Что такое PAM?
Система контроля действий привилегированных пользователей, также известная как Privilege Access Management (далее – PAM) предназначена для обеспечения безопасности высококритичных активов в корпоративной сети клиента (информационные системы, ресурсы и оборудование) при организации доступа разработчиков и администраторов, в том числе сторонних организаций, для выполнения работ по сопровождению и администрированию.
PAM состоит из технологий и процессов, которые управляют доступом пользователей с административными правами к целевым системам компании. Данные пользователи (часто называемые привилегированными пользователями или административными пользователями) зачастую имеют полный доступ к критически важным системам, что позволяет им:
- Изменять настройки системы (отключение межсетевого экрана, изменение веток реестра, отключение СЗИ и т.д.).
- Удалять и создавать учетные записи пользователей баз данных.
- Удалять или изменять конфиденциальные данные.
- Устанавливать вредоносное программное обеспечение.
- Выполнять несанкционированные действия в системе.
Сложность ситуации по контролю привилегированных пользователей заключается в том, что данными пользователями являются сотрудники компании, подрядчики или даже автоматизированные приложения.
Решение PAM предлагает администраторам безопасности надежную защиту от несанкционированного использования привилегированного доступа данными пользователями. Решение класса PAM позволяет организовать следующие процессы:
- Предоставление и отзыв привилегий к целевым системам.
- Управление паролями от целевых систем.
- Централизованное и быстрое управление доступом к разрозненному набору гетерогенных систем.
Благодаря таким средствам контроля и их возможностям риск нарушения конфиденциальности данных уменьшается. Разумеется, нет ничего идеального, но с использованием решений класса PAM минимизируются риски нарушения информационной безопасности. Например, при наличии PAM менее вероятно, что прежний сотрудник сохранит привилегированные права доступа, подрядчик осуществит нелегитимные действия в Вашей инфраструктуре, а злоумышленник не сможет переопределить пароли на целевых системах. Использование решения PAM значительно усложняет реализацию атаки на критичные системы организации как для внутренних, так и внешних нарушителей.
Какие задачи решает PAM-система?
Система контроля за действиями привилегированных пользователей решает следующие задачи:
- исключение возможности прямого доступа администраторов и разработчиков к информационным системам, ресурсам и оборудованию;
- создание детальных политик доступа привилегированных пользователей к информационным системам, ресурсам и оборудованию, с возможностью задания периода времени предоставления доступа;
- управление паролями привилегированных учетных записей: смена пароля (при необходимости), определение сложности и срока действия пароля;
- защита сетевой сессии при удаленном доступе путем применения криптографических методов защиты информации (посредством протокола https);
- открытие и прерывание сессий доступа привилегированного пользователя к информационным системам, ресурсам и оборудованию в режиме реального времени;
- полная и детальная регистрация действий привилегированных пользователей, ведение видеозаписи или текстового лога операций администрирования и сопровождения информационных систем, ресурсов и оборудования;
- запрет на модификацию и/или удаление журналов аудита и видеоархива PAM от имени учетных записей привилегированных пользователей;
- защищенное хранение учетных записей привилегированных пользователей для доступа к информационным системам, ресурсам и оборудованию;
- защищенное хранение видеоархива и тестового лога действий привилегированных пользователей.
Как работает PAM-система?
Для получения доступа к целевой системе, пользователи должны первоначально подключиться к системе PAM. Подключение пользователей осуществляется при помощи веб-интерфейса системы PAM. Аутентификация в интерфейсе системы PAM осуществляется с помощью встроенных или доменных учетных записей (интеграция с Active Directory), также поддерживается двухфакторная аутентификация с помощью аппаратных токенов.
После прохождения процедуры авторизации в системе PAM пользователь может осуществить подключение к целевой системе, которая настроена в системе PAM в соответствии с политикой безопасности.
Открываемые сессии привилегированных пользователей отслеживаются в режиме реального времени. Администратор безопасности может контролировать действия пользователей и при необходимости принудительно разрывать соединения в любой момент. Все действия, выполняемые по протоколам RDP, SSH и Telnet, записываются как видеозаписи или текстовые трансляции (только для SSH и RDP), которые в последствии могут быть просмотрены администратором безопасности.
Какие услуги мы оказываем?
«Стайл Телеком» предлагает комплексный подход по внедрению PAM-систем, включающий:
- консультации по выбору PAM-системы;
- сравнение PAM-систем различных производителей с целью выбора оптимального для вас решения;
- проведение пилота PAM-системы на вашей территории (возможно использование как вашего, так и нашего оборудования);
- проведение всех стадий проектных работ (в том числе в соответствии с ГОСТ) в части внедрения PAM-системы;
- сопровождение внедренной PAM-системы.
Наша команда инженеров имеет опыт внедрения PAM систем различных производителей: Wallix, Xceedium, ObserveIT, SafeInspect, Balabit, Thycotic и др.