Для малого бизнеса
+7 (499) 673-37-62

03.07.2024

Использование PAM-системы в территориально распределенной инфраструктуре

Использование PAM-системы в территориально распределенной инфраструктуре

Получить консультацию по Solar SafeInspect

В современных организациях растет потребность в централизованном управлении привилегированным доступом, поскольку с ним связаны высокие и критические риски информационной безопасности (ИБ). Привилегированные пользователи имеют расширенные полномочия для работы со средствами информационной защиты, бизнес-приложениями, сетевой инфраструктурой, базами данных. В случае ошибок или злоумышленных действий таких сотрудников, несанкционированного доступа к привилегированным учетным записям компания может столкнуться с серьезными последствиями: утечкой чувствительной информации, изменением конфигурации целевых серверов, модификацией внутренних политик безопасности, отключением средств информационной защиты и систем мониторинга, появлением точек входа для атак киберпреступников. Чтобы минимизировать риски, целесообразно организовать контроль действий пользователей с расширенными правами с помощью инструментов платформ класса Privileged Access Management (далее – PAM-системы). Такие решения могут использоваться и в территориально распределенной инфраструктуре. В статье расскажем, чем PAM-платформы будут полезны именно в компаниях с распределенной филиальной сетью.

PAM-системы: что это и зачем их использовать

Privileged Access Management – класс специализированных решений, позволяющих обеспечить централизованное управление привилегированным доступом. Ключевые функции таких систем:

  • Обнаружение в информационных системах (ИС) компании всех привилегированных учетных записей.
  • Сокрытие атрибутов привилегированных учетных записей, автоматическая подстановка учетных данных при входе в используемые компанией ИС.
  • Проксирование рабочих сессий привилегированных пользователей.
  • Запись рабочих сессий привилегированных пользователей.
  • Организация гранулированного доступа к объектам информационной инфраструктуры предприятия.
  • Хранение записей сессий с участием привилегированных пользователей, гибкие возможности для анализа этих сессий.

Все эти функции PAM-система может выполнять и в территориально распределенной инфраструктуре, создавая единую централизованную точку управления привилегированным доступом. Решение помогает контролировать соблюдение регламентов, связанных с назначением расширенных полномочий, мониторить действия сотрудников компании, поставщиков, подрядчиков.

обеспечение безопасного доступа в территориально распределенной инфраструктуре

Сложность обеспечения безопасного привилегированного доступа в территориально распределенной инфраструктуре

Важной задачей для предприятий, имеющих филиалы в других городах, регионах и даже странах, становится организация оперативного информационного обмена между центральным офисом и подразделениями. Таким компаниям необходима территориально распределенная информационная инфраструктура – эффективная среда для общего взаимодействия и безопасного доступа ко всем корпоративным ресурсам.

В распределенных системах сложнее контролировать доступ к удаленным серверам и информационным ресурсам, в связи с чем растут риски ИБ. Предприятиям важно, чтобы сотрудники и подрядчики имели достаточные права для выполнения рабочих задач, но при этом ненужные привилегии не накапливались. Особенно это касается пользователей с широким набором полномочий, поскольку намеренное или случайное злоупотребление правами может нанести компании колоссальный ущерб. Именно поэтому контроль привилегированного доступа выводится в отдельный трек задач, которые эффективно решаются посредством внедрения PAM-систем.

Использование PAM-системы Solar SafeInspect в территориально распределенной инфраструктуре позволяет решить четыре ключевые задачи:

  • Фиксация всех учетных записей, существующих в информационной инфраструктуре компании. Также система помогает установить их связь с целевыми ИС, оборудованием и программным обеспечением.
  • Делегирование, то есть предоставление доступа к привилегированным учетным записям только уполномоченным сотрудникам при условии соблюдения принципа наименьших привилегий. Доступ выдается на отведенный временной период с обязательной фиксацией целей сессий.
  • Выполнение правил смены паролей, используемых для привилегированных учеток, синхронизация изменений на всех информационных ресурсах компании.
  • Контроль использования привилегированного доступа. PAM-система позволяет проводить аудит действий привилегированных пользователей, чтобы установить, кто, с какой целью и как долго пользуется расширенными полномочиями. В случае выявления нарушений будут оповещены ответственные лица.
использование PAM-системы в территориально распределенной инфраструктуре

Сценарии использования PAM-системы Solar SafeInspect в распределенных системах

Наша платформа может функционировать в трех режимах:

  • Сетевой мост. PAM-платформа ставится «в разрыв», таким образом, все подключения пользователей, находящихся в одной сети с целевыми системами, происходят через нее.
  • Маршрутизатор. PAM-платформа также устанавливается «в разрыв», но используется для подключения пользователей, которые с защищаемыми объектами находятся в разных сетях.
  • Бастион. При таком сценарии Solar SafeInspect становится прокси-сервером, обрабатывающим все запросы к целевым серверам.

Первые два режима работы являются прозрачными. При такой реализации Solar SafeInspect никак не выдает своего присутствия в инфраструктуре, поэтому пользователи могут не догадываться о контроле. Режим «Бастион» является непрозрачным. Это значит, что пользователю при подключении к системам с помощью стандартных клиентов нужно в явном виде указывать, что он подключается через PAM.

Преимущества использования PAM-системы в территориально распределенной инфраструктуре

Преимущества Solar SafeInspect для крупных компаний с распределенными системами:

  • Легкое развертывание Solar SafeInspect в формате Virtual Appliance. С учетом первичных настроек процесс занимает в среднем 20 минут.
  • Установка PAM-системы в любых участках распределенной инфраструктуры без установки агентов.
  • Обеспечение централизованного управления доступом привилегированных пользователей.
  • Возможность мониторинга и аудита всех действий привилегированных пользователей, аккаунты которых зарегистрированы в ИС компании с территориально распределенной инфраструктурой.
  • Безопасное хранение и шифрование всех собранных системой данных.
  • Возможность работы в разных сетях в прозрачных режимах.
  • Предотвращение полного отказа PAM-системы благодаря механизмам отказоустойчивости.
  • Резервирование менеджеров для постоянного анализа контролируемых сессий.
преимущества использования PAM-системы

Пример применения PAM-системы в территориально распределенной инфраструктуре

Внедрение PAM-систем в организациях со сложной филиальной структурой ведется на стыке инженерных и архитектурных возможностей, как это было реализовано у нашего заказчика – компании из энергетической отрасли. Ключевой особенностью данного внедрения была сложность архитектуры: необходимо было обеспечить управление доступом привилегированных пользователей в 60 филиалах организации, при этом контроль за всеми филиалами должен был осуществляться из единой точки. Общее количество одновременных сессий в пике доходило до 300 подключений – это средний показатель для PAM-систем.

В каждом из 60 филиалов был установлен коллектор SafeInspect, а обработку получаемой с коллекторов информации, управление подключениями, запись и анализ данных из рабочих сессий пользователей вел менеджер в головном офисе. Такая архитектура позволила обеспечить единую точку контроля за действиями всех привилегированных пользователей в организации.

При возникновении инцидента было легко установить, в каком из филиалов произошла нештатная ситуация и кто из пользователей несет ответственность – так мы повысили прозрачность работы привилегированных пользователей и дали ИБ-департаменту компании-заказчика удобный инструмент для мониторинга, сбора данных и построения отчетов.

Выводы

Компании с территориально распределенной инфраструктурой особенно нуждаются в грамотном централизованном управлении доступом к информационным ресурсам, чтобы минимизировать риски ИБ и упорядочить рабочие процессы. Оптимальный выход – использование PAM-системы Solar SafeInspect, которая эффективно решает задачи в части контроля привилегированного доступа. Платформа играет важную роль в создании контура информационной безопасности, поскольку позволяет предотвращать несанкционированное использование чувствительных данных, не парализуя бизнес-процессы.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Использование привилегированных учетных записей при проведении атак на инфраструктуру

Использование привилегированных учетных записей при проведении атак на инфраструктуру

Узнать больше
Управление доступом к критичным ресурсам компании

Управление доступом к критичным ресурсам компании

Узнать больше
Обеспечение отказоустойчивости PAM-систем в распределенной инфраструктуре

Обеспечение отказоустойчивости PAM-систем в распределенной инфраструктуре

Узнать больше
Контроль работы удаленных сотрудников с помощью PAM-системы

Контроль работы удаленных сотрудников с помощью PAM-системы

Узнать больше
Интеграция PAM-системы с другими системами управления доступом

Интеграция PAM-системы с другими системами управления доступом

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.