امروزه مدیران ارشد سازمان ها برای بالا بردن سطح امنیت و حفاظت از دارایی های اطلاعاتی خود سرمایه گذاری ویژه ای میکنند و از محصولات و راهکارهای متنوعی بهره می برند. اما در نهایت برای اینکه کار سازمان به انجام برسد به ناچار مجبور هستند دسترسیهای سطح بالا، به سامانههای اطلاعاتی، نرم افزارها، سخت افزارها و سرورهای سازمان را به پیمانکار و یا افرادی بسپارند که شاید به صورت تمام و کمال مورد اطمینان شان نباشند.
برخی از کاربران ادمین می توانند پروتکل های امنیتی موجود را نادیده بگیرند و آنها را دور بزنند، این یک آسیب پذیری بزرگ برای امنیت سازمان است. اگر برخی از ادمین ها بتوانند به اطلاعات طبقه بندی شده و محرمانه دسترسی پیدا کنند و اگر بتوانند فعالیت های خود را مخفی کنند مشکل بزرگی رخ خواهد داد. جدا از تهدیدات درون سازمانی که ممکن است توسط کارمندان و ادمین ها رخ دهد، مهاجمان بیرون سازمانی هستند که می توانند به این منابع و اطلاعات دسترسی پیدا کنند.
بنابراین بایستی راهکاری اتخاذ گردد که این ریسک پوشش داده شود و بتوان منابع سازمان را با خیال آسوده در اختیار این کاربران قرار دهیم .این راهکار با نام اختصاری PAM به معنی Privileged Access Management شناخته میشود. این سامانه امنیتی و نظارتی با قرار گرفتن در مقابل منابع شبکه، مانع از هر گونه دسترسی مسقیم به منابع شبکه شده و مدیران شبکه می توانند به راحتی تمامی دسترسی های مستقیم را مسدود کنند. از خصوصیات PAM این است که سازمان ها می توانند آن را به صورت تجهیزات سخت افزاری و یا به صورت نرم افزار در ساختار شبکه داخلی خود پیاده سازی نمایند.
حسابهای کاربری با سطح دسترسی بالا، که اصطلاحا حسابهای ممتاز نامیده میشوند، در همه شبکهها و سازمانها وجود دارد. انواع مختلفی از حسابهای ممتاز وجود دارد و این حسابها میتوانند در بستر لوکال شبکه و یا بر روی سرویسهای ابری وجود داشته باشند. حسابهای ممتاز با حسابهای دیگر متفاوت هستند زیرا مجوزهای سطح بالایی دارند که اگر مهاجمی بتواند به آنها دسترسی پیدا کند، بسیار خطرناک خواهد بود. از جمله مجوزهایی که در این حسابها وجود دارد، امکان تغییر تنظیمات برای گروههای بزرگی از کاربران است. همچنین اغلب مواقع ممکن است افرادی حداقل به صورت موقت به یک حساب ممتاز دسترسی داشته باشند.
یک ادمین سیستم مدیریت سطح دسترسی، از این پورتال برای تعریف روشهایی به منظور دسترسی به حسابهای ممتاز در برنامههای مختلف و منابع سازمانی استفاده میکند. اعتبار حسابهای ممتاز (مانند گذرواژههای آنها) در مکان مخصوص با حداکثر ایمنی که حفاظت از آنها را تضمین میکند، ذخیره و نگهداری میشود. همچنین مدیر سیستم، از پورتال مرکزی برای تعریف خط مشی افراد استفاده میکند. برای مثال، برای تعیین افرادی که میتوانند دسترسی به این حسابهای ممتاز را داشته باشند و این که این دسترسیها تحت چه شرایطی به این افراد داده شود.
کاربرانی که دسترسی ممتاز دارند، در ابتدا از طریق PAM وارد سیستم میشوند و با ارسال درخواست یا بلافاصله، دسترسی به حساب کاربری ممتاز را به دست میگیرند. این دسترسی ثبت میشود و برای انجام منحصر به فرد وظایف، موقت است. برای اطمینان از برقراری امنیت، معمولاً از کاربر PAM خواسته میشود تا برای استفاده از حساب ممتاز، توجیهی تجاری ارائه دهد. همچنین با توجه به سیاستهای تعیین شده، گاهی اوقات تایید مدیر نیز لازم است. غالباً کاربر به رمز عبورهای واقعی استفاده شده برای ورود به برنامه ها دسترسی ندارد، اما در عوض از طریق PAM امکان دسترسی پیدا میکند. علاوه بر این، سیستم PAM تضمین می کند که رمزهای عبور به صورت خودکار و در فواصل منظم، تغییر میکنند.
مدیر PAM میتواند فعالیتهای کاربران را از طریق پورتال PAM نظارت و مانیتور کند و حتی در صورت لزوم، جلسات زنده را در زمان واقعی مدیریت کند. سیستمهای PAM مدرن، همچنین از یادگیری ماشین برای شناسایی ناهنجاریها و استفاده از امتیاز دهی خطر، برای هشدار دادن به مدیرPAM در زمان واقعی انجام عملیات خطرناک، استفاده میکنند.
