Роль систем класса PAM в реализации концепции Zero Trust
Александр Булатов, 26/04/23
Концепция нулевого доверия Zero Trust – это подход к безопасности информационных систем, который заключается в том, что ни одна часть сети или приложения не считается доверенной и не получает доступа к ресурсам без предварительной проверки подлинности и авторизации. Важную роль в реализации концепции Zero Trust играют решения класса PAM (Priveleged Access Management). На сегодняшний день наблюдается рост спроса на них, что связано с общим повышением угроз в области кибербезопасности. В настоящей статье рассмотрим, как PAM помогает в реализации концепции Zero Trust, на примере системы Infrascope, разработанной компанией NGR Softlab.
Автор: Александр Булатов, коммерческий директор NGR Softlab
В контексте PAM привилегированными считаются пользователи, имеющие расширенные права доступа к системе и данным. Это могут быть администраторы, системные аналитики, операторы баз данных, инженеры безопасности и другие сотрудники, имеющие возможность управлять конфигурацией и настройками системы, а также просматривать, редактировать или удалять чувствительные данные. Они обладают высоким уровнем привилегий и поэтому являются основными целями атак инсайдеров и злоумышленников. Управление привилегиями пользователей является одним из главных аспектов безопасности информационных систем и важным компонентом PAM.
Авторизация и аутентификация пользователей
Авторизация и аутентификация пользователей – это один из основных компонентов реализации концепции Zero Trust в информационной безопасности. Для обеспечения этой функциональности можно использовать системы класса PAM, которые обеспечивают удобный и гибкий механизм аутентификации и авторизации пользователей.
Системы PAM поддерживают различные методы аутентификации, включая парольную и биометрическую, аутентификацию с помощью ключей SSH и др. Кроме того, системы PAM обеспечивают гибкую настройку прав доступа пользователей, что позволяет эффективно реализовывать принципы концепции Zero Trust.
Решение Infrascope предоставляет набор функциональных модулей, расширяющих возможности классического PAM.
- Динамический диспетчер паролей – централизованное безопасное хранилище паролей, позволяющее предотвратить кражу или несанкционированный обмен. Пользователи используют учетные записи Infrascope, а система самостоятельно обновляет пароли от них в целевых системах. Технология позволяет дополнительно управлять учетными записями приложений (AAPM), обеспечивая их выдачу через API, и производить автоматическую ротацию паролей для общих и сервисных профилей без необходимости их перенастройки (SAPM).
- Менеджер сессий контролирует и проверяет зашифрованные сеансы пользователя. Он работает как шлюз между пользователями и целевыми конечными точками. Все сессии логируются, в том числе с записью видео. К каждой может быть применена политика, ограничивающая действия вплоть до запрета ввода конкретных команд, выполнения действий, запуска приложений и пр.
Ограничение доступа к системным ресурсам
Ограничение доступа к системным ресурсам – один из основных принципов концепции Zero Trust, который может быть реализован с помощью решений класса PAM. PAM позволяет ограничить доступ к системным ресурсам путем установления политик и правил, определяющих, кто, когда и как может получить доступ к конкретным ресурсам.
Это помогает автоматизировать процесс управления доступом и контроля использования привилегированных аккаунтов, что повышает безопасность системы и уменьшает вероятность несанкционированного проникновения.
При использовании решений такого класса для ограничения доступа к системным ресурсам и реализации концепции Zero Trust важно учитывать множество факторов: требования безопасности, удобство использования, совместимость и возможность интеграции с другими системами, а также стоимость и сложность внедрения и поддержки.
Пользователи Infrascope используют веб-интерфейс для:
- веб-подключения удаленного рабочего стола к серверу Windows;
- веб-подключения CLI к сетевому устройству;
- проверки пароля из секретного хранилища и т.д.
Возможно также подключение с помощью собственных клиентов вместо веб-интерфейса. Например, можно использовать:
- собственный CLI (Putty, SecretCRT); l Windows-приложение удаленного рабочего стола;
- SQL-клиент (TOAD, DataGrid, Navicat, и т.д.);
- приложения для прямого подключения к Infrascope прокси-сервисов по SSH/Telnet, RDP и SQL.
Мониторинг и аудит действий пользователей
Мониторинг и аудит действий пользователей являются важными составляющими реализации концепции Zero Trust с использованием Privileged Access Management. PAM-решения могут записывать все действия, выполненные привилегированными пользователями, и анализировать эти записи на предмет подозрительной активности.
PAM обеспечивает отслеживание и анализ событий доступа к ним. Система PAM фиксирует все события доступа к привилегированным учетным записям, включая время, имя пользователя, IPадрес и тип события. Эти данные могут быть использованы для анализа доступа и выявления потенциальных угроз.
Это позволяет оперативно реагировать на любые нарушения безопасности, в том числе на атаки со стороны внутренних пользователей. Кроме того, мониторинг действий привилегированных пользователей может помочь в выявлении ошибок в конфигурации системы и обеспечении соответствия политикам безопасности.
При выборе PAM-решения для мониторинга и аудита действий пользователей необходимо убедиться, что оно предоставляет достаточную гибкость для настройки и адаптации к требованиям конкретной организации. Важно также учитывать возможность интеграции PAM с другими системами мониторинга безопасности и аналитическими инструментами для более эффективного обнаружения угроз и реагирования на них.
Система PAM может создавать автоматические отчеты о доступе к привилегированным учетным записям и формировать инциденты о нарушении установленных политик.
Механизмы двухфакторной аутентификации
Использование двухфакторной аутентификации в PAM позволяет создавать более безопасные среды, которые лучше защищены от угроз внутреннего и внешнего происхождения. Они также могут помочь в реализации концепции Zero Trust путем установления постоянной проверки и подтверждения подлинности пользователей и устройств, которые имеют доступ к защищенной сетевой инфраструктуре.
Двухфакторная аутентификация Infrascope – дополнительный уровень безопасности с использованием комбинации двух различных компонентов. Дополнительный код (одноразовый пароль), полученный по электронной почте или с использованием внешнего сервиса одноразовых паролей, необходимо ввести во время аутентификации, что послужит подтверждением личности пользователя. Автономная генерация кода в режиме реального времени поддерживается с помощью сильного генератора токенов.
В Infrascope также реализована интеграция с сервисами Authy, Duo Mobile, LastPass Authenticator, Microsoft Authenticator, Google Authenticator, Яндекс Ключ.
Интеграция с существующей ИТ-инфраструктурой
Интеграция PAM с существующей ИТ-инфраструктурой является важным шагом в реализации концепции Zero Trust и обеспечении безопасности организации. Для этого необходимо проанализировать ИТ-инфраструктуру и определить, какие системы и приложения используются, какие учетные записи существуют и какие права доступа имеют пользователи.
После этого необходимо настроить PAM для интеграции с действующими системами и приложениями, чтобы обеспечить авторизацию и аутентификацию пользователей на основе Zero Trust. Это может включать в себя настройку аутентификации через Active Directory, LDAP или другие системы управления идентификацией и доступом.
Infrascope поддерживает интеграцию:
- с любыми решениями по протоколам RDP (Windows), SSH (любые *nix), VNC (Linux GUI), Microsoft SQL Server, MySQL, Oracle Database, IBM DB2, Apache Cassandra, PostgreSQL / EnterpriseDB, SAP/HANA, Teradata, Apache Hive, Couchbase, а также любыми ODBCи JDBC-совместимыми СУБД, в том числе и отечественными;
- со службами каталогов – MS Active Directory или любыми другими, поддерживающими LDAP или LDAPS для импорта пользователей и устройств.
Интеграция с SIEM для мониторинга безопасности
Интеграция PAM с SIEM и другими системами мониторинга безопасности может значительно повысить эффективность системы защиты. PAM может быть настроена для регистрации всех событий, связанных с аутентификацией и авторизацией пользователей, и отправки логов этих событий в системы мониторинга безопасности, такие как SIEM.
Это позволяет анализировать и обнаруживать подозрительную активность, связанную с учетными записями пользователей и доступом к ресурсам. Интеграция PAM с системами мониторинга безопасности также может повысить эффективность реагирования на инциденты безопасности, позволяя быстро выявлять и реагировать на нарушения безопасности.
В системе Infrascope реализована интеграция с SIEM по syslog, отправка уведомлений по SMNP и SMTP. C помощью API возможна интеграция с другими различными системами: IdM/IAM, тикет, Service Desk и др.
Оптимизация управления привилегиями в крупных организациях
Оптимизация управления привилегиями в крупных организациях является важной задачей для обеспечения безопасности информации. Ниже представлены некоторые шаги, которые могут помочь в оптимизации управления привилегиями в крупных организациях:
- Идентификация привилегированных аккаунтов и доступов. Необходимо составить список привилегированных аккаунтов и доступов в организации, чтобы понимать, какие системы и приложения могут быть уязвимыми.
- Автоматизация процессов управления привилегиями. Существуют PAM-решения, которые позволяют автоматизировать процессы управления привилегиями, например: выдача и отзыв доступов, мониторинг активности привилегированных пользователей и др.
- Внедрение многофакторной аутентификации. Она позволяет улучшить безопасность доступа к привилегированным аккаунтам и системам.
- Создание политик управления привилегиями. Необходимо создать политики управления привилегиями, которые определяют, кто и как может получить доступ к привилегированным аккаунтам и системам.
- Обучение пользователей. Важно обучать пользователей, как правильно использовать привилегированные аккаунты и системы, а также информировать о рисках, связанных с неправильным использованием таких аккаунтов.
- Мониторинг активности привилегированных пользователей. Нужно анализировать активность привилегированных пользователей и систем, чтобы быстро обнаруживать потенциальные угрозы и предотвращать их.
- Регулярное обновление PAM-решений. Необходимо постоянно совершенствовать PAM-решения и их компоненты, чтобы обеспечить защиту от новых угроз и уязвимостей.
Заключение
Использование систем PAM для авторизации и аутентификации пользователей является одним из способов реализации концепции Zero Trust в информационной безопасности. Это позволяет обеспечить высокий уровень защиты от угроз, связанных с несанкционированным доступом к ресурсам.
PAM-решения являются важным компонентом современной сетевой безопасности и будут продолжать развиваться и совершенствоваться для улучшения управления привилегированным доступом и повышения уровня безопасности.
Infrascope – это PAM-решение с широким диапазоном функций "из коробки", которое помогает организациям создать гибкую централизованную, многоуровневую архитектуру защиты от инсайдерских угроз и компрометации учетных записей. Оно предоставляет возможности контроля за действиями поставщиков услуг, администраторами ИТ-инфраструктуры и обеспечивает выполнение требований стандартов ИБ (ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций", GDPR, PCI DSS, ISO 27002 и др.).
Система Infrascope поставляется как отдельный OVA-контейнер для автоматизированного развертывания в любой среде виртуализации.
Infrascope включен в реестр отечественного ПО. Это проверенное решение, которое позволяет оптимизировать время настройки контроля доступа привилегированных пользователей и может масштабироваться для поддержки десятков тысяч пользователей и учетных записей, миллионов конечных точек, а также миллиардов комбинаций аутентификации.