Система управления доступом: что это такое, возможности, функции и цели

Чтобы соблюдать в организациях принцип наименьших привилегий и назначать сотрудникам только релевантные полномочия для работы с конфиденциальными данными, целесообразно внедрить систему управления доступом и контроля действий привилегированных пользователей, чьи учетные записи нередко используются злоумышленниками для атак на ИТ-инфраструктуру. Пример такого решения — PAM (Privilege Access Management) Solar SafeInspect. В статье рассказываем, как оно работает, какие функции выполняет, чем будет полезно компаниям.

Определение системы контроля и управления доступом

Система управления доступом — комплекс технологий и инструментов, позволяющих контролировать пользовательский доступ к информационным ресурсам, отслеживать действия сотрудников в рамках рабочих сессий. Цели внедрения такого решения:

Обеспечение безопасности чувствительных данных.
Предотвращение несанкционированного доступа к объектам ИТ-инфраструктуры.
Соблюдение законодательства, стандартов защиты данных, отраслевых требований.

Система Solar SafeInspect предназначена для управления привилегированным доступом. Именно с привилегированными пользователями связаны высокие и критические риски ИБ, поскольку такие сотрудники работают с объектами сетевой инфраструктуры, базами данными, виртуальными машинами, СЗИ. Если не контролировать использование привилегированных аккаунтов, злоумышленники, получив к ним доступ, могут организовать атаку, отключить средства защиты информации, вывести из строя корпоративные сервисы, украсть конфиденциальные ресурсы.

Возможности системы контроля привилегированного доступа Solar SafeInspect

РАМ-решение выполняет следующие задачи:

Обнаруживает всех привилегированных пользователей в ИТ-инфраструктуре компании.
Изолирует рабочие сессии сотрудников с расширенными правами доступа.
Обеспечивает мониторинг работы привилегированных пользователей, автоматический или ручной обрыв сессии в случае нарушений.
Записывает рабочие сеансы и хранит собранные данные, располагая инструментами для анализа записанных сессий.
Предоставляет гранулированный привилегированный доступ для определенных сотрудников к конкретным информационным ресурсам на ограниченный период времени.
Контролирует все широко используемые протоколы передачи данных.
Управляет парольной политикой, обеспечивает периодическую смену паролей и их автоматическую подстановку при входе в аккаунты привилегированных пользователей.
Помогает в аудите привилегированного доступа — исследовании, кто, зачем и как давно пользуется расширенными правами.

Все соединения с серверами в рамках привилегированных сессий проходят через Solar SafeInspect. Система управления проверяет легитимность привилегированного доступа и, если все в порядке, разрешает подключение к информационной системе (ИС). С самого начала сессии Solar SafeInspect записывает работу пользователей и сохраняет записи для дальнейшего анализа.

Цели внедрения PAM-системы для контроля и управления привилегированным доступом

Внедряя решение класса PAM, компании преследуют три ключевые цели:

Снизить риски ИБ, связанные с привилегированным доступом.
Повысить эффективность управления полномочиями привилегированных пользователей, автоматизировать процессы выдачи доступа к критически важным объектам ИТ-инфраструктуры.
Предотвращать или расследовать инциденты ИБ благодаря фиксации всех действий привилегированных пользователей.
Контролировать выполнение сотрудниками и подрядчиками с расширенными правами служебных обязанностей.

Специализированная система позволит решить задачу управления привилегированным доступом с учетом особенностей ИТ-инфраструктуры, специфики бизнеса, количества сотрудников с расширенными правами доступа.

цели внедрения системы управления доступом

Внедрение системы для управления доступом и контроля работы привилегированных пользователей

Чтобы интегрировать PAM-систему безболезненно для бизнес-процессов, необходимо подготовить ИТ-инфраструктуру и разработать четкий план внедрения. Какие этапы необходимо пройти:

Обнаружить все привилегированные учетные записи, изучить актуальные полномочия сотрудников и процессы назначения им прав доступа.
Проанализировать эффективность уже используемых инструментов управления привилегированным доступом, зрелость существующего подхода к контролю действий пользователей.
Выявить уязвимости, которые могут стать причиной утечек данных и атак на ИТ-инфраструктуру. Примеры уязвимостей: небрежное хранение паролей, отсутствие ротации паролей, совместное неконтролируемое использование привилегированных аккаунтов, превышение служебных полномочий. Определив бреши безопасности, необходимо понять, что компания сейчас делает для их устранения и чем должна помочь система управления привилегированным доступом.
Сформировать требования к системе, выбрать подходящий формат внедрения, например аппаратный или виртуальный.
Определить, какими учетными записями необходимо управлять с помощью PAM-системы. На этом этапе также нужно подумать, нужен ли привилегированный доступ удаленным сотрудникам, аутсорсерам, подрядчикам. И если да, какие полномочия должны быть им назначены.
Выделить приоритетные задачи, которые необходимо решить в первую очередь. При этом следует учитывать отрасль деятельности, зрелость ИТ-инфраструктуры, численность штата, требования к безопасности и другие объективные факторы.

Чтобы протестировать функциональность системы контроля и управления привилегированным доступом, оценить целесообразность ее внедрения, оптимизировать затраты и определить возможные проблемы при эксплуатации, стоит запустить пилотный проект. Его этапы:

Внедрение PAM-системы в выбранном формате, первичные настройки.
Тестирование ключевых функций продукта в рабочей среде.
Кастомизация настроек под актуальные задачи (при необходимости).

Пилотный проект по внедрению Solar SafeInspect проводится при поддержке экспертов по ИБ и технических специалистов, которые помогут оценить эффективность работы системы управления привилегированным доступом, корректно выполнить настройки решения перед полноценным развертыванием, выделить необходимые вычислительные мощности.

Преимущества использования Solar SafeInspect в качестве системы контроля и управления привилегированным доступом

Сильные стороны РАМ-решения от ГК «Солар»:

Организация привилегированного доступа под актуальные бизнес-задачи: назначение постоянных или временных полномочий, доступ к определенным активам по расписанию, разрешение на конкретные действия и др.
Быстрое развертывание и готовность к работе через 2 часа при выборе формата Virtual Appliance.
Три сценария внедрения: режимы «Сетевой мост» и «Маршрутизатор» с прозрачным подключением, «Бастион» с явной авторизацией.
Возможность установки программного комплекса в любом месте ИТ-инфраструктуры без использования агентов на рабочих станциях.
Надежное хранение записанных сессий в зашифрованном виде во избежание несанкционированного использования.
Возможность двусторонней интеграции с IGA-системой Solar inRights для управления доступом.

Solar SafeInspect — PAM-система, сертифицированная ФСТЭК России по четвертому уровню доверия. Она адаптирована под российский рынок и подходит для импортозамещения.

преимущества система управления доступом

ЗАКЛЮЧЕНИЕ

Внедрение системы контроля и управления привилегированным доступом способствует повышению уровня информационной безопасности, соблюдению корпоративных политик ИБ, оптимизации процессов назначения полномочий. PAM-решение Solar SafeInspect выполняет широкий круг задач, среди которых: мониторинг работы привилегированных пользователей с возможностью записи сессий, прерывание сеансов в случае нарушений, организация гранулированного доступа и т. д. Чтобы узнать полный перечень функциональных возможностей и преимуществ системы, оставьте заявку на консультацию.