Privileged Access Management คืออะไร? ทำไมต้องจัดการ Privileged Account
Privileged Access Management (PAM) คือ ระบบจัดการและควบคุม Account ที่มีสิทธิ์สูง เช่น Domain Admin Root SA Database Admin เพื่อป้องกันไม่ให้ถูกใช้งานผิดหรือถูก Hacker ขโมย Privileged Account คือเป้าหมายหลักของ Hacker เพราะได้สิทธิ์เข้าถึงทุกอย่าง Ransomware ที่ร้ายแรงที่สุดมักเริ่มจากการขโมย Admin Credential
ประเภท Privileged Account
| Account | สิทธิ์ | ความเสี่ยง |
|---|---|---|
| Domain Admin | ควบคุม Active Directory ทั้งหมด | สูงสุด |
| Local Admin | ควบคุมเครื่อง Windows นั้น | สูง |
| Root (Linux) | ควบคุม Linux Server ทั้งหมด | สูงสุด |
| SA (Database) | ควบคุม Database ทั้งหมด | สูง |
| Service Account | ใช้โดย Application/Service | สูง (มักไม่ถูก Monitor) |
| Network Admin | ควบคุม Switch Router Firewall | สูง |
| Cloud Admin | ควบคุม AWS Azure GCP | สูงสุด |
PAM ทำอะไรได้
- Password Vault: เก็บ Password ของ Privileged Account ในตู้นิรภัยดิจิทัล Rotate อัตโนมัติ
- Session Recording: บันทึกทุก Session ที่ใช้ Privileged Account ดูย้อนหลังได้
- Just-In-Time Access: ให้สิทธิ์ Admin เฉพาะเมื่อต้องการ ไม่ให้สิทธิ์ตลอดเวลา
- Password Rotation: เปลี่ยน Password อัตโนมัติ ทุก 30 วันหรือหลังใช้
- Approval Workflow: ต้องขออนุมัติก่อนใช้ Privileged Account
- Audit Trail: บันทึกว่าใครเข้าถึง Account ไหน เมื่อไหร่ ทำอะไร
PAM Solution
| Solution | ราคา | จุดเด่น | เหมาะกับ |
|---|---|---|---|
| CyberArk | $$$ | อันดับ 1 ครบสุด Enterprise | Enterprise ใหญ่ |
| BeyondTrust | $$$ | Endpoint + PAM ดี | Enterprise |
| Delinea (Thycotic) | $$ | ใช้ง่าย ราคาดี | Mid-size |
| Microsoft LAPS | ฟรี | จัดการ Local Admin Password | ทุกองค์กรที่ใช้ AD |
| HashiCorp Vault | ฟรี/$$ | Secret Management ดี DevOps | DevOps Cloud |
วิธี Deploy PAM
- Discovery: ค้นหา Privileged Account ทั้งหมดในองค์กร
- Prioritize: จัด Priority ตาม Risk Domain Admin Cloud Admin ก่อน
- LAPS: Deploy Microsoft LAPS สำหรับ Local Admin Password (ฟรี ง่าย)
- Password Vault: เก็บ Password ใน PAM Vault เปลี่ยนจากเก็บใน Excel
- Rotation: ตั้ง Auto-Rotation Password ทุก 30 วัน
- Session Recording: เปิด Session Recording สำหรับ Admin Session
- JIT Access: เปลี่ยนเป็น Just-In-Time Access ให้สิทธิ์เมื่อต้องการเท่านั้น
PAM Best Practices
- ไม่ใช้ Admin ประจำวัน: Admin ใช้ Account ปกติทำงานทั่วไป ใช้ Admin Account เฉพาะเมื่อต้องการ
- LAPS ทุกเครื่อง: Deploy LAPS ทุกเครื่อง Windows Local Admin Password ไม่ซ้ำกัน
- MFA สำหรับ Admin: Admin Account ต้อง MFA เสมอ ใช้ FIDO2 ถ้าได้
- Tiered Admin: แยก Admin เป็น Tier 0 (DC) Tier 1 (Server) Tier 2 (Workstation) ไม่ใช้ข้าม Tier
- Monitor: Monitor การใช้ Privileged Account Alert เมื่อมีพฤติกรรมผิดปกติ
- Disable Unused: ปิด Privileged Account ที่ไม่ใช้ โดยเฉพาะ Service Account เก่า
- Review: Review Privileged Account ทุกไตรมาส ลบ Account ที่ไม่ต้องการ
สรุป PAM — ปกป้อง Account ที่มีอำนาจสูงสุด
PAM เป็นสิ่งจำเป็นสำหรับทุกองค์กร เริ่มจาก LAPS (ฟรี) แล้วขยายไป Password Vault Session Recording JIT Access หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
