В контексте нормального функционирования процессов анализа данных и принятия решений важно, чтобы каждый участник для исполнения своих обязанностей был обеспечен доступом к необходимым и достаточным ресурсам. Не больше!
Автор: Николай Валаев, специалист по продуктам контроля привилегированного доступа компании Web Control
Для поддержания правильной работы информационной системы нужны администраторы, обладающие привилегией доступа ко всем ее подсистемам и компонентам. Возникает вопрос: как организовать выдачу прав доступа и установить ответственность для такой необычной категории пользователей? Чтобы структурировать доступ системных администраторов к корпоративным ресурсам, существуют системы контроля привилегированного доступа, PAM (Privilege Access Management).
Что нужно учесть при выборе PAM? Управляемая ИТ-инфраструктура должна быть достаточно сложной. Если у вас работают, к примеру, два сменных администратора, вполне можно обойтись стандартными средствами контроля доступа. Однако же если администраторов, серверов и систем больше двух десятков, если наблюдается текучка кадров, если вы привлекаете аутсорсеров, о которых зачастую известен лишь логин, если бизнесу необходимо защищать коммерческую тайну, и утечка может фатально повлиять на его жизнедеятельность, то следует серьезно задуматься о внедрении PAM. PAM динамически ограничивает привилегированный доступ временными рамками, назначенной задачей, целевым ресурсом и возможностью эскалации запроса на доступ к ответственным лицам. При этом в идеале PAM дает администраторам систем лишь минимально необходимые привилегии. Что PAM должна уметь?
Недоступность неограниченного доступа для пользователей обеспечивается за счет сокрытия паролей от привилегированных учетных записей. Система PAM сама создаст новую сессию, инжектирует логин и пароль в нужные окна и после авторизации выдаст готовую сессию пользователю. Если же необходимо раскрыть пользователю пароль, система сама поменяет этот пароль после использования. Поддерживается также контроль использования разделенных учетных записей. С помощью PAM вы без большого труда найдете того, кто, к примеру, пару недель назад неправомерно загрузил образ из-под root.
В системе PAM должна поддерживаться видеозапись и журналирование всех действий пользователей с возможностью последующего поиска с фильтрацией. Во избежание ненужной траты человеческого ресурса на мониторинг в режиме 24х7 должна поддерживаться автоматическая реакция системы на некорректные действия пользователей в виде уведомлений офицерам ИБ, предупреждений пользователям, блокировки или перехвата ввода либо полной блокировки учетной записи пользователя.