Как пресейл-инженер Cloud Networks тестировал Indeed PAM

Введенные с весны 2022 года ограничения и пакетные санкции частично запрещают поставлять высокотехнологичную продукцию и сопровождать компоненты ИТ-инфраструктуры российским компаниям. Многие иностранные фирмы из сектора высоких технологий начали покидать отечественный рынок, нарушая коммерческие обязательства перед российскими организациями и показывая себя ненадежными партнерами.

Необходимость искать аналоги продуктов сложилась и в сфере информационной безопасности, поскольку на многих предприятиях в России использовались программы иностранных разработчиков или программы, основанные на иностранных разработках.

Всё больше предприятий переключают свой взор на отечественных производителей ИТ и ИБ-решений. В стороне не осталась и компания Indeed – на отечественном рынке она представлена своими решениями такими как:

• Платформа Indeed AM для построения системы централизованного управления доступом пользователей к информационным ресурсам компании
• Платформа Indeed PAM для защиты и управления доступом привилегированных пользователей, контроля подключений под административными протоколами и предоставления широких возможностей для управления критичными учетными записями. Кроме того, система выполняет функции записи действий, аудита работы администраторов и контроля доступа подрядчиков
• Система Indeed CM – для централизованного управления инфраструктурой открытых ключей (PKI), поддерживающая мониторинг инфраструктуры PKI и интеграцию с различными сторонними системами

В данной статье я, пресейл-инженер Cloud Networks Вячеслав Селихов, поделюсь результатом тестирования продукта IPAM.

 

Сценарии тестирования Indeed PAM

Итак, тестирование состоит из трех ключевых моментов:

1. Изучения системных требований, подготовка и разворачивание решения.
2. Установка и настройка компонентов.
3. Тестирование – создание разрешения пользователям для доступа к ресурсам, изучение результатов логирование сессий (видео, текстовое и снимки экранов).

После изучения требований была выбрана основная схема развертывания компонентов в виртуализованной среде на разных виртуальных серверах. Развернуты сервер управления (IPAMM) и сервер доступа (IPAMA) в домене CN.LOCAL с дополнительным сервисом удостоверяющего центра.

Сценарии работы развернутого стенда предполагают два режима:

Пользовательский – консоль пользователя (UC)

1. Подключение к личному кабинету пользователя через браузер или запуск Indeed PAM Desktop Console. Доменная аутентификация и регистрация/предоставление второго фактора. Проверка пользователя в БД IdP. Получение списка ресурсов из БД Core. Получение RDP-файла для подключения к ресурсу.
2. Подключение к серверу доступа при помощи RDP-файла, Indeed PAM Desktop Console или при помощи отдельного SSH-клиента.
3. Доменная аутентификация и предоставление второго фактора. Проверка пользователя в БД IdP. Проверка разрешения на доступ в БД Core. Извлечение из СУБД логина и пароля сервисной учётной записи для работы с медиа хранилищем. Извлечение из СУБД логина и пароля привилегированной учётной записи для подключения к ресурсу.
4. Подключение к ресурсу.
5. Сохранение видео и скриншотов в медиа хранилище. Сохранение текстового лога в БД Core.

Административный – консоль администратора (MC)

1. Подключение к кабинету администратора. Доменная аутентификация и регистрация/предоставление второго фактора. Проверка пользователя в БД IdP.
2. Получение, добавление и редактирование объектов системы. Выполнение сервисных операций.

Эта схема рекомендуется для внедрения и эксплуатации в промышленной среде.

 

Запуск и настройка консоли администратора

Предварительно созданы привилегированные учетные записи Account 1 и Account 2, у которых мы будем сбрасывать пароли в соответствии с политиками и сервисные учетные записи:

• IPAMADReadOps — для работы с каталогом пользователей.
• IPAMADServiceOps — для сервисных операций в Active Directory.
• IPAMStorageOps — для работы с медиа хранилищем.
• IPAMSQLServiceOps — для работы с СУБД.

В качестве хранения паролей, лицензий, аутентификационных данных, сервисного выполнения задач по расписанию и хранения всех событий, происходящих с системой, я использовал установленный на сервере управления MS SQL 2019 Express с созданными в нем соответствующими базами.

На сервере доступа (IPAMA) развернул роль RDS, компоненты брокера, веб-доступа к удаленным рабочим столам, узлы сеансов удаленных рабочих столов и коллекции приложений и т. д.  Установлен сертификат на IIS.

Развернул и сконфигурировал компоненты на сервере управления

1. Indeed PAM Core
2. Indeed PAM IdP
3. Indeed PAM Management Console
4. Indeed PAM User Console
5. Indeed Log Server
6. Indeed PAM EventLog

Развернул и сконфигурировал компоненты на сервер доступа

1. Indeed PAM Gateway
2. Indeed PAM SSH Proxy
3. Indeed ESSO Admin Pack
4. Indeed ESSO Agent

При успешной установке и запуске консоли администратора (MC), центр идентификации предложил зарегистрировать аутентификатор для дальнейшего использования двухфакторной аутентификации.

Выбираем роль администратора.

Перелогиниваемся и еще раз заходим в консоль администратора пройдя двухфакторную аутентификацию.

Получаем полный доступ к консоли управления MC и к основным разделам – Пользователи, Ресурсы, Группы ресурсов, Учетные записи, Домены.

• ДОСТУП – Разрешения, Запросы.
• ЖУРНАЛ – Активные сессии, Все сессии, События.
• УПРАВЛЕНИЕ – Уведомление, Политики, Конфигурация, Роли.
• ПОДДЕРЖКА.

Параллельно опубликовываем приложение Pam.Proxy.App.

Создаем папки для хранения (логирования) видео, скриншотов и перехвата файлов для сеансов, предоставляем доступ на чтение и запись учетной записи IPAMStorageOps.

Далее в MC в закладке Конфигурации в системных настройках прописываем пути настройки хранилища, настраиваем подключение к Gateway и SSH Proxy.

В закладке Домен находим и выбираем наш домен для управления – CN.Local. В качестве доменной записи находим в поиске и выбираем сервисную учетную запись IPAMADServiceOps, проверяем соединение. Импортируем ресурсы и привилегированные учетные записи Account 1 и Account 2.

Одну из привилегированных учетных записей Account 1 активируем как управляемую с возможностью генерирования случайного пароля в соответствии с политикой.

Далее настраиваем ресурсы подключений, пользовательские подключение (доступные RDP, SSH, Telnet, дополнительно конфигурируемые Web и Windows-приложение), сервисное подключение.

В нашем случае ресурсы — это машина IPAMA и IPAMM с пользовательским подключением RDP, с сервисным подключением Windows.

 

Доступны следующие возможные коннекторы сервисных подключений Windows, SSH, Microsoft SQL, MySQL, PostgreSQL, Oracle Database, Cisco IOS и Inspur BMC.

В нашем стенде мы дополнительно вручную подключили ресурс Ubuntu с ОС Linux Ubuntu, c указанием ee IP-адреса, пользовательским подключением к ней по SSH, с сервисным подключением, готовым шаблоном Ubuntu En и сервисной учетной записью Ubuntu/pam.

В составе готовых шаблонов Indeed, есть вот такой список:

Находим все учетные записи на Ubuntu и одну из учетных записей делаем управляемой, с отметкой возможности генерации случайного пароля и с генерацией нового SSH-ключа.

Все готово к созданию разрешений для подключений.

 

Сценарии тестирования Indeed PAM

Первый сценарий – создать разрешение для пользователя v.selikhov@cn.local к ресурсe IPAMM:

• с типом подключения по RDP учетной контролируемой УЗ Account1,
• в любое время и без ограничения периода действия,
• открытие сессии требует подтверждения администратором PAM,
• сбрасывать пароль в УЗ после окончания сессии,
• возможность просмотра текущего пароля пользователем.

Второй сценарий – создать разрешение для пользователя v.selikhov@cn.local к ресурсу Ubuntu:

• с типом подключения по SSH учетной контролируемой УЗ pam,
• с 08:00 до 17:59 и c периодом действия c 09 по 30 сентября 2022 г.

Третий сценарий — создать разрешение для пользователя Testipamm@cn.local ресурсу IPAMM:

• с типом подключения по RDP учетной контролируемой УЗ Account1,
• в любое время и без ограничения периода действия,
• открытие сессии требует подтверждения администратором PAM,
• сбрасывать пароль в УЗ после окончания сессии,
• возможность просмотра текущего пароля пользователем.

Переходим в консоль пользователя UC. Для входа проходим двухфакторную аутентификацию.

Выполняем первый сценарий.

Попадаем в UC и жмем подключиться для запуска сессии.

Проходим двухфакторную аутентификацию. И наблюдаем сообщение о том, что вас снимает “скрытая камера” и ждем администратора на разрешение входа на наш ресурс.

В MC даем разрешение на подключение к ресурсу.

И мы на ресурсе IPAMM.

В MC принудительно останавливаем сессию и смотрим, что с логированием:

Видим легирование видео, текстового характера и снимки экранов:

 

****

 

Выполняем второй сценарий.

Проходим двухфакторную аутентификацию.

Результатом будет запуск Putty:

Прерываем сессию и смотрим результаты логирования. Наблюдаем также логирование видео, текстовое и снимки экранов.

Хочу обратить внимание, что данное подключение возможно минуя RDP, например запустив PowerShell. Далее необходимо нажать на «скопировать».

Вставить и запустить в нем:

Результат – ввести пароль, далее OTP, причина подключения, и мы на ресурсе Ubuntu:

Соответственно в MC мы увидим сессию и логирование, в таком подключении, только текстовом.

 

****

 

Выполнение третьего сценария для пользователя Testipamm@cn.local аналогично первому сценарию. Для настройки необходимых Уведомлений и Политик служит раздел УПРАВЛЕНИЕ.

В разделе Уведомления настраиваются Группы получателей с адресом (e-mail), видом события, привязкой к группе получателей и настройкой SMTP-сервера.

В разделе Политики они настраиваются по следующими правилам:

• Приоритет – число, указывающее порядок применения конкретной политики по отношению к остальным. Нулевой приоритет соответствует политике по умолчанию (Default policy) и применяется в самую последнюю очередь. Чем выше расположена политика, тем выше её приоритет и наоборот.
• Имя – название политики.
• Описание – произвольный текст.

Объектами политик могут быть:

• Пользователи, на которые действует политика.
• Учётные записи, на которые действует политика.
• Ресурсы, на которые действует политика.
• Домены, на которые действует политика.

 

Итог тестирования Indeed PAM

По итогу тестирования и проведенного анализа, я отмечу, что данные системы также можно считать достойными решениями, со схожим и не уступающим функционалом, аналогичным импортным продуктам производителей, ушедших с отечественного рынка.

Если вам требуется подбор решения, внедрение или техподдержка, обращайтесь в Cloud Networks за помощью: