SSH и RDP: распространенные протоколы подключения
Узнать большеВ современных организациях растет потребность в централизованном управлении привилегированным доступом, поскольку с ним связаны высокие и критические риски информационной безопасности (ИБ). Привилегированные пользователи имеют расширенные полномочия для работы со средствами информационной защиты, бизнес-приложениями, сетевой инфраструктурой, базами данных. В случае ошибок или злоумышленных действий таких сотрудников, несанкционированного доступа к привилегированным учетным записям компания может столкнуться с серьезными последствиями: утечкой чувствительной информации, изменением конфигурации целевых серверов, модификацией внутренних политик безопасности, отключением средств информационной защиты и систем мониторинга, появлением точек входа для атак киберпреступников. Чтобы минимизировать риски, целесообразно организовать контроль действий пользователей с расширенными правами с помощью инструментов платформ класса Privileged Access Management (далее – PAM-системы). Такие решения могут использоваться и в территориально распределенной инфраструктуре. В статье расскажем, чем PAM-платформы будут полезны именно в компаниях с распределенной филиальной сетью.
PAM-системы: что это и зачем их использовать
Privileged Access Management – класс специализированных решений, позволяющих обеспечить централизованное управление привилегированным доступом. Ключевые функции таких систем:
- Обнаружение в информационных системах (ИС) компании всех привилегированных учетных записей.
- Сокрытие атрибутов привилегированных учетных записей, автоматическая подстановка учетных данных при входе в используемые компанией ИС.
- Проксирование рабочих сессий привилегированных пользователей.
- Запись рабочих сессий привилегированных пользователей.
- Организация гранулированного доступа к объектам информационной инфраструктуры предприятия.
- Хранение записей сессий с участием привилегированных пользователей, гибкие возможности для анализа этих сессий.
Все эти функции PAM-система может выполнять и в территориально распределенной инфраструктуре, создавая единую централизованную точку управления привилегированным доступом. Решение помогает контролировать соблюдение регламентов, связанных с назначением расширенных полномочий, мониторить действия сотрудников компании, поставщиков, подрядчиков.
Сложность обеспечения безопасного привилегированного доступа в территориально распределенной инфраструктуре
Важной задачей для предприятий, имеющих филиалы в других городах, регионах и даже странах, становится организация оперативного информационного обмена между центральным офисом и подразделениями. Таким компаниям необходима территориально распределенная информационная инфраструктура – эффективная среда для общего взаимодействия и безопасного доступа ко всем корпоративным ресурсам.
В распределенных системах сложнее контролировать доступ к удаленным серверам и информационным ресурсам, в связи с чем растут риски ИБ. Предприятиям важно, чтобы сотрудники и подрядчики имели достаточные права для выполнения рабочих задач, но при этом ненужные привилегии не накапливались. Особенно это касается пользователей с широким набором полномочий, поскольку намеренное или случайное злоупотребление правами может нанести компании колоссальный ущерб. Именно поэтому контроль привилегированного доступа выводится в отдельный трек задач, которые эффективно решаются посредством внедрения PAM-систем.
Использование PAM-системы Solar SafeInspect в территориально распределенной инфраструктуре позволяет решить четыре ключевые задачи:
- Фиксация всех учетных записей, существующих в информационной инфраструктуре компании. Также система помогает установить их связь с целевыми ИС, оборудованием и программным обеспечением.
- Делегирование, то есть предоставление доступа к привилегированным учетным записям только уполномоченным сотрудникам при условии соблюдения принципа наименьших привилегий. Доступ выдается на отведенный временной период с обязательной фиксацией целей сессий.
- Выполнение правил смены паролей, используемых для привилегированных учеток, синхронизация изменений на всех информационных ресурсах компании.
- Контроль использования привилегированного доступа. PAM-система позволяет проводить аудит действий привилегированных пользователей, чтобы установить, кто, с какой целью и как долго пользуется расширенными полномочиями. В случае выявления нарушений будут оповещены ответственные лица.
Сценарии использования PAM-системы Solar SafeInspect в распределенных системах
Наша платформа может функционировать в трех режимах:
- Сетевой мост. PAM-платформа ставится «в разрыв», таким образом, все подключения пользователей, находящихся в одной сети с целевыми системами, происходят через нее.
- Маршрутизатор. PAM-платформа также устанавливается «в разрыв», но используется для подключения пользователей, которые с защищаемыми объектами находятся в разных сетях.
- Бастион. При таком сценарии Solar SafeInspect становится прокси-сервером, обрабатывающим все запросы к целевым серверам.
Первые два режима работы являются прозрачными. При такой реализации Solar SafeInspect никак не выдает своего присутствия в инфраструктуре, поэтому пользователи могут не догадываться о контроле. Режим «Бастион» является непрозрачным. Это значит, что пользователю при подключении к системам с помощью стандартных клиентов нужно в явном виде указывать, что он подключается через PAM.
Преимущества использования PAM-системы в территориально распределенной инфраструктуре
Преимущества Solar SafeInspect для крупных компаний с распределенными системами:
- Легкое развертывание Solar SafeInspect в формате Virtual Appliance. С учетом первичных настроек процесс занимает в среднем 20 минут.
- Установка PAM-системы в любых участках распределенной инфраструктуры без установки агентов.
- Обеспечение централизованного управления доступом привилегированных пользователей.
- Возможность мониторинга и аудита всех действий привилегированных пользователей, аккаунты которых зарегистрированы в ИС компании с территориально распределенной инфраструктурой.
- Безопасное хранение и шифрование всех собранных системой данных.
- Возможность работы в разных сетях в прозрачных режимах.
- Предотвращение полного отказа PAM-системы благодаря механизмам отказоустойчивости.
- Резервирование менеджеров для постоянного анализа контролируемых сессий.
Пример применения PAM-системы в территориально распределенной инфраструктуре
Внедрение PAM-систем в организациях со сложной филиальной структурой ведется на стыке инженерных и архитектурных возможностей, как это было реализовано у нашего заказчика – компании из энергетической отрасли. Ключевой особенностью данного внедрения была сложность архитектуры: необходимо было обеспечить управление доступом привилегированных пользователей в 60 филиалах организации, при этом контроль за всеми филиалами должен был осуществляться из единой точки. Общее количество одновременных сессий в пике доходило до 300 подключений – это средний показатель для PAM-систем.
В каждом из 60 филиалов был установлен коллектор SafeInspect, а обработку получаемой с коллекторов информации, управление подключениями, запись и анализ данных из рабочих сессий пользователей вел менеджер в головном офисе. Такая архитектура позволила обеспечить единую точку контроля за действиями всех привилегированных пользователей в организации.
При возникновении инцидента было легко установить, в каком из филиалов произошла нештатная ситуация и кто из пользователей несет ответственность – так мы повысили прозрачность работы привилегированных пользователей и дали ИБ-департаменту компании-заказчика удобный инструмент для мониторинга, сбора данных и построения отчетов.
