Для малого бизнеса
+7 (499) 673-37-62

09.10.2024

Критерии выбора PAM-системы

Критерии выбора PAM-системы

Получить консультацию по Solar SafeInspect

Чтобы снизить риски, связанные с расширенными полномочиями, целесообразно включить в арсенал средств информационной защиты решения класса Privileged Access Management (далее — PAM), используемые для мониторинга действий привилегированных пользователей и управления привилегированными учетными записями (УЗ). Пример такого продукта — полнофункциональная отечественная платформа Solar SafeInspect от ГК «Солар». В статье расскажем о целях внедрения, выполняемых задачах и возможных функциях системы — словом, о том, от чего зависят критерии выбора PAM-системы.

Зачем нужна PAM-система

В общем смысле PAM-система необходима для контроля привилегированных пользователей, которым назначены расширенные права для доступа к базам данных, бизнес-приложениям, сетевому оборудованию, СЗИ, вычислительным машинам. Если действия сотрудников в отношении перечисленных объектов не будут контролироваться, для компании возрастут риски инцидентов ИБ.

Наиболее вероятные угрозы, связанные с привилегированным доступом:

  • Несанкционированное отключение средств информационной защиты и мониторинга.
  • Несогласованное изменение конфигурации целевых серверов.
  • Утечки критически важной информации.
  • Создание уязвимостей в инфраструктуре, которые могут стать входными точками для атак внешних злоумышленников.

Внедрение PAM-платформы позволит держать ситуацию под контролем и предотвращать нарушения политик безопасности, правил работы с критически важными объектами информационной инфраструктуры.

Зачем нужна PAM-система и какие функции она выполняет?

  • Обнаружение всех обладателей расширенных прав доступа.
  • Проксирование сессий, инициированных привилегированными пользователями.
  • Мониторинг действий сотрудников с расширенными правами доступа, прерывание рабочих сеансов в случае нарушения политик безопасности.
  • Запись рабочих сессий сотрудников, наделенных широким кругом прав, хранение записей, предоставление инструментов для детального анализа собранных сведений.
  • Организация гранулированного доступа для привилегированных пользователей с опорой на действующие политики ИБ.
  • Обеспечение надежной аутентификации привилегированных пользователей разными способами с целью проверки правомерности доступа.
  • Защита привилегированных учетных данных путем сокрытия и автоматической подстановки при подключении к критически важным системам.

Еще одна задача PAM-платформы — отслеживание команд, которые выполняются в SSH-сессиях, и процессов, запускаемых в RDP-соединениях. Это важно, поскольку ряд действий приводит к удалению данных с ресурсов, нарушению работы сетевого оборудования, отказу базы данных и другим негативным последствиям. В PAM-решении можно формировать белые и черные списки команд, при необходимости управлять разрешениями для конкретных сотрудников, расширяя или урезая полномочия.

Преимущества внедрения PAM-платформы для обеспечения контролируемого привилегированного доступа

Если сделан правильный выбор PAM-системы, внедрение решения принесет компании следующие плюсы:

  • Поиск всех привилегированных пользователей с целью проверки полномочий и соблюдения принципа наименьших привилегий.
  • Централизованное управление доступом и всеми операциями, совершаемыми пользователями с расширенным набором прав.
  • Постоянный мониторинг привилегированных рабочих сессий, гибкие возможности для детального анализа собранной информации.
  • Отслеживание попыток несанкционированного доступа к критически важным информационным массивам.
  • Помощь в проведении аудита действий сотрудников с широкими полномочиями и расследований внутренних инцидентов, связанных с неправомерными операциями, совершаемыми привилегированными пользователями.
ключевые критерии выбора pam-системы

Ключевые критерии выбора PAM-системы

Какими качествами должно обладать решение, обеспечивающее безопасность привилегированного доступа?

  • Совместимость с инфраструктурой предприятия — используемыми аппаратными и программными средствами.
  • Возможность масштабировать решение, чтобы оно росло вместе с компанией, адаптировалось к изменениям бизнес-процессов.
  • Поддержка механизмов надежной аутентификации для организации защищенных рабочих сеансов привилегированных пользователей.
  • Высокий уровень функциональности — возможность с помощью PAM-системы закрывать поставленные задачи в части управления привилегированным доступом, мониторинга действий привилегированных пользователей.
  • Наличие интуитивно понятного пользовательского интерфейса.
  • Регулярный выпуск обновлений как значимый фактор корректной работы системы.
  • Поддержка разных сценариев интеграции платформы в информационную инфраструктуру.

При выборе PAM-системы стоит отталкиваться от характеристик инфраструктуры, количества штатных и внештатных сотрудников с расширенными правами доступа. Важно ответить на следующие вопросы:

  • Кому потребуется доступ к привилегированным УЗ?
  • Нужна ли функция делегирования, предполагающая выдачу минимальных полномочий для выполнения конкретных задач?
  • Будут ли использоваться прозрачные режимы работы PAM-решения?
  • Осуществляется ли удаленный доступ к критически важным ресурсам и др.?

Ответы на эти вопросы позволят сформировать дополнительные критерии выбора и найти платформу, полностью закрывающую все нужды организации.

Как Solar SafeInspect соответствует критериям выбора PAM-системы

Начнем с архитектуры, которая играет не последнюю роль при выборе PAM-системы. Solar SafeInspect — монолитная платформа, способная функционировать без установки на контролируемые серверы специальных агентов. Вариант поставки — ISO-образ. Компоненты: менеджер и коллекторы, ключевой функцией которых является захват трафика. В стандартном варианте установки менеджер может быть только один, коллекторов — несколько. Компоненты устанавливаются либо на одну виртуальную машину, либо менеджер и коллекторы разносятся на разные ВМ в зависимости от целей внедрения PAM-системы, типа сетевой топологии.

Соответствие Solar SafeInspect другим критериям выбора PAM-системы:

  • Поддержка нескольких способов аутентификации: по созданным в системе локальным учетным записям, доменным УЗ с помощью протоколов LDAP/LDAPS, с применением сторонних решений для многофакторной аутентификации, использующих для работы протоколы RADIUS и TACACS+.
  • Все настройки системы и дальнейшее администрирование после установки производятся через понятный веб-интерфейс.
  • Возможность внедрения в территориально распределенную инфраструктуру позволяет централизованно управлять привилегированным доступом в филиалах компании.
  • Продуманные механизмы отказоустойчивости помогают избежать тотального отказа PAM-системы в случае проблем с какими-либо компонентами продукта.

Solar SafeInspect может работать в трех сценариях интеграции, два из которых — прозрачные. Это режимы сетевого моста (пользователи и серверы в одной сети) и маршрутизатора (пользователи и серверы как в одной сети, так и в разных). Если Solar SafeInspect работает в одном из них, авторизация происходит автоматически, незаметно для пользователей. Третий и наиболее распространенный режим — «Бастион» предполагает явную авторизацию через специальную форму. При выборе PAM-системы стоит сразу определиться, какие сценарии нужно будет использовать.

ЗАКЛЮЧЕНИЕ

Внедрение PAM-системы позволяет избежать внутренних инцидентов с участием привилегированных пользователей, предотвратить захват УЗ с расширенными правами, повысить общий уровень информационной безопасности организации. Такое решение используется для контроля привилегированного доступа, мониторинга операций в рамках привилегированных сессий, обеспечения соблюдения внутренних политик и отраслевых норм. Чтобы платформа выполняла все поставленные перед ней задачи, необходимо ответственно подойти к выбору PAM-системы, учитывая объективные критерии, которые будут влиять на функциональность. Solar SafeInspect подойдет для организаций любого масштаба в разных сферах деятельности. Чтобы оценить удобство интерфейса и нюансы работы системы, можно бесплатно протестировать продукт в рамках пилотного проекта.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Использование привилегированных учетных записей при проведении атак на инфраструктуру

Использование привилегированных учетных записей при проведении атак на инфраструктуру

Узнать больше
Управление доступом к критичным ресурсам компании

Управление доступом к критичным ресурсам компании

Узнать больше
Обеспечение отказоустойчивости PAM-систем в распределенной инфраструктуре

Обеспечение отказоустойчивости PAM-систем в распределенной инфраструктуре

Узнать больше
Контроль работы удаленных сотрудников с помощью PAM-системы

Контроль работы удаленных сотрудников с помощью PAM-системы

Узнать больше
Интеграция PAM-системы с другими системами управления доступом

Интеграция PAM-системы с другими системами управления доступом

Узнать больше
Подготовка инфраструктуры компании к внедрению PAM-системы

Подготовка инфраструктуры компании к внедрению PAM-системы

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.