Контакты
Подписка 2024

sPACE: новая масштабируемая PAM-система с широким функционалом

Игорь Базелюк, 27/01/22

Все нужное – просто, все сложное – не нужно.
Михаил Тимофеевич Калашников

Системы управления привилегированным доступом (PAM) стали трендом, и этому способствует не только рост киберугроз, но и законодательные инициативы. К сожалению, PAM в сознании большинства пользователей ассоциируется с неудобствами, высокими затратами на внедрение и усложнением рабочих процессов компании. Желание опровергнуть это представление стало вызовом для нашей компании и привело к созданию новой PAM-системы – удобной, простой в развертывании и использовании.

Автор: Игорь Базелюк, операционный директор Web Control

На рынке сегодня представлено множество PAM-систем и от крупных, и от не очень известных вендоров. Однако многие заказчики обоснованно опасаются решений этого класса, потому что их использование часто напоминает ситуацию с разнашиванием ног под дорогие ботинки. Чего только стоит компаниям внедрение таких систем! Требуется изменение рабочих процессов администратора, возникают сложности с интеграцией и кастомизацией решения. При этом функционал часто оказывается избыточным, требует длительного обучения пользователей и администраторов работе с системой, что ведет к дополнительным затратам. В результате сотрудники стремятся избавиться от неудобств и саботируют использование таких инструментов безопасности.

Вкладывая ресурсы, потребитель ждет многофункциональности, желая решить одним инструментом как можно больше задач. Книги по этикету, например, предписывают использование десятков столовых приборов при сервировке стола, что требует обучения. Однако в повседневной жизни человек успешно обходится двумя-тремя многофункциональными ложками и вилками.

Потребитель ИТ-продуктов стремится к этому же. Инструменты не должны быть слишком сложными и громоздкими для выполнения простых вещей.

А правильное PAM-решение может не только обеспечивать безопасность, но и приносить пользу бизнесу, повышая продуктивность сотрудников, предоставляя им более быстрый и удобный доступ к ИТ-системам и приложениям.

Компания Web Control уже давно известна на рынке как дистрибьютор специализированных решений ведущих мировых вендоров в области управления внутренней информационной безопасностью и оптимизации сетей. С РАМ-продуктами мы начали работать более 10 лет назад, когда этот класс решений еще только зарождался. За это время мы изучили целый спектр разнообразных систем и накопили экспертизу.

Внедряя и поддерживая системы, общаясь с заказчиками, мы сформировали понимание того, как должен выглядеть идеальный продукт, какими функциональными и качественными характеристиками обладать. Опыт дистрибуции, непрерывное исследование рыночных тенденций, наличие квалифицированных специалистов и понимание потребностей клиентов помогли нам сформировать концепцию правильного PAM-решения:

  • надежная работа основного функционала по управлению привилегиями;
  • не только безопасность, но и простота использования;
  • простая интеграция объектов и инструментов администрирования;
  • простота развертывания и быстрота внедрения;
  • минимизация затрат на сопровождение и масштабирование системы, отсутствие необходимости обучения сотрудников работе с системой;
  • возможность работы с системой не только для ИТ-специалистов, но и для бизнес-пользователей;
  • возможность совместного использования с имеющимися у компании ИБ-решениями.

Именно эти принципы легли в основу нашей собственной разработки – многофункциональной РАМ-системы sPACE.

Надежная работа основного функционала по управлению привилегиями

sPACE выполняет две ключевые задачи защиты ИТ-инфраструктуры компании: обеспечение безопасного контролируемого доступа пользователей и реализацию принципа минимальных привилегий. Доступ предоставляется конкретным специалистам для решения конкретных задач в конкретное время, при этом пользователям неизвестны пароли доступа к целевым системам, а все их действия фиксируются.

В соответствии с классификацией аналитиков Gartner решение sPACE относится к категории PASM (Privilege Account and Session Management). В системе sPACE реализован весь необходимый для работы функционал.

  1. Хранение паролей доступа и обеспечение их полного жизненного цикла. Пароли доступа к ИТ-системам хранятся в системе и неизвестны пользователям, система подставляет их автоматически при подключении сеанса и обеспечивает полный жизненный цикл хранимых учетных записей – назначение, ротацию и отзыв.
  2. Автоматизация процесса обеспечения доступа сотрудников и внешних подрядчиков к ИТ-системам компании. Для доступа, в том числе удаленного, достаточно рабочей станции с веб-браузером и RDP-клиентом. При открытии сеанса система автоматически подставляет хранимые в ней пароли доступа. Доступ предоставляется в защищенной среде, строго к целевой системе, для решения конкретной задачи в определенное время.
  3. Фиксация всех действий пользователей. Система автоматически формирует журнал сеансов, делает запись экранов пользователей, записывает лог нажатий клавиатуры и мыши.
  4. Аудит действий пользователей. Система позволяет просматривать и экспортировать записи завершенных сессий, обеспечивает возможность просмотра текущих сессий в соответствии с принципом "четырех глаз" и их прерывание в случае необходимости – все эти возможности позволяют быстро выявить причины инцидентов и отреагировать на них.
  5. Внутренний мониторинг системы. sPace обеспечивает контроль состояния модулей системы и своевременное оповещение администратора в случае возникновения проблем.
  6. Поддержка двухфакторной аутентификации. Система интегрирована с решениями двухфакторной аутентификации Rutoken и Google Authenticator, которые могут применяться в зависимости от пожеланий заказчиков.

Безопасность и простота?

sPACE – безагентское решение, не требующее установки специального ПО на рабочих станциях пользователей, что облегчает внедрение и минимизирует затраты на масштабирование. Работа с системой осуществляется через единую точку доступа – веб-портал sPACE с простым и понятным интерфейсом. Для авторизации в sPACE достаточно иметь личную учетную запись, а вот для доступа к целевым системам нужен согласованный наряд-допуск, при наличии которого система запустит сеанс доступа к целевой системе и автоматически подставит необходимые для подключения данные. Наряд-допуск – это одно из наших ноу-хау, появившихся в результате решения проблем заказчика.

Параметры привилегированных учетных записей пользователям неизвестны и в явном виде не передаются. sPACE держит их в своем хранилище в защищенном виде и автоматически осуществляет ротацию на основе заданных правил: до начала сеанса, после завершения сеанса или по заданному расписанию. Такая ротация делает пароль бесполезным в случае его компрометации.

Гибкая ролевая модель обеспечивает доступ к инструментам администрирования и настройкам системы только в рамках выданных прав и определенных ролей, позволяя реализовать любые сценарии работы с системой. Опять же замечу, что ролевая модель также создавалась на основе обратной связи от наших заказчиков.

Быстрота внедрения = простота развертывания + простая интеграция объектов администрирования. Приятный бонус – минимизация затрат на сопровождение и масштабирование системы.

В отзывах пользователей PAM часто встречаются жалобы на ресурсоемкость решений и длительный срок внедрения. Решить эти проблемы нам удалось за счет использования микропроцессорной распределенной архитектуры и быстрой интеграции sPACE с ИТ-системами и приложениями заказчиков. Подключение к целевым системам осуществляется посредством запуска сценариев. Уже сейчас нашим пользователям доступны "из коробки" более 100 сценариев подключения. Но важнее всего то, что для их написания не требуется много ресурсов. Был случай, когда наш инженер за 30 минут написал сценарий подключения для проприетарной системы заказчика.

sPACE имеет распределенную структуру и сама обеспечивает балансировку нагрузки между компонентами системы, что облегчает ее масштабирование. Система поддерживает платформы Windows, Linux и Mac. Доступ в систему возможен с любых устройств, включая мобильные платформы.

PAM не только для ИТ-специалистов, но и для бизнес-пользователей

Традиционно системы класса PAM использовались администраторами ИТ-систем, но сейчас компании все чаще обращаются к ним для организации работы бизнес-пользователей, например работающих с бухгалтерскими системами, CRM, базами персональных данных. Однако могут быть и нестандартные сценарии использования систем управления привилегированным доступом.

Дело в том, что sPACE не только повышает безопасность ИТ-систем и данных компании, но и упрощает процесс доступа пользователей к приложениям. А это открывает перспективы его применения для повышения производительности персонала, когда все нужные для работы приложения открываются из одного веб-портала. Это значит, что пользователям не нужно помнить учетные данные для доступа к многочисленным рабочим инструментам, тратить время на выяснение или восстановление забытых паролей. Новым сотрудникам для работы не требуется предварительная установка рабочих приложений, достаточно стандартных средств MS Windows и оформленных прав допуска.

Как уже отмечалось выше, в решении реализован уникальный подход к запуску сеансов посредством сценариев, которые по своей сути являются программными роботами (RPA) и позволяют организовать подключение других RPA к целевым системам. И это открывает новые возможности для sPACE.

Совместное использование с другими инструментами ИБ

sPACE можно использовать не только для решения классических задач систем управления привилегированным доступом – организации единого узла удаленного доступа к ИТ-инфраструктуре, контролируемого доступа сотрудников и внешних аутсорсеров к целевым ИТ-ресурсам по согласованию, контроля привилегий, контроля действий пользователей и аудита их действий. Если в компании возникает потребность в быстрой организации привилегированного доступа к отдельным системам или в обеспечении контроля использования ИТ-инфраструктуры в сжатые сроки (например, в результате поглащения другой компании). sPACE с ее простотой развертывания станет отличным выбором, даже если в компании уже есть "тяжелый" PAM.

Если в компании нет PAM, но есть IDM, sPACE расширит его функционал. Еще один сценарий использования – запуск программных роботов (RPA) и их подключение к целевым системам.

Заключение

Применение появившейся в результате активного взаимодействия с текущими и потенциальными заказчиками PAM-системы sPACE не ограничивается только крупными компаниями, имеющими в своем штате специалистов в области информационной безопасности. Простота, гибкость системы, дружественный интерфейс позволяют использовать ее в компаниях любого уровня, которые ставят перед собой задачу управления привилегированным доступом, обеспечения контроля использования ИТ-систем, непрерывности работы ИТ-инфраструктуры и целостности данных.

Темы:СКУДWeb ControlPAMЖурнал "Информационная безопасность" №6, 2021

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Инновации и безопасность – приоритеты "Сколково"
    Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”
    ”Cколково” не просто помогает стартапам, это еще и целый город со своей инфраструктурой, образовательной системой, жилыми кварталами. О том, как обеспечить безопасность экосистемы, не жертвуя при этом развитием цифровизации, рассказал Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”.
  • Управление доступом и привилегиями: как обеспечить минимальный привилегированный доступ
    Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион”
    Растет запрос не просто на реализацию систем предоставления доступа, но и на построение сложных и надежных комплексов контроля доступа, которые позволяют объединять различные решения для создания доверенных сред между пользователями и конечными информационными системами
  • Программно-аппаратный PAM как важный компонент ИБ в небольших бизнес-масштабах
    Артемий Борисов, менеджер продукта “СКДПУ НТ Компакт”, “АйТи Бастион”
    Поговорим о компаниях небольшого размера и филиалах: обратим внимание на неочевидные выгоды от использования PAM для контроля привилегированного доступа
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.
  • Практика внедрения решений класса PAM и тренды их развития. Круглый стол
    Российские решения класса PAM (Priveleged Access Management) активно развиваются: появляются новые системы, наращивается функциональность, увеличивается совместимость со смежными классами систем. Редакция журнала “Информационная безопасность” попросила разработчиков и интеграторов PAM поделиться видением и опытом по наиболее актуальным вопросам.
  • Роль систем класса PAM в реализации концепции Zero Trust
    Александр Булатов, коммерческий директор NGR Softlab
    Использование систем PAM для авторизации и аутентификации пользователей является одним из способов реализации концепции Zero Trust в информационной безопасности

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать