Критерии выбора системы PAM

В контексте нормального функционирования процессов анализа данных и принятия решений важно, чтобы каждый участник для исполнения своих обязанностей был обеспечен доступом к необходимым и достаточным ресурсам. Не больше!

Автор: Николай Валаев, специалист по продуктам контроля привилегированного доступа компании Web Control

Для поддержания правильной работы информационной системы нужны администраторы, обладающие привилегией доступа ко всем ее подсистемам и компонентам. Возникает вопрос: как организовать выдачу прав доступа и установить ответственность для такой необычной категории пользователей? Чтобы структурировать доступ системных администраторов к корпоративным ресурсам, существуют системы контроля привилегированного доступа, PAM (Privilege Access Management).

Что нужно учесть при выборе PAM? Управляемая ИТ-инфраструктура должна быть достаточно сложной. Если у вас работают, к примеру, два сменных администратора, вполне можно обойтись стандартными средствами контроля доступа. Однако же если администраторов, серверов и систем больше двух десятков, если наблюдается текучка кадров, если вы привлекаете аутсорсеров, о которых зачастую известен лишь логин, если бизнесу необходимо защищать коммерческую тайну, и утечка может фатально повлиять на его жизнедеятельность, то следует серьезно задуматься о внедрении PAM. PAM динамически ограничивает привилегированный доступ временными рамками, назначенной задачей, целевым ресурсом и возможностью эскалации запроса на доступ к ответственным лицам. При этом в идеале PAM дает администраторам систем лишь минимально необходимые привилегии. Что PAM должна уметь?

1. Следует серьезно задуматься о безопасности самой системы PAM, поскольку ее компрометация тождественна утечке доступа ко всем ресурсам.
2. Нужна высокая доступность системы PAM и инструкция по действиям в случае ее отказа.
3. Следует понимать, что специалисты, на деятельность которых влияет эта система, обладают повышенной экспертизой в ИТ, и это несет дополнительные риски в случае, если кто-то из них задумается об обходе системы.
4. Не следует забывать о технологических учетных записях, которые, как правило, не имеют своего хозяина и оказываются вне фокуса внимания.
5. PAM должна уметь работать в гетерогенной среде, иметь возможность управлять всем существующим и будущим набором систем и средств вашего ИТ-ландшафта.
6. Система должна поддерживать весь набор привычных вашим администраторам инструментов.

Недоступность неограниченного доступа для пользователей обеспечивается за счет сокрытия паролей от привилегированных учетных записей. Система PAM сама создаст новую сессию, инжектирует логин и пароль в нужные окна и после авторизации выдаст готовую сессию пользователю. Если же необходимо раскрыть пользователю пароль, система сама поменяет этот пароль после использования. Поддерживается также контроль использования разделенных учетных записей. С помощью PAM вы без большого труда найдете того, кто, к примеру, пару недель назад неправомерно загрузил образ из-под root.

В системе PAM должна поддерживаться видеозапись и журналирование всех действий пользователей с возможностью последующего поиска с фильтрацией. Во избежание ненужной траты человеческого ресурса на мониторинг в режиме 24х7 должна поддерживаться автоматическая реакция системы на некорректные действия пользователей в виде уведомлений офицерам ИБ, предупреждений пользователям, блокировки или перехвата ввода либо полной блокировки учетной записи пользователя.