8 (800) 302-85-23

03.07.2024

Использование PAM-системы в территориально распределенной инфраструктуре

Использование PAM-системы в территориально распределенной инфраструктуре

Получить консультацию по Solar SafeInspect

В современных организациях растет потребность в централизованном управлении привилегированным доступом, поскольку с ним связаны высокие и критические риски информационной безопасности (ИБ). Привилегированные пользователи имеют расширенные полномочия для работы со средствами информационной защиты, бизнес-приложениями, сетевой инфраструктурой, базами данных. В случае ошибок или злоумышленных действий таких сотрудников, несанкционированного доступа к привилегированным учетным записям компания может столкнуться с серьезными последствиями: утечкой чувствительной информации, изменением конфигурации целевых серверов, модификацией внутренних политик безопасности, отключением средств информационной защиты и систем мониторинга, появлением точек входа для атак киберпреступников. Чтобы минимизировать риски, целесообразно организовать контроль действий пользователей с расширенными правами с помощью инструментов платформ класса Privileged Access Management (далее – PAM-системы). Такие решения могут использоваться и в территориально распределенной инфраструктуре. В статье расскажем, чем PAM-платформы будут полезны именно в компаниях с распределенной филиальной сетью.

PAM-системы: что это и зачем их использовать

Privileged Access Management – класс специализированных решений, позволяющих обеспечить централизованное управление привилегированным доступом. Ключевые функции таких систем:

  • Обнаружение в информационных системах (ИС) компании всех привилегированных учетных записей.
  • Сокрытие атрибутов привилегированных учетных записей, автоматическая подстановка учетных данных при входе в используемые компанией ИС.
  • Проксирование рабочих сессий привилегированных пользователей.
  • Запись рабочих сессий привилегированных пользователей.
  • Организация гранулированного доступа к объектам информационной инфраструктуры предприятия.
  • Хранение записей сессий с участием привилегированных пользователей, гибкие возможности для анализа этих сессий.

Все эти функции PAM-система может выполнять и в территориально распределенной инфраструктуре, создавая единую централизованную точку управления привилегированным доступом. Решение помогает контролировать соблюдение регламентов, связанных с назначением расширенных полномочий, мониторить действия сотрудников компании, поставщиков, подрядчиков.

обеспечение безопасного доступа в территориально распределенной инфраструктуре

Сложность обеспечения безопасного привилегированного доступа в территориально распределенной инфраструктуре

Важной задачей для предприятий, имеющих филиалы в других городах, регионах и даже странах, становится организация оперативного информационного обмена между центральным офисом и подразделениями. Таким компаниям необходима территориально распределенная информационная инфраструктура – эффективная среда для общего взаимодействия и безопасного доступа ко всем корпоративным ресурсам.

В распределенных системах сложнее контролировать доступ к удаленным серверам и информационным ресурсам, в связи с чем растут риски ИБ. Предприятиям важно, чтобы сотрудники и подрядчики имели достаточные права для выполнения рабочих задач, но при этом ненужные привилегии не накапливались. Особенно это касается пользователей с широким набором полномочий, поскольку намеренное или случайное злоупотребление правами может нанести компании колоссальный ущерб. Именно поэтому контроль привилегированного доступа выводится в отдельный трек задач, которые эффективно решаются посредством внедрения PAM-систем.

Использование PAM-системы Solar SafeInspect в территориально распределенной инфраструктуре позволяет решить четыре ключевые задачи:

  • Фиксация всех учетных записей, существующих в информационной инфраструктуре компании. Также система помогает установить их связь с целевыми ИС, оборудованием и программным обеспечением.
  • Делегирование, то есть предоставление доступа к привилегированным учетным записям только уполномоченным сотрудникам при условии соблюдения принципа наименьших привилегий. Доступ выдается на отведенный временной период с обязательной фиксацией целей сессий.
  • Выполнение правил смены паролей, используемых для привилегированных учеток, синхронизация изменений на всех информационных ресурсах компании.
  • Контроль использования привилегированного доступа. PAM-система позволяет проводить аудит действий привилегированных пользователей, чтобы установить, кто, с какой целью и как долго пользуется расширенными полномочиями. В случае выявления нарушений будут оповещены ответственные лица.
использование PAM-системы в территориально распределенной инфраструктуре

Сценарии использования PAM-системы Solar SafeInspect в распределенных системах

Наша платформа может функционировать в трех режимах:

  • Сетевой мост. PAM-платформа ставится «в разрыв», таким образом, все подключения пользователей, находящихся в одной сети с целевыми системами, происходят через нее.
  • Маршрутизатор. PAM-платформа также устанавливается «в разрыв», но используется для подключения пользователей, которые с защищаемыми объектами находятся в разных сетях.
  • Бастион. При таком сценарии Solar SafeInspect становится прокси-сервером, обрабатывающим все запросы к целевым серверам.

Первые два режима работы являются прозрачными. При такой реализации Solar SafeInspect никак не выдает своего присутствия в инфраструктуре, поэтому пользователи могут не догадываться о контроле. Режим «Бастион» является непрозрачным. Это значит, что пользователю при подключении к системам с помощью стандартных клиентов нужно в явном виде указывать, что он подключается через PAM.

Преимущества использования PAM-системы в территориально распределенной инфраструктуре

Преимущества Solar SafeInspect для крупных компаний с распределенными системами:

  • Легкое развертывание Solar SafeInspect в формате Virtual Appliance. С учетом первичных настроек процесс занимает в среднем 20 минут.
  • Установка PAM-системы в любых участках распределенной инфраструктуры без установки агентов.
  • Обеспечение централизованного управления доступом привилегированных пользователей.
  • Возможность мониторинга и аудита всех действий привилегированных пользователей, аккаунты которых зарегистрированы в ИС компании с территориально распределенной инфраструктурой.
  • Безопасное хранение и шифрование всех собранных системой данных.
  • Возможность работы в разных сетях в прозрачных режимах.
  • Предотвращение полного отказа PAM-системы благодаря механизмам отказоустойчивости.
  • Резервирование менеджеров для постоянного анализа контролируемых сессий.
преимущества использования PAM-системы

Пример применения PAM-системы в территориально распределенной инфраструктуре

Внедрение PAM-систем в организациях со сложной филиальной структурой ведется на стыке инженерных и архитектурных возможностей, как это было реализовано у нашего заказчика – компании из энергетической отрасли. Ключевой особенностью данного внедрения была сложность архитектуры: необходимо было обеспечить управление доступом привилегированных пользователей в 60 филиалах организации, при этом контроль за всеми филиалами должен был осуществляться из единой точки. Общее количество одновременных сессий в пике доходило до 300 подключений – это средний показатель для PAM-систем.

В каждом из 60 филиалов был установлен коллектор SafeInspect, а обработку получаемой с коллекторов информации, управление подключениями, запись и анализ данных из рабочих сессий пользователей вел менеджер в головном офисе. Такая архитектура позволила обеспечить единую точку контроля за действиями всех привилегированных пользователей в организации.

При возникновении инцидента было легко установить, в каком из филиалов произошла нештатная ситуация и кто из пользователей несет ответственность – так мы повысили прозрачность работы привилегированных пользователей и дали ИБ-департаменту компании-заказчика удобный инструмент для мониторинга, сбора данных и построения отчетов.

Выводы

Компании с территориально распределенной инфраструктурой особенно нуждаются в грамотном централизованном управлении доступом к информационным ресурсам, чтобы минимизировать риски ИБ и упорядочить рабочие процессы. Оптимальный выход – использование PAM-системы Solar SafeInspect, которая эффективно решает задачи в части контроля привилегированного доступа. Платформа играет важную роль в создании контура информационной безопасности, поскольку позволяет предотвращать несанкционированное использование чувствительных данных, не парализуя бизнес-процессы.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Подготовка инфраструктуры компании к внедрению PAM-системы

Подготовка инфраструктуры компании к внедрению PAM-системы

Узнать больше
Система управления привилегированным доступом

Система управления привилегированным доступом

Узнать больше
Privileged Access Management (PAM): что это такое, как работает и где применяется

Privileged Access Management (PAM): что это такое, как работает и где применяется

Узнать больше
Работа PAM-системы: как отслеживать попытки несанкционированного доступа?

Работа PAM-системы: как отслеживать попытки несанкционированного доступа?

Узнать больше
Контроль доступа привилегированных пользователей

Контроль доступа привилегированных пользователей

Узнать больше
Управление привилегированными учетными записями

Управление привилегированными учетными записями

Узнать больше
Аудит действий привилегированных пользователей: как оценить эффективность контроля?

Аудит действий привилегированных пользователей: как оценить эффективность контроля?

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.