Продукт Indeed Privileged Access Manager (Indeed PAM) “с нуля” разрабатывается как система управления доступом с использованием привилегированных учетных записей. В основе продукта лежит многолетний опыт компании Индид по созданию продуктов в области информационной безопасности. Основные решаемые задачи этого продукта следующие:

• Регистрация попыток использования привилегированных учетных записей в журнале доступа, с указанием какой сотрудник, когда и к какой учетной записи получал доступ
• Ведение видео- и текстовой записи привилегированных сессий с возможностью просмотра архива сессий
• Обеспечение мультифакторной аутентификации сотрудников при доступе к привилегированным учетным записям
• Хранение паролей привилегированных учетных записей в секрете от сотрудников, регулярная смена паролей на случайные значения

Indeed PAM состоит из следующих функциональных и логических модулей.

Политики и разрешения

Политики и разрешения определяют параметры привилегированного доступа:

• кому предоставлен доступ
• к каким учетным записям предоставлен доступ
• к каким ресурсам (серверам и оборудованию) предоставлен доступ
• на какое время (постоянно/временно, в рабочие часы или в любое время)
• какую запись сессий нужно производить (видео- и текстовую запись, только текстовую, скриншоты и т.п.)
• какие локальные ресурсы (диски, смарт-карты) будут доступны пользователю в удаленной сессии
• разрешено ли пользователю просматривать пароль привилегированной учетной записи

Централизованные политики сокращают затраты на администрирование системы и делают параметры и права доступа прозрачными для специалистов информационной безопасности и аудиторов.

Хранилище привилегированных учетных данных

Учетные данные, необходимые для доступа (логины, пароли, SSH-ключ) хранятся в хранилище, к которому имеет доступ только сервер Indeed PAM. Хранение и передача данных к/от сервера производится в зашифрованном виде с применением стойких алгоритмов шифрования. Доступ к хранилищу ограничен и возможен только для сервера PAM, для реализации этого подхода применяется специальная процедура по “запечатыванию” сервера - hardening сервера базы данных.

Подсистема записи сессий

Все сеансы привилегированного доступа записываются в обязательном порядке и сохраняются в архиве Indeed PAM. В архиве записи хранятся в зашифрованном виде, получить к ним доступ возможно только обладая соответствующими полномочиями в рамках системы PAM. Записи ведутся в следующих форматах:

Текстовая запись ведется всегда и фиксирует такие данные:

• полный ввод и вывод консоли в SSH подключениях;
• все запускаемые процессы, открываемые окна и клавиатурный ввод для RDP подключений.
• Видеозапись производится как для RDP, так и для SSH подключений. Видеозапись не обязательна, ее включение выполняется администратором PAM с помощью механизма политик. Качество видео настраивается и может быть разным для различных учетных записей, например, сеансы администраторов домена могут записываться с максимальным качеством, а сеансы операторов со сжатием.
• Снятие снимков экрана также производится как для RDP, так и для SSH подключений. Сохранение снимков экрана не обязательно, его включение выполняется администратором PAM с помощью механизма политик. Частота снятия и качество снимков экрана задается в политиках.

Просмотр активных сессий доступен в режиме реального времени с возможностью разрыва сессии администратором PAM.

Журнальный сервер

Журнальный сервер является выделенным сервисом по сбору событий Indeed PAM. Такие события включают в себя всю активность администраторов и пользователей PAM. Журнал фиксирует кто и какие параметры системы изменял и кто под какими учетными данными выполнял подключение к целевым ресурсам.

Для удобства интеграции в SEIM и своевременного реагирования на инциденты, события могут доставляться по протоколу syslog на сторонний журнальный сервер.

Консоль администратора

Консоль администратора предоставляет интерфейс для настройки, управления и аудита работы системы и выполнена в виде web-приложения. Используя консоль, администратор предоставляет пользователям доступ к учетным данным, настраивает политики доступа и просматривает журналы событий и записи привилегированных сессий. Также консоль позволяет администраторам PAM просматривать активные привилегированные сессии в реальном времени и, при необходимости, прекращать сеанс работы сотрудника. Доступ в консоль администратора выполняется с помощью двухфакторной аутентификации.

Сервисы самообслуживания

Для получения привилегированного доступа сотрудники используют два инструмента:

• Консоль пользователя, выполненная в виде web-приложения. В консоли пользователя сотрудники просматривают доступные им учетные записи и ресурсы, а также запускают привилегированные сессии.
• Приложение на сервере доступе. С использованием этого приложения сотрудники получают доступ минуя консоль пользователя. В этом случае сотрудник подключается напрямую к серверу доступа, где ему предлагается выбрать разрешенное подключение.

В обоих случаях доступ сотрудников защищен двухфакторной аутентификацией с помощью OTP (One-Time Password).

Модули доступа

Модули доступа предоставляют механизмы открытия и записи привилегированных сессий.

Сервер доступа

Сервер доступа реализует централизованную модель получения привилегированного доступа. Сотрудник сначала выполняет подключение к серверу доступа, на котором проверяются его права и выполняется аутентификация по второму фактору, после чего, сотруднику открывается сессия на целевом ресурсе.

SSH Proxy

SSH Proxy является альтернативным вариантом получения доступа через Indeed PAM в Linux/Unix системы.

Подсистема управления учетными записями

При использовании систем класса PAM офицерам информационной безопасности важно понимать, что в инфраструктуре компании нет неучтенных привилегированных записей и доступ к ним контролируется и протоколируется. В рамках Indeed PAM эту задачу решает подсистема управления учетными записями. Подсистема выполняет следующие функции:

• Периодический поиск новых привилегированных учетных записей на целевых ресурсах. Данная мера позволяет защититься от недобросовестного администратора, который создал себе учетную запись для работы в обход системы PAM.
• Периодическая проверка паролей и SSH-ключей привилегированных учетных записей. Данная функция позволяет убедиться, что в хранилище PAM содержатся актуальные учетные данные и недобросовестный администратор не выполнил сброс пароля учетной записи для использования ее в обход PAM.
• Периодическая смена паролей и SSH-ключей. Indeed PAM генерирует случайные сложные пароли и SSH-ключи для контролируемых привилегированных учетных данных, защищая их от несанкционированного доступа.
• Сброс пароля учетной записи после показа его пользователю. Администратор PAM может разрешить сотрудники просматривать пароль привилегированной учетной записи в тех случаях, когда необходимо явное использование пароля. После того, как сотрудник получит пароль, через заданный промежуток времени Indeed PAM сбросит пароль в новое случайное значение.

Для выполнения указанных функций в состав подсистемы управления учетными записями входят модули подключения (коннекторы) для целевых систем:

• коннектор к Active Directory;
• коннектор к Windows и Windows Server;
• SSH-коннектор для подключения к Linux/Unix системам на базе различных дистрибутивов.

Основные характеристики Indeed PAM

• Протоколы доступа - RDP, SSH, HTTP(s)
• Поддерживаемые типы учетных данных - Имя пользователя + пароль, SSH-ключи
• Поиск привилегированных учетных записей и управление паролем - Windows, Linux, Active Directory
• Поддерживаемые каталоги пользователей - Active Directory
• Технологии двухфакторной аутентификации - Пароль + TOTP (программный генератор)
• Поддерживаемые типы записи сессий - Текстовый лог, Видеозапись, Снимки экрана
• Технологии удаленного доступа - Microsoft RDS, SSH Proxy