Контакты
Подписка 2026

Критерии выбора системы PAM

Николай Валаев, 14/04/21

В контексте нормального функционирования процессов анализа данных и принятия решений важно, чтобы каждый участник для исполнения своих обязанностей был обеспечен доступом к необходимым и достаточным ресурсам. Не больше!

Автор: Николай Валаев, специалист по продуктам контроля привилегированного доступа компании Web Control

Для поддержания правильной работы информационной системы нужны администраторы, обладающие привилегией доступа ко всем ее подсистемам и компонентам. Возникает вопрос: как организовать выдачу прав доступа и установить ответственность для такой необычной категории пользователей? Чтобы структурировать доступ системных администраторов к корпоративным ресурсам, существуют системы контроля привилегированного доступа, PAM (Privilege Access Management).

Что нужно учесть при выборе PAM? Управляемая ИТ-инфраструктура должна быть достаточно сложной. Если у вас работают, к примеру, два сменных администратора, вполне можно обойтись стандартными средствами контроля доступа. Однако же если администраторов, серверов и систем больше двух десятков, если наблюдается текучка кадров, если вы привлекаете аутсорсеров, о которых зачастую известен лишь логин, если бизнесу необходимо защищать коммерческую тайну, и утечка может фатально повлиять на его жизнедеятельность, то следует серьезно задуматься о внедрении PAM. PAM динамически ограничивает привилегированный доступ временными рамками, назначенной задачей, целевым ресурсом и возможностью эскалации запроса на доступ к ответственным лицам. При этом в идеале PAM дает администраторам систем лишь минимально необходимые привилегии. Что PAM должна уметь?

  1. Следует серьезно задуматься о безопасности самой системы PAM, поскольку ее компрометация тождественна утечке доступа ко всем ресурсам.
  2. Нужна высокая доступность системы PAM и инструкция по действиям в случае ее отказа.
  3. Следует понимать, что специалисты, на деятельность которых влияет эта система, обладают повышенной экспертизой в ИТ, и это несет дополнительные риски в случае, если кто-то из них задумается об обходе системы.
  4. Не следует забывать о технологических учетных записях, которые, как правило, не имеют своего хозяина и оказываются вне фокуса внимания.
  5. PAM должна уметь работать в гетерогенной среде, иметь возможность управлять всем существующим и будущим набором систем и средств вашего ИТ-ландшафта.
  6. Система должна поддерживать весь набор привычных вашим администраторам инструментов.

Недоступность неограниченного доступа для пользователей обеспечивается за счет сокрытия паролей от привилегированных учетных записей. Система PAM сама создаст новую сессию, инжектирует логин и пароль в нужные окна и после авторизации выдаст готовую сессию пользователю. Если же необходимо раскрыть пользователю пароль, система сама поменяет этот пароль после использования. Поддерживается также контроль использования разделенных учетных записей. С помощью PAM вы без большого труда найдете того, кто, к примеру, пару недель назад неправомерно загрузил образ из-под root.

В системе PAM должна поддерживаться видеозапись и журналирование всех действий пользователей с возможностью последующего поиска с фильтрацией. Во избежание ненужной траты человеческого ресурса на мониторинг в режиме 24х7 должна поддерживаться автоматическая реакция системы на некорректные действия пользователей в виде уведомлений офицерам ИБ, предупреждений пользователям, блокировки или перехвата ввода либо полной блокировки учетной записи пользователя.

Темы:СКУДЖурнал "Информационная безопасность" №1, 2021PAM
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Контроль привилегированного доступа: как перейти на российскую ОС и не перегрузить инфраструктуру
    Артем Назаретян, руководитель BI.ZONE PAM
    Переход на российские операционные системы затрагивает не только базовую инфраструктуру, но и смежные контуры безопасности. Наиболее чувствительный среди них – управление привилегированным доступом. В нем пересекаются требования регуляторов, риски кибератак и устойчивость ИТ-среды.
  • Зачем ЦОДу PAM? 7 глупых вопросов перед внедрением
    Владимир Алтухов, руководитель технического отдела “АйТи Бастион”
    При внедрении кибербезопасности в ЦОДах ключевыми становятся не столько модели угроз, сколько практическая польза, бюджет и риск создания громоздкой надстройки. Руководителям важнее понять, какую реальную задачу решит инструмент, а не следовать абстрактной теории.
  • Управление сервисными учетными записями в распределенных средах с Infrascope
    Дмитрий Симак, менеджер по продукту PAM Infrascope, компания NGR Softlab
    Infrascope от NGR Softlab закрывает разрыв между классическим PAM и потребностями современных инфраструктур за счет реализованного в нем подхода, ориентированного на масштабируемое управление сервисными учетными записями и секретами в распределенных средах.
  • Цепочка недоверия: как защититься от взлома подрядчиков
    Атаки через подрядчиков стремительно стали одним из самых опасных векторов взлома: легитимный доступ, слабые процессы и ошибки конфигурации создают для злоумышленников удобные точки входа. Мы расширяем периметр, доверяя внешним исполнителям, но не всегда успеваем выстроить контроль за ними.
  • IGA, PAM и серая зона между ними
    Вопрос разграничения зон ответственности IGA и PAM уже давно вроде бы решен. Но в реальности именно здесь формируются болезненные разрывы, которые не устраняются ни новыми релизами продуктов, ни бумажными регламентами. Там, где по теории проходит четкая граница, на практике возникает зона неопределенности, и она становится главным источником рисков и одновременно поводом для поиска новых решений
  • Типовые ошибки при внедрении PAM и как Infrascope помогает их избежать
    Алексей Дашков, директор Центра развития продуктов NGR Softlab
    Решения класса Privileged Access Management давно стали стандартом в арсенале служб информационной безопасности. Однако само по себе внедрение PAM-системы не гарантирует надежной защиты. На практике организации сталкиваются с тем, что даже формально развернутая и настроенная система не предотвращает инциденты, связанные с привилегированным доступом. Причина – в типичных ошибках, допущенных на этапе внедрения, интеграции и эксплуатации системы.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...