Cloud Networks • Аналитика • PAM: решение нестандартных задач даже крупных компаний
13.12.2022

PAM: решение нестандартных задач даже крупных компаний

В предыдущей статье об отечественном продукте PAM версии 2.6 от компании Indeed были освещены:

  • архитектура решения,
  • разворачивание,
  • тестирование продукта.

В данной статье я, Вячеслав Селихов, пресейл-инженер Cloud Networks, вкратце опишу сценарии возможных применений данного решения.

 

О привилегированных пользователях и рисках

Итак, кто такие привилегированные пользователи?

Это руководители, администраторы, инженера, подрядчики, удаленные рабочие и сотрудники применяющие собственные технические средства для удаленного подключения.

Как правило, они обладают расширенными полномочиями в отношении технических средств (информационных систем, программного обеспечения) и могут использоваться для нанесения существенного вреда этим техническим средствам или обхода функций контроля и защиты компании.

Какие риски, в связи с этим могут возникнуть?

  1. Источником повышенной опасности может стать незащищенный удаленный доступ администраторов и подрядчиков к критичным компонентам ИТ-инфраструктуры.
  2. Порой контроль действий привилегированных пользователей компании не осуществляется или осуществляется частично через непредназначенные для этого инструменты.
  3. Затруднен учет реального времени работ и соблюдения требований SLA (Соглашение об уровне обслуживания).
  4. Локальная работа с критичными компонентами требует затрат на логистику и снижает оперативность реагирования на сбои.
  5. Чрезмерные трудозатраты на расследование сбоя или инцидента при использовании данных из классических систем мониторинга, так как они не показывают полную картину причин инцидента и виновных.

 

Помощь решения PAM

Перечисленные риски исключаются решением PAM в сценариях, разобранных дальше.

Сценарий управления паролями учетных записей с помощью:

  • автоматического поиска и импорта учетных записей;
  • управления паролями (обновление, выдача, сброс после подключения);
  • поддержкой пользовательских учетных записей;
  • Enterprise Single On для целевых приложений сквозного входа без необходимости многократного ввода одних и тех же учетных данных;
  • усиленной аутентификации.

Управление паролями учетных записей

Управление паролями учетных записей.

 

Сценарий единой точки удаленного доступа предоставляет:

  • инструменты управления привилегированным доступом;
  • интеграцию с Service Desk;
  • интеграцию с AD, FreeIPA, OpenLDAP;
  • импорт ресурсов из AD, FreeIPA, OpenLD;
  • поддержку протоколов RDP, SSH, Telnet, HTTPs;
  • поддержку публикаций приложений;
  • возможность поддержки протокола аутентификации TOTP (одноразовые пароли);
  • поддержку аутентификации через Push-уведомления;
  • применение для локального и удаленного доступа.

Единая точка удаленного доступа

Единая точка удаленного доступа.

 

Сценарий с фиксацией и контролем действий через:

  • разные способы записи активности привилегированных пользователей;
  • фильтрацию текстовых команд и разрывами соединений (SSH);
  • мониторинг в режиме реального времени;
  • просмотр записей событий и сквозной текстовый поиск;
  • перехват и теневое копирование передаваемых файлов (RDP).

Фиксация и контроль действий

Фиксация и контроль действий.

 

Сценарий контролируемого доступа подрядчиков с помощью:

  • записи активностей подрядчиков при работе с ИТ-ресурсами;
  • данных для оценки качества работы;
  • экономии времени и ресурсов при предоставлении доступа;
  • ограничения доступа по расписанию и согласованием;
  • контроля работы инженеров и специалистов технической поддержки;
  • контроля работы аудиторов и разработчиков.

Контроль доступа подрядчиков

Контроль доступа подрядчиков.

 

Сценарий защищенного доступа к корпоративным сервисам через:

  • публикации любых приложений;
  • инструменты оперативной организации временного удаленного доступа к сервису;
  • дополнительные функции защиты и контроля для серверов приложений;
  • фиксацию действий для анализа;
  • сохранение паролей целевых приложений в секрете от сотрудника.

Защищенный доступ к корпоративным сервисам

Защищенный доступ к корпоративным сервисам.

 

Пример использования сценария для PAM

Как можно увидеть, сценарии различны и применимы в каждой компании.

Один из сценариев выбрала финансовая отечественная организация. У решения PAM стояла следующая задача:

  • обеспечить контроль процесса использования учетных записей с высокими привилегиями;
  • обеспечить обработку событий мониторинга;
  • обеспечить реагирование в автоматическом и ручном режимах при удаленных подключениях к целевым системам;
  • предоставить текстовую копию, видеозапись и скриншоты сессий, ретроспективный анализ сессий, архивирование и хранение логов;
  • включать преимущества компоненты поведенческого анализа и двухфакторной аутентификации.

Со всеми задачами PAM Indeed справился.

Отмечу также, что ввиду внесенных ограничений весной 2022 года отечественные решения PAM, в ноябре компания Indeed анонсировала перевод с недружественных решений компонентов на решения под управлением ОС Linux.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
to-top