SSH и RDP: распространенные протоколы подключения
Узнать большеЭффективный подход к организации контроля привилегированного доступа входит в пул задач многих организаций. Привилегированный доступ подразумевает более широкие права на чтение, внесение изменений в файлы и настройки информационных систем, сетевого оборудования, баз данных. Отсутствие контроля за использованием таких полномочий приводит к росту рисков ИБ и снижению уровня информационной безопасности компании. Упорядочить ситуацию в части привилегированного доступа поможет платформа Privileged Access Management (сокращенно — PAM). В портфеле ГК «Солар» есть такое решение — Solar SafeInspect. Для более гибкого его встраивания в ИБ-ландшафт существует несколько режимов (сценариев работы) РАМ-системы. В этой статье рассказываем о них.
Защита критически важных объектов информационной инфраструктуры с помощью PAM-системы
Какие задачи закрывает продукт Solar SafeInspect в части ИБ:
- Контроль привилегированного доступа в удаленных и облачных средах. Решение класса PAM обеспечивает защищенное подключение к ресурсам и прозрачную работу внешних подрядчиков за счет контроля привилегированных сессий.
- Организация работы с привилегированным доступом в крупных компаниях. Применение Solar SafeInspect позволяет автоматизировать процессы выдачи расширенных полномочий, контролировать соблюдение регламентов.
- Обеспечение соответствия общим и отраслевым нормативным требованиям. Для некоторых отраслей использование РАМ-систем — обязательное условие.
- Защита конфиденциальной информации от утечки. PAM-решение фиксирует действия привилегированных пользователей, контролирует передачу информации благодаря управлению буфером обмена, дает возможность анализировать рабочие сессии.
Приведем два примера работы PAM-системы в разных сценариях. Одной организации нужно было обеспечить безопасное подключение удаленных подрядчиков к внутренним ресурсам. С помощью Solar SafeInspect был определен уровень доступа для каждого пользователя, предусмотрены сроки действия привилегий и автоматический отзыв прав. Второй компании требовалось установить контроль за работой привилегированных пользователей, поскольку из-за нарушения конфигурации ключевой системы к ним пропало доверие. Внедрение Solar SafeInspect позволило реализовать принцип наименьших привилегий и оставить расширенные права только тем сотрудникам, которые действительно в них нуждаются. Также безболезненно для рабочих процессов был организован мониторинг действий пользователей.
Устранение внутренних угроз ИБ с помощью PAM-системы
Риски ИБ связаны не только с внешними злоумышленниками, которые пытаются получить доступ к используемым компанией системам и ресурсам. Иногда виновниками инцидентов становятся сотрудники организации и подрядчики на аутсорсе, то есть те лица, у которых уже есть доступ к объектам инфраструктуры. Высокие риски сопряжены с пользователями, наделенными расширенными полномочиями для работы с целевыми системами (ЦС), средствами защиты, базами данных (БД), оборудованием. Эффективный контроль за действиями таких сотрудников можно осуществлять с помощью PAM-системы. Какие проблемы решаются благодаря ее внедрению:
- Небрежное отношение к вопросам безопасности паролей от привилегированных учетных записей, из-за чего возможна компрометация УЗ. PAM-система обеспечивает надлежащее хранение учетных данных, автоматическую подстановку паролей при подключении привилегированных пользователей.
- Нарушение правил работы с чувствительными данными. Платформа PAM мониторит и записывает привилегированные сессии, хранит собранную информацию. В случае подозрительных действий возможно прерывание подключения.
- Назначение избыточных полномочий. PAM-решение позволяет реализовать принцип наименьших привилегий и отслеживать соблюдение регламентов.
Сценарии работы PAM-системы
Solar SafeInspect функционирует в разных режимах: сетевой мост, маршрутизатор, «Бастион». Рассказываем об особенностях каждого.
Сетевой мост
Это прозрачный режим работы, то есть пользователи не знают о наличии решения класса РАМ в цепочке подключения, что дает возможность скрыть факт контроля и отследить действия в целевых системах.
Этот сценарий работы PAM-системы возможен, если пользователи находятся в одной сети с серверами. Solar SafeInspect пропускает через себя соединения с серверами благодаря установке «в разрыв». Находясь в сети между пользователем и целевыми ресурсами, система воспроизводит сценарий атаки Man-in-the-Middle («человек посередине»): для пользователя она представляется целевым сервером, для сервера — пользователем.
Маршрутизатор
Еще один прозрачный сценарий работы PAM-платформы, который соответствует уровню L3 модели OSI и используется, если пользователи и серверы находятся в разных сетях. Solar SafeInspect устанавливается «в разрыв» и также имитирует сценарий атаки Man-in-the-Middle, как и в режиме сетевого моста.
«Бастион»
При таком сценарии работы PAM-системы пользователям необходимо указывать IP-адрес компонента SafeInspect помимо IP-адреса целевого хоста.
Сценарий работы PAM-системы «Бастион» предполагает установку SafeInspect в стороне от основной сети. Трафик принудительно маршрутизируется на РАМ-решение, которое выполняет роль прокси-сервера и работает на уровне L7 модели OSI.
Интеграция PAM-системы с другими решениями для контроля доступа и обеспечения ИБ
Для более эффективного управления привилегированным доступом система интегрируется со следующими продуктами:
- IdM-системой Solar inRights для контроля доступа и управления УЗ. Тандем двух продуктов позволяет минимизировать риски превышения полномочий и предоставлять офицерам службы ИБ полные отчеты о доступе к объектам инфраструктуры.
- DLP-решением Solar Dozor, предоставляющим инструменты для предотвращения утечек чувствительных сведений и анализа поведения сотрудников. Оно обогащает функциональность PAM-системы в части контроля действий привилегированных пользователей.
- SIEM-решениями, главная задача которых — сбор информации о событиях в инфраструктуре. Совместная работа с Solar SafeInspect позволяет получать более детальное представление о действиях с целевыми системами и конфиденциальной информацией.
- IPS-системами, обнаруживающими и предотвращающими вторжения в информационный периметр компании. Такие решения в тандеме с Solar SafeInspect помогают минимизировать риски нелегитимного использования привилегированных УЗ.
Преимущества использования PAM-системы Solar SafeInspect
Плюсы внедрения с точки зрения безопасности:
- Защита от внутренних и внешних угроз, сопряженных с привилегированным доступом.
- Снижение рисков утечки чувствительных сведений и нелегитимного использования ресурсов, данных.
- Автоматизация рутинных процессов выдачи расширенных прав.
- Контроль за действиями пользователей, которым открыт привилегированный доступ.
- Формирование детализированных отчетов для проведения аудита и расследований.
- Защита привилегированных учетных данных.
Преимущества с точки зрения удобства использования:
- Легкая интеграция в инфраструктуру распределенного типа без необходимости установки агентов.
- Выбор оптимального сценария работы PAM-системы под требования компании.
- Оперативная выдача расширенных прав на регулярной основе, по расписанию, для разового доступа.
- Возможность оперативного развертывания и запуска в эксплуатацию уже через 2 часа с учетом первичных настроек.
