PAM (Privileged Access Management) – программные решения, направленные на управление доступом пользователей с расширенными полномочиями. Такие решения позволяют выявлять и фиксировать действия с привилегированных аккаунтов на оборудовании и в программном обеспечении. Также функциональность PAM-систем предусматривает разграничение прав доступа с соблюдением принципа минимальных привилегий, аудит действий привилегированных пользователей, принудительный разрыв сессий, уведомление ответственных лиц. Ключевая задача – исключить риск несанкционированных действий со стороны внутренних и внешних пользователей. PAM-решения чаще всего включают модули записи действий и работы с паролями.

Что означает прозрачный режим работы PAM-системы?

Основные режимы использования PAM-систем:

  • Бастион (прокси-сервер) с видимой авторизацией и возможностью работы в геораспределенном режиме. Пользователь и серверы находятся в сети организации. Подключение к запрашиваемому ресурсу происходит по защищенному протоколу.
  • Сетевой мост (в рамках одной сети). Позволяет контролировать привилегированный доступ в рамках локальной сети. При этом соединения с серверами проходят через PAM-систему.
  • Маршрутизатор. Соединения также передаются на PAM-систему, при этом привилегированные пользователи и целевые серверы могут находиться в одной или разных сетях.

К прозрачным режимам работы PAM-системы относятся сетевой мост и маршрутизатор. При таких сценариях работы привилегированные пользователи могут не знать, что их контролируют. Схема работы в этих режимах PAM-системы аналогична атаке «Man-in-the-Middle»: система «притворяется» сервером для администратора, а для сервера – администратором. Это дает возможность проанализировать действия пользователей на конечных устройствах: нажатия клавиш, клики мышью, фиксация экрана и т. д.

PAM-система управляет учетной записью администратора, с которой он подключается к целевому ресурсу, поэтому она не совпадает с системной (используемой для подключения к критически важным системам). В итоге даже если учетная запись администратора попадет к злоумышленникам, они не смогут с ее помощью получить доступ к серверу.

Какие функции требуются заказчикам

Наиболее востребованные возможности PAM-систем – это:

  • управление правами доступа и паролями;
  • мониторинг и фиксация действий администраторов;
  • делегирование доступа к привилегированным учетным записям;
  • автоматизация задач привилегированных пользователей;
  • удаленный привилегированный доступ для сотрудников и внешних пользователей.

Для заказчиков важен конечный результат – снижение рисков в сфере информационной безопасности и максимальная автоматизация систем защиты.

режимы работы PAM-системы

Критерии проверки при выборе PAM-системы

Основные моменты, которые следует учитывать:

  • Кому необходим доступ к привилегированным учетным записям.
  • Есть ли в компании сотрудники, работающие в удаленном режиме, которым потребуется привилегированный доступ.
  • Нужен ли сторонний доступ внештатным сотрудникам.
  • Потребуются ли ограничения по времени использования доступа.
  • Есть ли план действий на случай компрометации привилегированной учетной записи.
  • Понадобятся ли прозрачные режимы работы.
  • Будет ли необходимо делегирование по принципу выдачи минимально необходимых прав доступа под конкретную задачу.

PAM-система Solar SafeInspect имеет гибкие настройки и позволяет обеспечить соблюдение действующих политик безопасности.

Преимущества Solar SafeInspect

Solar SafeInspect – единственная на рынке РФ PAM-система с прозрачными режимами работы.

У системы есть еще несколько функциональных преимуществ:

  • Запись сессий в текстовом виде с метаданными с возможностью конвертации в видеофайл.
  • Поддержка широкого списка протоколов подключения: RDP, SSH, SCP, Telnet/Telnets, HTTP/HTTPs, SFTP, TCP, TLS, VNC. Для других протоколов поддержка осуществляется с помощью jump-сервера.
  • Длительный опыт интеграции с FreeIPA.

Заключение

Прозрачный режим работы PAM-системы подразумевает, что пользователь не знает об использовании средств контроля, таких как сетевой мост и маршрутизатор. Среди современных отечественных PAM-систем только в Solar SafeInspect реализована возможность работы в прозрачных режимах.