SSH и RDP: распространенные протоколы подключения
Узнать большеВо многих компаниях есть привилегированные пользователи и учетные записи (УЗ), наделенные широкими полномочиями для работы с целевыми системами, чувствительными данными, оборудованием и средствами защиты. Доступ таких пользователей необходимо контролировать в связи с высокими рисками ИБ. Вероятные угрозы: неправомерная модификация информации, хищение конфиденциальных сведений, несанкционированные изменения настроек инструментов обеспечения безопасности, несогласованный запуск регулярных процедур и т. д. Эти действия могут совершать как сами пользователи, так и внешние злоумышленники, завладевшие привилегированными УЗ. Чтобы минимизировать риски, целесообразно внедрить решение Privileged Access Management (сокращенно — PAM) Solar SafeInspect, предоставляющее инструменты для контроля привилегированного доступа. Расскажем о задачах и преимуществах платформы и варианте внедрения самого популярного в организациях режима ее работы — «Бастион».
PAM-система: понятие, задачи и функции
Прежде чем мы остановимся на режиме «Бастион», расскажем о системе в целом. Solar SafeInspect используется для контроля привилегированного доступа, снижения рисков ИБ, сопряженных с привилегированными пользователями и УЗ.
Система выполняет следующие функции:
- Помогает выявлять все существующие в компании привилегированные УЗ, фиксирует их взаимосвязи на ПО и оборудовании.
- Изолирует все привилегированные сессии.
- Осуществляет мониторинг работы сотрудников с повышенными полномочиями в ходе рабочих сессий, записывает все действия и сохраняет накопленные сведения для проведения аудита и расследований.
- Обеспечивает сокрытие паролей от привилегированных УЗ.
- Выполняет автоматическую подстановку учетных данных в рамках привилегированных сессий.
- Предоставляет гранулированный доступ к УЗ с широкими полномочиями, помогает реализовать принцип наименьших привилегий.
PAM-система в режиме работы «Бастион» и других вариантах интеграции позволит прийти к централизованному управлению привилегированным доступом и контролировать действия сотрудников с широким кругом прав. Также она предоставляет удобные инструменты для анализа записанных сессий, что упрощает проведение расследований.
Что такое режим «Бастион», или прокси-сервер PAM-платформы
Режим работы «Бастион» считается классическим для отечественного рынка. В таком варианте внедрения PAM-система становится прокси-сервером — посредником между пользователями и целевыми серверами, которые находятся в одной локальной сети. Solar SafeInspect анализирует трафик запросов, поступающих к серверам, подключаясь к вызываемым ресурсам по распространенным протоколам администрирования.
«Бастион» — режим работы с явной авторизацией. При подключении помимо IP-адреса целевого хоста пользователь должен указывать IP-адрес компонента SafeInspect. В режимах «Сетевой мост» и «Маршрутизатор», тоже возможных для внедрения Solar SafeInspect, авторизация происходит незаметно и пользователи могут не знать о контроле с помощью PAM-платформы.
Краткое описание особенностей двух других режимов:
- В режиме сетевого моста платформа устанавливается «в разрыв» и контролирует подключения пользователей, находящихся в единой частной сети с серверами.
- Режим маршрутизатора подразумевает аналогичный способ установки платформы, то есть «в разрыв». Отличие от сетевого моста в том, что пользователи и серверы находятся в разных сетях.
В этих режимах система функционирует по схеме «Man-in-the-Middle» — для администраторов выступает сервером, для сервера — «притворяется» пользователем. Такой формат работы позволяет контролировать пользовательские действия, например делать снимки экрана, фиксировать движения по клавиатуре, отслеживать клики мышью и т. д.
В каких случаях компании подходит режим работы «Бастион»
Сотрудники и подрядчики с расширенными правами имеют доступ к критически важным объектам сетевой инфраструктуры, средствам информационной защиты, вычислительным машинам, базам данных, бизнес-приложениям. В случае превышения полномочий растет вероятность утечки чувствительных сведений и несанкционированных действий с информационными активами. Также необходимо помнить о рисках, связанных с компрометацией привилегированных УЗ, и учитывать их при выборе варианта внедрения PAM-решения.
В режиме работы «Бастион» не предусмотрен прямой доступ к запрашиваемым объектам. После аутентификации в PAM-системе пользователю будет известен перечень ресурсов, к которым ему разрешен доступ на основании внутренних политик компании. Следовательно, пользователь сможет работать только с этими ресурсами в рамках назначенных полномочий.
PAM-решение в режиме работы «Бастион» контролирует весь процесс доступа — от попытки входа под привилегированной учетной записью до окончания сессии. Такой сценарий подойдет, если компания стремится организовать доступ к объектам инфраструктуры по принципу «не доверяй никому». В режиме работы «Бастион» пользователь не сможет подключиться к целевым системам так, чтобы не попасть «под наблюдение» PAM-системы — а значит, все действия пользователя будут записаны и сохранены.
Преимущества использования PAM-системы Solar SafeInspect
Сначала опишем преимущества решения с разных точек зрения:
- Для ИТ-отдела: автоматизация назначения повышенных полномочий для работы с ресурсами и чувствительной информацией компании.
- Для бизнеса: оперативное предоставление необходимого уровня доступа для сотрудников организации и подрядчиков, снижение рисков неправомерных действий внутри инфраструктуры.
- Для подразделения ИБ: защита привилегированных УЗ, контроль работы пользователей с расширенными правами, оперативное расследование инцидентов благодаря отчетам, сформированным PAM-системой.
Общие преимущества использования PAM-решения в режиме работы «Бастион»: единая точка входа для всех привилегированных пользователей, обеспечение контролируемых подключений к системам и ресурсам, усиление ИБ-безопасности, контроль и мониторинг сессий с участием сотрудников и подрядчиков с широкими правами доступа, снижение рисков компрометации УЗ с расширенными полномочиями, автоматизация процессов управления привилегированным доступом.
