Indeed Privileged Access Manager (Indeed PAM)

Продукт
Разработчики: Indeed ID, ранее Indeed Identity (Индид Компетенс Ай Ти)
Технологии: ИБ - Аутентификация,  СКУД - Системы контроля и управления доступом

Продукт Indeed Privileged Access Manager (Indeed PAM) разрабатывается "с нуля" как система управления доступом с использованием привилегированных учетных записей. В основе продукта лежит многолетний опыт компании "Индид" по созданию продуктов в области информационной безопасности.

2019: Описание Indeed Privileged Access Manager

(Данные актуальны на март 2019 года)

Политики и разрешения

Политики и разрешения определяют параметры привилегированного доступа:

  • кому предоставлен доступ
  • к каким учетным записям предоставлен доступ
  • к каким ресурсам (серверам и оборудованию) предоставлен доступ
  • на какое время (постоянно/временно, в рабочие часы или в любое время)
  • какую запись сессий нужно производить (видео и текстовую запись, только текстовую, скриншоты и т.п.)
  • какие локальные ресурсы (диски, смарт-карты) будут доступны пользователю в удаленной сессии
  • разрешено ли пользователю просматривать пароль привилегированной учетной записи

Централизованные политики сокращают затраты на администрирование системы и делают параметры и права доступа прозрачными для специалистов информационной безопасности и аудиторов.

Хранилище привилегированных учетных данных

Учетные данные, необходимые для доступа (логины, пароли, SSH-ключ) хранятся в хранилище, к которому имеет доступ только сервер Indeed PAM. Хранение и передача данных к/от сервера производится в зашифрованном виде с применением стойких алгоритмов шифрования. Доступ к хранилищу ограничен и возможен только для сервера PAM, для реализации этого подхода применяется специальная процедура по "запечатыванию" сервера — hardening сервера базы данных.

Подсистема записи сессий

Все сеансы привилегированного доступа записываются в обязательном порядке и сохраняются в архиве Indeed PAM. В архиве записи хранятся в зашифрованном виде, получить к ним доступ возможно, только обладая соответствующими полномочиями в рамках системы PAM.

Записи ведутся в следующих форматах:

  • Текстовая запись ведется всегда и фиксирует такие данные:
    • полный ввод и вывод консоли в SSH-подключениях;
    • все запускаемые процессы, открываемые окна и клавиатурный ввод для RDP-подключений.

  • Видеозапись производится как для RDP, так и для SSH подключений. Видеозапись не обязательна, ее включение выполняется администратором PAM с помощью механизма политик. Качество видео настраивается и может быть разным для различных учетных записей, например, сеансы администраторов домена могут записываться с максимальным качеством, а сеансы операторов со сжатием.
  • Снятие снимков экрана также производится как для RDP, так и для SSH-подключений. Сохранение снимков экрана не обязательно, его включение выполняется администратором PAM с помощью механизма политик. Частота снятия и качество снимков экрана задается в политиках.

Просмотр активных сессий доступен в режиме реального времени с возможностью разрыва сессии администратором PAM.

Журнальный сервер

Журнальный сервер является выделенным сервисом по сбору событий Indeed PAM. Такие события включают в себя всю активность администраторов и пользователей PAM. Журнал фиксирует, кто и какие параметры системы изменял и кто под какими учетными данными выполнял подключение к целевым ресурсам.

Для удобства интеграции в SIEM и своевременного реагирования на инциденты, события могут доставляться по протоколу syslog на сторонний журнальный сервер.

Консоль администратора

Консоль администратора предоставляет интерфейс для настройки, управления и аудита работы системы и выполнена в виде веб-приложения. Используя консоль, администратор предоставляет пользователям доступ к учетным данным, настраивает политики доступа и просматривает журналы событий и записи привилегированных сессий. Также консоль позволяет администраторам PAM просматривать активные привилегированные сессии в реальном времени и, при необходимости, прекращать сеанс работы сотрудника. Доступ в консоль администратора выполняется с помощью двухфакторной аутентификации.

Сервисы самообслуживания

Для получения привилегированного доступа сотрудники используют два инструмента:

  • Консоль пользователя, выполненная в виде веб-приложения. В консоли пользователя сотрудники просматривают доступные им учетные записи и ресурсы, а также запускают привилегированные сессии.
  • Приложение на сервере доступе. С использованием этого приложения сотрудники получают доступ минуя консоль пользователя. В этом случае сотрудник подключается напрямую к серверу доступа, где ему предлагается выбрать разрешенное подключение.

В обоих случаях доступ сотрудников защищен двухфакторной аутентификацией с помощью OTP (One-Time Password).

Модули доступа

Модули доступа предоставляют механизмы открытия и записи привилегированных сессий.

Сервер доступа

Сервер доступа реализует централизованную модель получения привилегированного доступа. Сотрудник сначала выполняет подключение к серверу доступа, на котором проверяются его права и выполняется аутентификация по второму фактору, после чего сотруднику открывается сессия на целевом ресурсе.

SSH Proxy

SSH Proxy является альтернативным вариантом получения доступа через Indeed PAM в Linux/Unix-системы.

Подсистема управления учетными записями

При использовании систем класса PAM офицерам информационной безопасности важно понимать, что в инфраструктуре компании нет неучтенных привилегированных записей, и доступ к ним контролируется и протоколируется. В рамках Indeed PAM эту задачу решает подсистема управления учетными записями.

Подсистема выполняет следующие функции:

  • Периодический поиск новых привилегированных учетных записей на целевых ресурсах. Данная мера позволяет защититься от недобросовестного администратора, который создал себе учетную запись для работы в обход системы PAM.
  • Периодическая проверка паролей и SSH-ключей привилегированных учетных записей. Данная функция позволяет убедиться, что в хранилище PAM содержатся актуальные учетные данные и недобросовестный администратор не выполнил сброс пароля учетной записи для использования ее в обход PAM.
  • Периодическая смена паролей и SSH-ключей. Indeed PAM генерирует случайные сложные пароли и SSH-ключи для контролируемых привилегированных учетных данных, защищая их от несанкционированного доступа.
  • Сброс пароля учетной записи после показа его пользователю. Администратор PAM может разрешить сотрудники просматривать пароль привилегированной учетной записи в тех случаях, когда необходимо явное использование пароля. После того, как сотрудник получит пароль, через заданный промежуток времени Indeed PAM сбросит пароль в новое случайное значение.

Для выполнения указанных функций в состав подсистемы управления учетными записями входят модули подключения (коннекторы) для целевых систем:

  • коннектор к Active Directory;
  • коннектор к Windows и Windows Server;
  • SSH-коннектор для подключения к Linux/Unix-системам на базе различных дистрибутивов.

Основные характеристики Indeed PAM

  • Протоколы доступа — RDP, SSH, HTTP(s)
  • Поддерживаемые типы учетных данных — Имя пользователя + пароль, SSH-ключи
  • Поиск привилегированных учетных записей и управление паролем — Windows, Linux, Active Directory
  • Поддерживаемые каталоги пользователей — Active Directory
  • Технологии двухфакторной аутентификации — Пароль + TOTP (программный генератор)
  • Поддерживаемые типы записи сессий — Текстовый лог, Видеозапись, Снимки экрана
  • Технологии удаленного доступа — Microsoft RDS, SSH Proxy



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (1)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год