====== Wdrożenie PAM ====== Ta przestrzeń opisuje wdrożenie PAM w ALDO: od przygotowania środowiska i dostępu, przez konfigurację, testy i szkolenia, aż po uruchomienie produkcyjne i utrzymanie. Dokumentacja ma być praktyczna: **krok po kroku, z jasno opisanym “po co”, “kto”, “kiedy” i “co jest wynikiem”.** ===== Cel biznesowy ===== * Zwiększyć bezpieczeństwo dostępu uprzywilejowanego (administratorzy, serwis, konta techniczne). * Uporządkować proces nadawania/odbierania uprawnień i audyt (kto, kiedy, dlaczego). * Ograniczyć ryzyko błędów i “dzikich” kont / haseł trzymanych poza kontrolą. * Ułatwić pracę IT i właścicieli systemów poprzez standaryzację i powtarzalne procedury. ===== Zakres wdrożenia ===== **Wchodzi w zakres:** * role, uprawnienia i procesy dostępu (wnioski, akceptacje, nadanie, odebranie) * konta administratorów i konta techniczne * podstawowe polityki (hasła, MFA, sesje, rotacje) * integracje/zasoby objęte PAM (serwery, systemy, urządzenia – wg listy poniżej) * testy, szkolenia, uruchomienie i wsparcie **Poza zakresem (na start):** * elementy “nice to have”, jeśli nie wpływają na bezpieczeństwo i start produkcji * zmiany infrastrukturalne niezwiązane z PAM (chyba że blokują wdrożenie) ===== Status i kamienie milowe ===== ^ Etap ^ Status ^ Uwagi ^ | Przygotowanie i dostęp | do uzupełnienia | | | Konfiguracja bazowa | do uzupełnienia | | | Onboarding zasobów | do uzupełnienia | | | Testy (UAT) | do uzupełnienia | | | Szkolenia | do uzupełnienia | | | Produkcja | do uzupełnienia | | | Utrzymanie | do uzupełnienia | | ===== Role i odpowiedzialności ===== * **IT (ALDO)** – konfiguracja, utrzymanie, standardy, bezpieczeństwo, eskalacje. * **Właściciele systemów** – akceptacje dostępu, lista zasobów, wymagania operacyjne. * **Użytkownicy uprzywilejowani** – praca zgodnie z procedurami (sesje, uzasadnienia, brak obchodzenia PAM). ===== Zasoby objęte PAM ===== Tu trzymamy listę “co wpinamy do PAM” i w jakiej kolejności. ^ Obszar ^ Zasób / System ^ Priorytet ^ Właściciel ^ | Serwery | do uzupełnienia | | | | Usługi / Aplikacje | do uzupełnienia | | | | Urządzenia / sieć | do uzupełnienia | | | | Konta techniczne | do uzupełnienia | | | ===== Procedury i instrukcje ===== * [[projekty:wdrozenie_pam:zakladanie_administratora_epam|Zakładanie administratora ePAM]] * [[projekty:wdrozenie_pam:role_i_uprawnienia|Role i uprawnienia]] * [[projekty:wdrozenie_pam:onboarding_zasobow|Onboarding zasobów do PAM]] * [[projekty:wdrozenie_pam:polityki_bezpieczenstwa|Polityki bezpieczeństwa (hasła, MFA, sesje)]] * [[projekty:wdrozenie_pam:proces_dostepu|Proces dostępu (wniosek → akceptacja → sesja → audyt)]] * [[projekty:wdrozenie_pam:rotacja_hasel|Rotacja haseł i konta techniczne]] * [[projekty:wdrozenie_pam:incydenty_i_awarie|Tryb awaryjny / incydenty]] ===== Checklista uruchomienia produkcyjnego ===== - [ ] Zdefiniowane role i zasady dostępu (kto może co i na jakich warunkach) - [ ] Utworzone konta administratorów i zweryfikowane logowanie - [ ] Wpięte kluczowe zasoby (priorytet P1) - [ ] Przetestowane scenariusze: dostęp standardowy, dostęp awaryjny, odebranie dostępu - [ ] Włączony audyt i gotowe raportowanie - [ ] Przeszkoleni użytkownicy uprzywilejowani - [ ] Opisany proces wsparcia i eskalacji ===== Najważniejsze ustalenia ===== * Dokumentujemy decyzje tak, aby za 3 miesiące nadal było jasne “dlaczego tak”. * Każda instrukcja ma zawierać: **kiedy stosujemy, kroki, efekt końcowy, rollback, kto akceptuje**. * Jeśli coś jest krytyczne – dopisujemy “UWAGA” i “co może pójść źle”. ===== Słownik ===== * **PAM** – zarządzanie dostępem uprzywilejowanym (konta admin, konta techniczne, sesje, audyt). * **ePAM** – panel / komponent używany w ramach wdrożenia (nazewnictwo projektowe). * **UAT** – testy akceptacyjne po stronie biznesu/użytkowników. ---- Jeśli dodajemy nową podstronę w tym projekcie, trzymamy nazwę w formacie: **projekty:wdrozenie_pam:nazwa_tematu** (bez polskich znaków, małe litery, podkreślenia).