Концепция нулевого доверия Zero Trust – это подход к безопасности информационных систем, который заключается в том, что ни одна часть сети или приложения не считается доверенной и не получает доступа к ресурсам без предварительной проверки подлинности и авторизации. Важную роль в реализации концепции Zero Trust играют решения класса PAM (Priveleged Access Management). На сегодняшний день наблюдается рост спроса на них, что связано с общим повышением угроз в области кибербезопасности. В настоящей статье рассмотрим, как PAM помогает в реализации концепции Zero Trust, на примере системы Infrascope, разработанной компанией NGR Softlab.
Автор: Александр Булатов, коммерческий директор NGR Softlab
В контексте PAM привилегированными считаются пользователи, имеющие расширенные права доступа к системе и данным. Это могут быть администраторы, системные аналитики, операторы баз данных, инженеры безопасности и другие сотрудники, имеющие возможность управлять конфигурацией и настройками системы, а также просматривать, редактировать или удалять чувствительные данные. Они обладают высоким уровнем привилегий и поэтому являются основными целями атак инсайдеров и злоумышленников. Управление привилегиями пользователей является одним из главных аспектов безопасности информационных систем и важным компонентом PAM.
Авторизация и аутентификация пользователей – это один из основных компонентов реализации концепции Zero Trust в информационной безопасности. Для обеспечения этой функциональности можно использовать системы класса PAM, которые обеспечивают удобный и гибкий механизм аутентификации и авторизации пользователей.
Системы PAM поддерживают различные методы аутентификации, включая парольную и биометрическую, аутентификацию с помощью ключей SSH и др. Кроме того, системы PAM обеспечивают гибкую настройку прав доступа пользователей, что позволяет эффективно реализовывать принципы концепции Zero Trust.
Решение Infrascope предоставляет набор функциональных модулей, расширяющих возможности классического PAM.
Ограничение доступа к системным ресурсам – один из основных принципов концепции Zero Trust, который может быть реализован с помощью решений класса PAM. PAM позволяет ограничить доступ к системным ресурсам путем установления политик и правил, определяющих, кто, когда и как может получить доступ к конкретным ресурсам.
Это помогает автоматизировать процесс управления доступом и контроля использования привилегированных аккаунтов, что повышает безопасность системы и уменьшает вероятность несанкционированного проникновения.
При использовании решений такого класса для ограничения доступа к системным ресурсам и реализации концепции Zero Trust важно учитывать множество факторов: требования безопасности, удобство использования, совместимость и возможность интеграции с другими системами, а также стоимость и сложность внедрения и поддержки.
Пользователи Infrascope используют веб-интерфейс для:
Возможно также подключение с помощью собственных клиентов вместо веб-интерфейса. Например, можно использовать:
Мониторинг и аудит действий пользователей являются важными составляющими реализации концепции Zero Trust с использованием Privileged Access Management. PAM-решения могут записывать все действия, выполненные привилегированными пользователями, и анализировать эти записи на предмет подозрительной активности.
PAM обеспечивает отслеживание и анализ событий доступа к ним. Система PAM фиксирует все события доступа к привилегированным учетным записям, включая время, имя пользователя, IPадрес и тип события. Эти данные могут быть использованы для анализа доступа и выявления потенциальных угроз.
Это позволяет оперативно реагировать на любые нарушения безопасности, в том числе на атаки со стороны внутренних пользователей. Кроме того, мониторинг действий привилегированных пользователей может помочь в выявлении ошибок в конфигурации системы и обеспечении соответствия политикам безопасности.
При выборе PAM-решения для мониторинга и аудита действий пользователей необходимо убедиться, что оно предоставляет достаточную гибкость для настройки и адаптации к требованиям конкретной организации. Важно также учитывать возможность интеграции PAM с другими системами мониторинга безопасности и аналитическими инструментами для более эффективного обнаружения угроз и реагирования на них.
Система PAM может создавать автоматические отчеты о доступе к привилегированным учетным записям и формировать инциденты о нарушении установленных политик.
Использование двухфакторной аутентификации в PAM позволяет создавать более безопасные среды, которые лучше защищены от угроз внутреннего и внешнего происхождения. Они также могут помочь в реализации концепции Zero Trust путем установления постоянной проверки и подтверждения подлинности пользователей и устройств, которые имеют доступ к защищенной сетевой инфраструктуре.
Двухфакторная аутентификация Infrascope – дополнительный уровень безопасности с использованием комбинации двух различных компонентов. Дополнительный код (одноразовый пароль), полученный по электронной почте или с использованием внешнего сервиса одноразовых паролей, необходимо ввести во время аутентификации, что послужит подтверждением личности пользователя. Автономная генерация кода в режиме реального времени поддерживается с помощью сильного генератора токенов.
В Infrascope также реализована интеграция с сервисами Authy, Duo Mobile, LastPass Authenticator, Microsoft Authenticator, Google Authenticator, Яндекс Ключ.
Интеграция PAM с существующей ИТ-инфраструктурой является важным шагом в реализации концепции Zero Trust и обеспечении безопасности организации. Для этого необходимо проанализировать ИТ-инфраструктуру и определить, какие системы и приложения используются, какие учетные записи существуют и какие права доступа имеют пользователи.
После этого необходимо настроить PAM для интеграции с действующими системами и приложениями, чтобы обеспечить авторизацию и аутентификацию пользователей на основе Zero Trust. Это может включать в себя настройку аутентификации через Active Directory, LDAP или другие системы управления идентификацией и доступом.
Infrascope поддерживает интеграцию:
Интеграция PAM с SIEM и другими системами мониторинга безопасности может значительно повысить эффективность системы защиты. PAM может быть настроена для регистрации всех событий, связанных с аутентификацией и авторизацией пользователей, и отправки логов этих событий в системы мониторинга безопасности, такие как SIEM.
Это позволяет анализировать и обнаруживать подозрительную активность, связанную с учетными записями пользователей и доступом к ресурсам. Интеграция PAM с системами мониторинга безопасности также может повысить эффективность реагирования на инциденты безопасности, позволяя быстро выявлять и реагировать на нарушения безопасности.
В системе Infrascope реализована интеграция с SIEM по syslog, отправка уведомлений по SMNP и SMTP. C помощью API возможна интеграция с другими различными системами: IdM/IAM, тикет, Service Desk и др.
Оптимизация управления привилегиями в крупных организациях является важной задачей для обеспечения безопасности информации. Ниже представлены некоторые шаги, которые могут помочь в оптимизации управления привилегиями в крупных организациях:
Использование систем PAM для авторизации и аутентификации пользователей является одним из способов реализации концепции Zero Trust в информационной безопасности. Это позволяет обеспечить высокий уровень защиты от угроз, связанных с несанкционированным доступом к ресурсам.
PAM-решения являются важным компонентом современной сетевой безопасности и будут продолжать развиваться и совершенствоваться для улучшения управления привилегированным доступом и повышения уровня безопасности.
Infrascope – это PAM-решение с широким диапазоном функций "из коробки", которое помогает организациям создать гибкую централизованную, многоуровневую архитектуру защиты от инсайдерских угроз и компрометации учетных записей. Оно предоставляет возможности контроля за действиями поставщиков услуг, администраторами ИТ-инфраструктуры и обеспечивает выполнение требований стандартов ИБ (ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций", GDPR, PCI DSS, ISO 27002 и др.).
Система Infrascope поставляется как отдельный OVA-контейнер для автоматизированного развертывания в любой среде виртуализации.
Infrascope включен в реестр отечественного ПО. Это проверенное решение, которое позволяет оптимизировать время настройки контроля доступа привилегированных пользователей и может масштабироваться для поддержки десятков тысяч пользователей и учетных записей, миллионов конечных точек, а также миллиардов комбинаций аутентификации.