Критерии выбора PAM-системы: функции и задачи

Получить консультацию по Solar SafeInspect

ФИО

Телефон

Я даю согласие на обработку персональных данных, на условия Политики по обработке персональных данных, а также на получение информационных материалов и рассылок

Чтобы снизить риски, связанные с расширенными полномочиями, целесообразно включить в арсенал средств информационной защиты решения класса Privileged Access Management (далее — PAM), используемые для мониторинга действий привилегированных пользователей и управления привилегированными учетными записями (УЗ). Пример такого продукта — полнофункциональная отечественная платформа Solar SafeInspect от ГК «Солар». В статье расскажем о целях внедрения, выполняемых задачах и возможных функциях системы — словом, о том, от чего зависят критерии выбора PAM-системы.

Зачем нужна PAM-система

В общем смысле PAM-система необходима для контроля привилегированных пользователей, которым назначены расширенные права для доступа к базам данных, бизнес-приложениям, сетевому оборудованию, СЗИ, вычислительным машинам. Если действия сотрудников в отношении перечисленных объектов не будут контролироваться, для компании возрастут риски инцидентов ИБ.

Наиболее вероятные угрозы, связанные с привилегированным доступом:

Несанкционированное отключение средств информационной защиты и мониторинга.
Несогласованное изменение конфигурации целевых серверов.
Утечки критически важной информации.
Создание уязвимостей в инфраструктуре, которые могут стать входными точками для атак внешних злоумышленников.

Внедрение PAM-платформы позволит держать ситуацию под контролем и предотвращать нарушения политик безопасности, правил работы с критически важными объектами информационной инфраструктуры.

Зачем нужна PAM-система и какие функции она выполняет?

Обнаружение всех обладателей расширенных прав доступа.
Проксирование сессий, инициированных привилегированными пользователями.
Мониторинг действий сотрудников с расширенными правами доступа, прерывание рабочих сеансов в случае нарушения политик безопасности.
Запись рабочих сессий сотрудников, наделенных широким кругом прав, хранение записей, предоставление инструментов для детального анализа собранных сведений.
Организация гранулированного доступа для привилегированных пользователей с опорой на действующие политики ИБ.
Обеспечение надежной аутентификации привилегированных пользователей разными способами с целью проверки правомерности доступа.
Защита привилегированных учетных данных путем сокрытия и автоматической подстановки при подключении к критически важным системам.

Еще одна задача PAM-платформы — отслеживание команд, которые выполняются в SSH-сессиях, и процессов, запускаемых в RDP-соединениях. Это важно, поскольку ряд действий приводит к удалению данных с ресурсов, нарушению работы сетевого оборудования, отказу базы данных и другим негативным последствиям. В PAM-решении можно формировать белые и черные списки команд, при необходимости управлять разрешениями для конкретных сотрудников, расширяя или урезая полномочия.

Преимущества внедрения PAM-платформы для обеспечения контролируемого привилегированного доступа

Если сделан правильный выбор PAM-системы, внедрение решения принесет компании следующие плюсы:

Поиск всех привилегированных пользователей с целью проверки полномочий и соблюдения принципа наименьших привилегий.
Централизованное управление доступом и всеми операциями, совершаемыми пользователями с расширенным набором прав.
Постоянный мониторинг привилегированных рабочих сессий, гибкие возможности для детального анализа собранной информации.
Отслеживание попыток несанкционированного доступа к критически важным информационным массивам.
Помощь в проведении аудита действий сотрудников с широкими полномочиями и расследований внутренних инцидентов, связанных с неправомерными операциями, совершаемыми привилегированными пользователями.

Ключевые критерии выбора PAM-системы

Какими качествами должно обладать решение, обеспечивающее безопасность привилегированного доступа?

Совместимость с инфраструктурой предприятия — используемыми аппаратными и программными средствами.
Возможность масштабировать решение, чтобы оно росло вместе с компанией, адаптировалось к изменениям бизнес-процессов.
Поддержка механизмов надежной аутентификации для организации защищенных рабочих сеансов привилегированных пользователей.
Высокий уровень функциональности — возможность с помощью PAM-системы закрывать поставленные задачи в части управления привилегированным доступом, мониторинга действий привилегированных пользователей.
Наличие интуитивно понятного пользовательского интерфейса.
Регулярный выпуск обновлений как значимый фактор корректной работы системы.
Поддержка разных сценариев интеграции платформы в информационную инфраструктуру.

При выборе PAM-системы стоит отталкиваться от характеристик инфраструктуры, количества штатных и внештатных сотрудников с расширенными правами доступа. Важно ответить на следующие вопросы:

Кому потребуется доступ к привилегированным УЗ?
Нужна ли функция делегирования, предполагающая выдачу минимальных полномочий для выполнения конкретных задач?
Будут ли использоваться прозрачные режимы работы PAM-решения?
Осуществляется ли удаленный доступ к критически важным ресурсам и др.?

Ответы на эти вопросы позволят сформировать дополнительные критерии выбора и найти платформу, полностью закрывающую все нужды организации.

Как Solar SafeInspect соответствует критериям выбора PAM-системы

Начнем с архитектуры, которая играет не последнюю роль при выборе PAM-системы. Solar SafeInspect — монолитная платформа, способная функционировать без установки на контролируемые серверы специальных агентов. Вариант поставки — ISO-образ. Компоненты: менеджер и коллекторы, ключевой функцией которых является захват трафика. В стандартном варианте установки менеджер может быть только один, коллекторов — несколько. Компоненты устанавливаются либо на одну виртуальную машину, либо менеджер и коллекторы разносятся на разные ВМ в зависимости от целей внедрения PAM-системы, типа сетевой топологии.

Соответствие Solar SafeInspect другим критериям выбора PAM-системы:

Поддержка нескольких способов аутентификации: по созданным в системе локальным учетным записям, доменным УЗ с помощью протоколов LDAP/LDAPS, с применением сторонних решений для многофакторной аутентификации, использующих для работы протоколы RADIUS и TACACS+.
Все настройки системы и дальнейшее администрирование после установки производятся через понятный веб-интерфейс.
Возможность внедрения в территориально распределенную инфраструктуру позволяет централизованно управлять привилегированным доступом в филиалах компании.
Продуманные механизмы отказоустойчивости помогают избежать тотального отказа PAM-системы в случае проблем с какими-либо компонентами продукта.

Solar SafeInspect может работать в трех сценариях интеграции, два из которых — прозрачные. Это режимы сетевого моста (пользователи и серверы в одной сети) и маршрутизатора (пользователи и серверы как в одной сети, так и в разных). Если Solar SafeInspect работает в одном из них, авторизация происходит автоматически, незаметно для пользователей. Третий и наиболее распространенный режим — «Бастион» предполагает явную авторизацию через специальную форму. При выборе PAM-системы стоит сразу определиться, какие сценарии нужно будет использовать.

ЗАКЛЮЧЕНИЕ

Внедрение PAM-системы позволяет избежать внутренних инцидентов с участием привилегированных пользователей, предотвратить захват УЗ с расширенными правами, повысить общий уровень информационной безопасности организации. Такое решение используется для контроля привилегированного доступа, мониторинга операций в рамках привилегированных сессий, обеспечения соблюдения внутренних политик и отраслевых норм. Чтобы платформа выполняла все поставленные перед ней задачи, необходимо ответственно подойти к выбору PAM-системы, учитывая объективные критерии, которые будут влиять на функциональность. Solar SafeInspect подойдет для организаций любого масштаба в разных сферах деятельности. Чтобы оценить удобство интерфейса и нюансы работы системы, можно бесплатно протестировать продукт в рамках пилотного проекта.