Idira: a Palo Alto Networks identitásbiztonsági platformja

A Palo Alto Networks bemutatta az Idira nevű, új generációs identitásbiztonsági platformot, amelyet kifejezetten az AI-korszak vállalataira terveztek. Az Idira egyetlen platformon fedezi fel, kontrollálja és kormányozza egy szervezet összes identitását, legyen szó emberi felhasználókról, gépi fiókokról vagy autonóm AI-ügynökökről. A megoldás a tavaly 25 milliárd dolláros tranzakcióval felvásárolt CyberArk privileged access management (PAM) technológiájára épül, és azt kiterjeszti a robbanásszerűen szaporodó nem emberi identitásokra is. Az általános elérhetőség 2026. május 12-én indult, a további képességek pedig 2026 folyamán érkeznek. Ebben a cikkben részletesen áttekintjük, mit kínál az Idira, milyen problémára válasz, és miért érdemes a magyar vállalatoknak is figyelniük rá.

Mi az Idira és miért most érkezett?

Az Idira a Palo Alto Networks válasza arra a felismerésre, hogy az identitás vált a modern vállalat legfontosabb támadási felületévé. A hagyományos identitáskezelő megoldásokat egy olyan világra tervezték, ahol az emelt szintű hozzáférés egy szűk, jól körülhatárolható adminisztrátori körnek volt fenntartva. Ez a modell mára megdőlt: a generatív mesterséges intelligencia elterjedésével autonóm identitások tömege jött létre, amelyeknek érzékeny rendszerekhez kell hozzáférniük, méghozzá nagy léptékben.

A platform neve a piacon megszokott, széttagolt eszközparkkal szemben az egységességet hangsúlyozza. A vállalatok jellemzően külön termékeket használnak a privileged access kezelésére, a titkok (secrets) tárolására, a munkavállalói hozzáférésre és a gépi identitásokra. Ezek a szigetek réseket hagynak, amelyeken a támadók könnyen átjutnak. Az Idira célja, hogy ezeket a szigeteket felszámolja, és minden identitástípust egyetlen, közös szabályrendszer és kontroll alá vonjon.

Az identitás az új csatatér

A Palo Alto Networks 2 930 kiberbiztonsági döntéshozó bevonásával készült kutatása drámai képet fest a jelenlegi helyzetről. A számok önmagukért beszélnek, és jól mutatják, miért nem halogatható tovább az identitásbiztonság modernizálása:

• Az identitás a fő belépési pont: a szervezetek tíz közül kilenc tagja élt át identitáshoz köthető incidenst az elmúlt egy évben.
• A gépek átvették az uralmat: a gépi és AI-identitások már 109-szeresen múlják felül az emberi identitásokat, és ezek közül átlagosan 79 maga is AI-ügynök.
• Állandó jogosultságok mindenütt: a privileged hozzáférési kérések 61 százalékát ma is állandó, készenlétben tartott jogosultsággal elégítik ki, nem pedig igény szerinti kiosztással.
• A támadók nem betörnek, hanem bejelentkeznek: a leggyorsabb támadók akár 72 perc alatt eljutnak az első kapaszkodótól az adatok kiszivárogtatásáig, miközben a védők a széttagolt eszközök miatt gyakran csak órák vagy napok múlva reagálnak.

Peretz Regev, a Palo Alto Networks termék- és technológiai vezetője szerint az identitás vált az AI-vállalat új csatamezejévé, és mára minden egyes identitás célponttá lett. A régi logika, amelyben a jogosultság-kezelés egy ellenőrzőpont volt a folyamat egy pontján, már nem tartható: az identitásnak ellenőrzőpontból működési modellé kell válnia.

A standing privilege, vagyis az állandó jogosultság problémája

Az Idira tervezésének középpontjában egy egyszerű, mégis súlyos megállapítás áll: a privilégium az identitásbiztonság legnehezebb része. A klasszikus megközelítésben az emelt jogosultságok állandóan léteznek, készenlétben várnak arra, hogy valaki használja őket. Pontosan ez a folyamatos rendelkezésre állás teszi őket vonzó célponttá.

A támadások többsége ma egy jól ismert mintát követ: a támadó ellop egy belépési adatot, az állandó jogosultság segítségével oldalirányban mozog a hálózatban, fokozatosan emeli a jogait, majd eléri a célját. Ebben a láncban minden lépést az állandóan elérhető, kihasználható jogosultságok tesznek lehetővé. Ha nincs mit ellopni, mert a jogosultság csak a használat pillanatában létezik, a támadási lánc megszakad.

Zero Standing Privilege és just-in-time hozzáférés

Az Idira kulcsfontosságú újítása a Zero Standing Privilege (ZSP), magyarul a nulla állandó jogosultság elve. Ennek lényege, hogy a rendszer felszámolja a tartós, mindig elérhető emelt jogokat, és helyettük dinamikus jogosultságokat oszt ki, amelyek kizárólag a használat pillanatában léteznek. A hozzáférés tehát just-in-time, vagyis pontosan akkor jön létre, amikor szükség van rá, és a feladat elvégzése után automatikusan visszavonódik.

Ami igazán megkülönbözteti az Idira megközelítését, az az egyenlő bánásmód. A ZSP nem csak az adminisztrátorokra vonatkozik, hanem azonos elv szerint kezeli a fejlesztőket és az AI-ügynököket is. Nincs többé olyan kiváltságos identitás, amely állandó hozzáférést élvezne, miközben másokat korlátoznak. Ez a megközelítés egységesen, az identitás típusától függetlenül érvényesíti a legkisebb jogosultság elvét.

A háttérben egy központosított vezérlő réteg (control plane) áll, amely folyamatosan értékeli a kockázatot, és ennek megfelelően, valós időben igazítja a felhasználók, a munkaterhelések (workload) és az AI-ügynökök jogosultságait. Így a hozzáférés nem statikus beállítás, hanem a kontextushoz és a kockázathoz folyamatosan alkalmazkodó, élő döntés.

A három pillér: felfedezés, kontroll, kormányzás

Az Idira működése három, egymásra épülő funkció köré szerveződik. Ezek együtt adják ki azt a zárt hurkot, amely a felderítéstől a folyamatos megfelelésig terjed.

Felfedezés (Discover): a platform mesterséges intelligencia segítségével folyamatosan feltár minden identitást, jogosultságot és hozzáférési útvonalat a hibrid környezetben. Ide tartoznak az emberi felhasználók, a gépek, a munkaterhelések, a titkok (secrets), a tanúsítványok és az AI-ügynökök is. A cél, hogy ne maradjon rejtett jogosultság vagy kezeletlen fiók a szervezetben.

Kontroll (Control): a statikus, állandó fiókokat dinamikus jogosultságok váltják fel, amelyeket a rendszer csak szükség esetén ad meg. Ez a gyakorlatban a Zero Standing Privilege és a just-in-time hozzáférés érvényesítését jelenti az összes identitástípusra kiterjesztve.

Kormányzás (Govern): az Idira AI-vezérelt szabályrendszerrel automatizálja az identitások teljes életciklusát. A korábban negyedéves, kézi megfelelőségi feladatból így folyamatos, automatikus érvényesítési hurok lesz, amely valós időben tartja karban a hozzáféréseket.

Gépi és agentic identitások: a nem emberi felhasználók védelme

Az Idira egyik legfontosabb újdonsága, hogy a privileged access kontrollokat kiterjeszti a nem emberi identitásokra is. A vállalatok ma már jóval több gépi és AI-identitást üzemeltetnek, mint embereit, ezek pedig ugyanúgy hozzáférnek érzékeny rendszerekhez, mint a valódi felhasználók. Egy kompromittált szolgáltatásfiók vagy egy eltérített AI-ügynök ugyanolyan kárt okozhat, mint egy ellopott adminisztrátori jelszó.

A hagyományos PAM-megoldásokat egy szűk adminisztrátori körre tervezték, ezért nem skálázódnak a gépi identitások nagyságrendjére. Az Idira ezzel szemben az AI-ügynököket és a gépi fiókokat ugyanazon dinamikus jogosultság-kezelés alá vonja, mint az embereket. Így az autonóm rendszerek is csak a feladatukhoz szükséges, ideiglenes jogosultságot kapják, nem pedig állandó, széles körű hozzáférést.

A megoldás szorosan integrálódik a Palo Alto Networks AI-biztonsági kínálatával is. A Prisma AIRS 3.0 natívan együttműködik az Idirával, és mély identitásbiztonságot, valamint jogosultság-kontrollt visz az AI-ügynökök szintjére. Ez különösen fontos abban a korszakban, amikor az ügynökalapú (agentic) AI önállóan hoz döntéseket és hajt végre műveleteket éles rendszereken.

AI a platform szívében

Az Idira nem csak az AI-identitásokat védi, hanem maga is mesterséges intelligenciára épül. Az AI natívan fut a platformon, és több feladatot is automatizál: felszínre hozza a rejtett jogosultságokat, azonosítja a kockázatos hozzáférési kombinációkat, automatikusan javaslatot tesz a legkisebb jogosultságra, és célzott, sebészi pontosságú beavatkozással szünteti meg a réseket.

Ennek a sebességnek komoly tétje van. A védőknek eddig jellemzően több órás, sőt napos hátrányuk volt a támadókkal szemben, részben éppen a széttagolt eszközök miatt. Az Idira célja, hogy ezt a szakadékot bezárja, és a beavatkozás napok helyett másodpercek alatt megtörténjen, így a védelem felveszi a versenyt a 72 perc alatt mozgó leggyorsabb támadókkal.

A CyberArk-felvásárlás háttere

Az Idira nem a semmiből jött. A Palo Alto Networks 2026 februárjában, mintegy 25 milliárd dolláros tranzakció keretében zárta le a CyberArk, a privileged access management piac egyik vezető szereplőjének felvásárlását. Az Idira ennek a stratégiai lépésnek az első jelentős, integrált terméke: a CyberArk bevált privileged access technológiáját veszi alapul, és azt kiterjeszti a gépi és agentic identitásokra.

A piac úgy értékeli, hogy ezzel a lépéssel a Palo Alto Networks lényegében egységes márka és platform alá rendezi a korábbi CyberArk-portfóliót, és beilleszti azt a saját, platform alapú biztonsági stratégiájába. A cél egy olyan, egységes identitásbiztonsági operációs modell, amely a hibrid és AI-vezérelt vállalati környezetben is működik.

Mit jelent ez a meglévő CyberArk ügyfeleknek?

A Palo Alto Networks az Idirát a meglévő CyberArk SaaS ügyfelek számára jelentős bővítésként pozicionálja, méghozzá a használt csomagtól függő, lépcsőzetes előnyökkel:

• Hagyományos PAM (IT Standard): automatikus felfedezés és modernizált felhasználói élmény jár hozzá, a Zero Standing Privilege, valamint az agentic és gépi identitások védelme pedig kiegészítő licenccel adható hozzá.
• Modern PAM (IT Enterprise/Dev): azonnali felfedezés, Zero Standing Privilege és felhasználói élmény fejlesztések, mindezt felár nélkül; az agentic és gépi identitások védelme opcionálisan vásárolható meg.
• Workforce Access: azonnali felhasználói élmény fejlesztések, és lehetőség a teljes Zero Standing Privilege, valamint a hagyományos PAM-funkciók bekapcsolására.
• Gépi és AI-identitás biztonság: a Secrets vagy Workload licenccel rendelkezők új licencek révén egészíthetik ki megoldásukat a hagyományos PAM és a Zero Standing Privilege képességeivel.

A lényeg, hogy a meglévő ügyfeleknek nem kell nulláról kezdeniük: a megszokott CyberArk alapokra építve, fokozatosan léphetnek tovább a modern, dinamikus jogosultság-kezelés felé.

Miért fontos ez a magyar vállalatoknak?

Bár az Idira egy globális termék, az általa kezelt probléma a magyar piacon is egyre élesebb. A hazai vállalatok is gyorsuló ütemben vezetnek be felhőszolgáltatásokat, automatizálást és AI-alapú eszközöket, ezzel együtt pedig náluk is megsokszorozódik a gépi és szolgáltatásfiókok száma. Ezek a nem emberi identitások gyakran feltérképezetlenek, túlzott jogosultságokkal rendelkeznek, és ritkán kerülnek a biztonsági felülvizsgálatok fókuszába.

A szabályozási környezet is a szigorúbb identitáskezelés irányába mutat. A NIS2 irányelv és a kapcsolódó hazai jogszabályok kifejezetten elvárják a hozzáférés-kezelés, a jogosultságok rendszeres felülvizsgálata és a naplózás magas színvonalát. A Zero Standing Privilege és a just-in-time hozzáférés elve pontosan ezekre a követelményekre ad gyakorlati választ: csökkenti a kihasználható jogosultságok körét, és átláthatóvá teszi, ki, mihez és mikor fért hozzá.

Nem szükséges azonnal a legújabb platformra váltani ahhoz, hogy elinduljon a felkészülés. Az első lépés szinte mindig az átláthatóság megteremtése: fel kell mérni, hány emberi és nem emberi identitás létezik a szervezetben, ezek milyen jogosultságokkal bírnak, és hol halmozódnak fel a felesleges, állandó hozzáférések. Ezt követheti a kritikus rendszerek jogosultságainak szűkítése és a folyamatos felügyelet kialakítása.

Mi az Idira röviden?

Az Idira a Palo Alto Networks új generációs identitásbiztonsági platformja, amely egyetlen rendszerben fedezi fel, kontrollálja és kormányozza a szervezet összes emberi, gépi és agentic identitását. A CyberArk privileged access management technológiájára épül, és azt kiterjeszti a nem emberi identitásokra is.

Miben más, mint a hagyományos PAM?

A hagyományos privileged access management eszközöket egy szűk adminisztrátori körre tervezték, és jellemzően statikus, állandó jogosultságokkal dolgoznak. Az Idira ezzel szemben a Zero Standing Privilege elvét követi, dinamikus, just-in-time jogosultságokat oszt ki, és az emberi felhasználók mellett a gépi és AI-identitásokat is egységes szabályrendszer alá vonja.

Mikortól érhető el?

Az Idira általános elérhetősége 2026. május 12-én indult, a további képességek pedig fokozatosan, 2026 folyamán válnak elérhetővé. A meglévő CyberArk SaaS ügyfelek a csomagjuktól függően kapnak frissítéseket és bővítési lehetőségeket.

Segítünk felkészülni az identitásközpontú védelemre

Ha szeretné felmérni, hány emberi és nem emberi identitás fér hozzá a rendszereihez, vagy érdeklik a Zero Standing Privilege és a modern privileged access management lehetőségei, vegye fel velünk a kapcsolatot. Hálózati audit, IT security üzemeltetés és tanácsadás szolgáltatásainkkal segítünk feltárni a rejtett jogosultságokat és megerősíteni a hozzáférés-kezelést.

Kapcsolódó szolgáltatásaink

Ha szeretné felmérni szervezete védelmi szintjét vagy modernizálni a hozzáférés-kezelését, szakértői csapatunk az alábbi szolgáltatásokkal tud segíteni:

• Hálózati audit: Teljeskörű biztonsági átvilágítás és infrastruktúra-elemzés, amely feltárja a rejtett gyenge pontokat és a felesleges jogosultságokat, majd javaslatot ad a kockázatok csökkentésére.
• IT security üzemeltetés: hálózatfelügyelet, naplóelemzés és fenyegetésvadászat, hogy már a korai jelek alapján észleljük a gyanús hozzáféréseket és anomáliákat.
• Kiberbiztosítás: Pénzügyi védelmet és szakmai támogatást nyújt kibertámadás, adatvesztés vagy rendszerleállás esetén, minimalizálva az üzleti kockázatokat.
• Termékeink: Korszerű biztonsági megoldások (tűzfalak, EDR/XDR rendszerek), amelyek segítenek megerősíteni vállalata digitális védelmét.