Продукт Indeed Privileged Access Manager (Indeed PAM) “с нуля” разрабатывается как система управления доступом с использованием привилегированных учетных записей. В основе продукта лежит многолетний опыт компании Индид по созданию продуктов в области информационной безопасности. Основные решаемые задачи этого продукта следующие:
- Регистрация попыток использования привилегированных учетных записей в журнале доступа, с указанием какой сотрудник, когда и к какой учетной записи получал доступ
- Ведение видео- и текстовой записи привилегированных сессий с возможностью просмотра архива сессий
- Обеспечение мультифакторной аутентификации сотрудников при доступе к привилегированным учетным записям
- Хранение паролей привилегированных учетных записей в секрете от сотрудников, регулярная смена паролей на случайные значения
Indeed PAM состоит из следующих функциональных и логических модулей.
Политики и разрешения
Политики и разрешения определяют параметры привилегированного доступа:
- кому предоставлен доступ
- к каким учетным записям предоставлен доступ
- к каким ресурсам (серверам и оборудованию) предоставлен доступ
- на какое время (постоянно/временно, в рабочие часы или в любое время)
- какую запись сессий нужно производить (видео- и текстовую запись, только текстовую, скриншоты и т.п.)
- какие локальные ресурсы (диски, смарт-карты) будут доступны пользователю в удаленной сессии
- разрешено ли пользователю просматривать пароль привилегированной учетной записи
Централизованные политики сокращают затраты на администрирование системы и делают параметры и права доступа прозрачными для специалистов информационной безопасности и аудиторов.
Хранилище привилегированных учетных данных
Учетные данные, необходимые для доступа (логины, пароли, SSH-ключ) хранятся в хранилище, к которому имеет доступ только сервер Indeed PAM. Хранение и передача данных к/от сервера производится в зашифрованном виде с применением стойких алгоритмов шифрования. Доступ к хранилищу ограничен и возможен только для сервера PAM, для реализации этого подхода применяется специальная процедура по “запечатыванию” сервера - hardening сервера базы данных.
Подсистема записи сессий
Все сеансы привилегированного доступа записываются в обязательном порядке и сохраняются в архиве Indeed PAM. В архиве записи хранятся в зашифрованном виде, получить к ним доступ возможно только обладая соответствующими полномочиями в рамках системы PAM. Записи ведутся в следующих форматах:
Текстовая запись ведется всегда и фиксирует такие данные:
- полный ввод и вывод консоли в SSH подключениях;
- все запускаемые процессы, открываемые окна и клавиатурный ввод для RDP подключений.
- Видеозапись производится как для RDP, так и для SSH подключений. Видеозапись не обязательна, ее включение выполняется администратором PAM с помощью механизма политик. Качество видео настраивается и может быть разным для различных учетных записей, например, сеансы администраторов домена могут записываться с максимальным качеством, а сеансы операторов со сжатием.
- Снятие снимков экрана также производится как для RDP, так и для SSH подключений. Сохранение снимков экрана не обязательно, его включение выполняется администратором PAM с помощью механизма политик. Частота снятия и качество снимков экрана задается в политиках.
Просмотр активных сессий доступен в режиме реального времени с возможностью разрыва сессии администратором PAM.
Журнальный сервер
Журнальный сервер является выделенным сервисом по сбору событий Indeed PAM. Такие события включают в себя всю активность администраторов и пользователей PAM. Журнал фиксирует кто и какие параметры системы изменял и кто под какими учетными данными выполнял подключение к целевым ресурсам.
Для удобства интеграции в SEIM и своевременного реагирования на инциденты, события могут доставляться по протоколу syslog на сторонний журнальный сервер.
Консоль администратора
Консоль администратора предоставляет интерфейс для настройки, управления и аудита работы системы и выполнена в виде web-приложения. Используя консоль, администратор предоставляет пользователям доступ к учетным данным, настраивает политики доступа и просматривает журналы событий и записи привилегированных сессий. Также консоль позволяет администраторам PAM просматривать активные привилегированные сессии в реальном времени и, при необходимости, прекращать сеанс работы сотрудника. Доступ в консоль администратора выполняется с помощью двухфакторной аутентификации.
Сервисы самообслуживания
Для получения привилегированного доступа сотрудники используют два инструмента:
- Консоль пользователя, выполненная в виде web-приложения. В консоли пользователя сотрудники просматривают доступные им учетные записи и ресурсы, а также запускают привилегированные сессии.
- Приложение на сервере доступе. С использованием этого приложения сотрудники получают доступ минуя консоль пользователя. В этом случае сотрудник подключается напрямую к серверу доступа, где ему предлагается выбрать разрешенное подключение.
В обоих случаях доступ сотрудников защищен двухфакторной аутентификацией с помощью OTP (One-Time Password).
Модули доступа
Модули доступа предоставляют механизмы открытия и записи привилегированных сессий.
Сервер доступа
Сервер доступа реализует централизованную модель получения привилегированного доступа. Сотрудник сначала выполняет подключение к серверу доступа, на котором проверяются его права и выполняется аутентификация по второму фактору, после чего, сотруднику открывается сессия на целевом ресурсе.
SSH Proxy
SSH Proxy является альтернативным вариантом получения доступа через Indeed PAM в Linux/Unix системы.
Подсистема управления учетными записями
При использовании систем класса PAM офицерам информационной безопасности важно понимать, что в инфраструктуре компании нет неучтенных привилегированных записей и доступ к ним контролируется и протоколируется. В рамках Indeed PAM эту задачу решает подсистема управления учетными записями. Подсистема выполняет следующие функции:
- Периодический поиск новых привилегированных учетных записей на целевых ресурсах. Данная мера позволяет защититься от недобросовестного администратора, который создал себе учетную запись для работы в обход системы PAM.
- Периодическая проверка паролей и SSH-ключей привилегированных учетных записей. Данная функция позволяет убедиться, что в хранилище PAM содержатся актуальные учетные данные и недобросовестный администратор не выполнил сброс пароля учетной записи для использования ее в обход PAM.
- Периодическая смена паролей и SSH-ключей. Indeed PAM генерирует случайные сложные пароли и SSH-ключи для контролируемых привилегированных учетных данных, защищая их от несанкционированного доступа.
- Сброс пароля учетной записи после показа его пользователю. Администратор PAM может разрешить сотрудники просматривать пароль привилегированной учетной записи в тех случаях, когда необходимо явное использование пароля. После того, как сотрудник получит пароль, через заданный промежуток времени Indeed PAM сбросит пароль в новое случайное значение.
Для выполнения указанных функций в состав подсистемы управления учетными записями входят модули подключения (коннекторы) для целевых систем:
- коннектор к Active Directory;
- коннектор к Windows и Windows Server;
- SSH-коннектор для подключения к Linux/Unix системам на базе различных дистрибутивов.
Основные характеристики Indeed PAM
- Протоколы доступа - RDP, SSH, HTTP(s)
- Поддерживаемые типы учетных данных - Имя пользователя + пароль, SSH-ключи
- Поиск привилегированных учетных записей и управление паролем - Windows, Linux, Active Directory
- Поддерживаемые каталоги пользователей - Active Directory
- Технологии двухфакторной аутентификации - Пароль + TOTP (программный генератор)
- Поддерживаемые типы записи сессий - Текстовый лог, Видеозапись, Снимки экрана
- Технологии удаленного доступа - Microsoft RDS, SSH Proxy