت کنید.
۱. احراز هویت (Authentication)
| عنوان | توضیح جامع | مثال کاربردی |
|---|---|---|
| Active Directory | PAM360 میتواند به دایرکتوری فعال ویندوز متصل شود تا کاربران، گروهها و کامپیوترها را شناسایی و مدیریت کند. این اتصال باعث میشود نیازی به ایجاد کاربران جداگانه در PAM نباشد. | وقتی کاربر جدیدی به دامین اضافه میشود، حساب او به طور خودکار در PAM360 قابل مشاهده و مدیریت است. |
| Microsoft Entra ID | اتصال به هویت ابری مایکروسافت (Azure AD سابق) برای احراز هویت کاربران و دسترسی به منابع ابری و داخلی. | وقتی سازمان از Office 365 استفاده میکند، کاربران میتوانند با همان حساب ابری وارد PAM360 شوند. |
| LDAP | پروتکل دسترسی به دایرکتوری برای مدیریت کاربران و گروهها، مشابه Active Directory ولی منعطفتر برای دایرکتوریهای غیر ویندوزی. | اتصال به OpenLDAP برای شناسایی کاربران و گروههای لینوکس. |
| SAML Single Sign-On | ورود یکپارچه با استاندارد SAML؛ کاربران با یکبار ورود میتوانند به PAM360 و سایر اپلیکیشنها دسترسی داشته باشند. | کاربر با ورود به پورتال سازمان، بدون نیاز به ورود جداگانه، مستقیماً به PAM360 دسترسی پیدا میکند. |
| RADIUS | پروتکل احراز هویت شبکه برای کاربران شبکه و VPN. | وقتی سازمان از VPN استفاده میکند، PAM360 میتواند کاربران را از طریق RADIUS تایید هویت کند. |
| Smart Card / PKI / Certificate | استفاده از کارت هوشمند یا گواهی دیجیتال برای ورود امن. | ورود به PAM360 تنها با کارت هوشمند صادر شده توسط سازمان امکانپذیر است. |
| Two-Factor Authentication | احراز هویت دو مرحلهای برای امنیت بیشتر؛ معمولاً رمز یکبار مصرف یا تایید اپلیکیشن موبایل. | کاربر پس از وارد کردن گذرواژه، یک کد از Google Authenticator برای ورود نیاز دارد. |
۲. مدیریت منابع (Resource Management)
| عنوان | توضیح جامع | مثال کاربردی |
|---|---|---|
| Discover Resources | شناسایی خودکار سرورها، دیتابیسها، اپلیکیشنها و حسابهای پرامتی در شبکه. | PAM360 شبکه را اسکن میکند و همه سرورهای ویندوز و لینوکس و حسابهای روت/ادمین را پیدا میکند. |
| Resource Types | دستهبندی منابع بر اساس نوع: سرور، پایگاه داده، شبکه، اپلیکیشن و … | سرور ویندوز → نوع Resource: Windows Server، دیتابیس Oracle → نوع Resource: Database |
| JDBC Properties | مشخصات اتصال به دیتابیسهای رابطهای (نام سرور، پورت، یوزر، پسورد، درایور JDBC). | PAM360 برای مدیریت گذرواژه حسابهای دیتابیس Oracle از این اتصال استفاده میکند. |
| Resource Additional Fields | فیلدهای اضافی مانند محیط (Prod/Test)، مالک، محل فیزیکی یا گروه امنیتی. | اضافه کردن فیلد “Owner = IT Ops” برای هر سرور. |
| Account Additional Fields | اطلاعات تکمیلی هر حساب مانند نوع دسترسی، سرویسهای مجاز، تاریخ انقضا. | مشخص کردن حساب root لینوکس که فقط برای مدیریت پایگاه داده مجاز است. |
۳. مدیریت گذرواژه (Password Management)
| عنوان | توضیح جامع | مثال کاربردی |
|---|---|---|
| Password Policies | قوانین پیچیدگی، طول و انقضای گذرواژهها. | همه حسابها باید گذرواژه ۱۲ کاراکتری با ترکیب حروف و اعداد و سمبل داشته باشند و هر ۹۰ روز عوض شوند. |
| Password Reset Listener | شنونده رویدادهای درخواست ریست گذرواژه. | وقتی کاربر درخواست ریست گذرواژه VPN میدهد، PAM360 آن را شناسایی و پروسه ریست را آغاز میکند. |
| Password Reset Plugin | پلاگین ریست خودکار گذرواژهها برای اپلیکیشنهای خاص. | ریست خودکار گذرواژه SQL Server یا حسابهای AWS. |
| SSH Command Sets | تعریف دستورات SSH مجاز برای حسابهای پرامتی. | فقط دستور systemctl restart مجاز است، دستور rm -rf ممنوع. |
۴. عاملها (Agents)
| عنوان | توضیح جامع | مثال کاربردی |
|---|---|---|
| Manage Agents | نصب و مدیریت عاملها روی سیستمها برای جمعآوری اطلاعات و اجرای دستورات پرامتی. | نصب Agent روی ۵۰ سرور لینوکس برای مدیریت گذرواژهها و اجرای دستورات SSH. |
| Windows Agent / Windows Domain Agent / Linux Agent / macOS Agent | عاملهای مخصوص هر سیستم عامل برای اتصال امن و جمعآوری دادهها. | Windows Domain Agent دسترسی به حسابهای دامین ویندوز را مدیریت میکند. |
۵. جلسات پرامتی (Privileged Session)
| عنوان | توضیح جامع | مثال کاربردی |
|---|---|---|
| Session Gateway Server | سرور واسط برای اتصال امن به منابع پرامتی. | کاربر از خانه به سرور تولیدی وصل میشود بدون اینکه IP یا گذرواژه مستقیم را بداند. |
| Session Configuration | تنظیمات لاگگیری، ضبط و دسترسی جلسات پرامتی. | ضبط کامل تمام دستورات کاربر root روی سرور لینوکس برای ممیزی. |
| RemoteApp | اجرای برنامهها از راه دور بدون دسکتاپ کامل. | اجرای Microsoft SQL Server Management Studio روی سرور بدون دسترسی کامل دسکتاپ. |
| Auto Logon Helper | ورود خودکار به سرورها با دسترسی پرامتی. | کاربر میتواند بدون وارد کردن دستی گذرواژه به سرور متصل شود، PAM360 آن را مدیریت میکند. |
۶. ارتقاء پرامتی (Privileged Elevation)
| عنوان | توضیح جامع | مثال کاربردی |
|---|---|---|
| Manage Commands | کنترل دستورات مجاز برای حسابهای پرامتی. | تنها دستور apt-get update برای حساب sudo مجاز باشد. |
| Allowed Apps/Scripts | تعیین برنامهها و اسکریپتهای مجاز برای اجرا با دسترسی پرامتی. | اسکریپت پشتیبانگیری مجاز است، ویرایش فایلهای سیستمی غیرمجاز. |
۷. کنترل برنامهها و گواهیها (Application Control & SSL)
| عنوان | توضیح جامع | مثال کاربردی |
|---|---|---|
| SSL Configuration | مدیریت پروتکلهای امن SSL/TLS و تنظیمات گواهیها. | اطمینان از اینکه فقط TLS 1.2 یا بالاتر فعال است. |
| Certificate History | ذخیره و مشاهده تاریخچه گواهیها. | دیدن تمام گواهیهای نصب شده روی سرور طی ۳ سال گذشته. |
| Certificate Sharing | به اشتراکگذاری گواهی بین منابع مختلف. | یک گواهی wildcard بین چند وبسرور به اشتراک گذاشته شود. |
| Exclude Certificate | حذف یا استثنا کردن گواهیهای خاص. | حذف گواهی منقضی شده از سرورها. |
| SSL Fingerprint | بررسی اثر انگشت گواهی SSL برای تأیید صحت. | مقایسه اثر انگشت گواهی با اثر انگشت ذخیره شده برای جلوگیری از حمله MITM. |
| Certificate Sync Status | نمایش وضعیت همگامسازی گواهیها بین سرورها. | اطمینان از اینکه تمام سرورهای وب یک گواهی مشابه دارند. |
| IIS Binding | اتصال گواهی به سایتهای IIS. | سایت https://example.com به گواهی SSL وصل شود. |
| PKI Management | مدیریت زیرساخت کلید عمومی (Public Key Infrastructure). | ایجاد و مدیریت گواهیها، CA داخلی و کاربران. |
| PGP Keys | مدیریت کلیدهای رمزنگاری PGP. | رمزنگاری ایمیلها یا فایلها با کلید PGP ذخیرهشده در PAM360. |
| Schedules | زمانبندی کارها و فرآیندهای گواهی و SSL. | تمدید گواهی هر ماه یکبار به صورت خودکار انجام شود. |
| SSL Vulnerability | شناسایی آسیبپذیریهای SSL/TLS روی منابع. | بررسی وجود Heartbleed یا POODLE روی سرورها. |
| Certificate Renewal | تمدید خودکار یا دستی گواهیها. | تمدید گواهی Let's Encrypt به صورت اتوماتیک. |
| SSH Policy Configuration | تنظیم سیاستهای SSH مانند تایم اوت، محدودیت دستورات، لاگینها. | کاربر root فقط بین ساعت ۹ تا ۱۷ اجازه لاگین دارد. |
۸. اتصال به DevSecOps و CI/CD
| عنوان | توضیح جامع | مثال کاربردی |
|---|---|---|
| CI/CD Platform | اتصال PAM360 به فرآیندهای CI/CD یعنی PAM360 میتواند گذرواژهها و کلیدهای پرامتی را در pipelineهای اتوماسیون توسعه و استقرار مدیریت کند. | در Jenkins، هنگام deploy اپلیکیشن، PAM360 گذرواژه دیتابیس یا API key را به صورت خودکار وارد اسکریپت میکند بدون آنکه توسعهدهنده آن را بداند. |
| DevSecOps | امنیت در چرخه توسعه و عملیات. | بررسی خودکار دسترسیها و گذرواژهها قبل از deploy برای جلوگیری از مشکلات امنیتی. |
| Container Platforms | مدیریت دسترسی به محیطهای کانتینری مثل Docker و Kubernetes. | PAM360 کلیدها و توکنهای Kubernetes را مدیریت و اجازه دسترسی به تیمهای مجاز را میدهد. |
| Developer Space / SDK Management | محیط توسعهدهنده برای استفاده از APIها و SDKهای PAM360. | تیم DevOps میتواند با SDK، عملیات ریست گذرواژه یا ایجاد حساب جدید را اتوماتیک کند. |
