Отечественный PAM для корпоративного сектора: обзор системы управления привилегированным доступом sPACE

К базовому функционалу PAM компании традиционно относят следующие возможности:

управление учетными данными привилегированных учетных записей, т.е. их назначение, ротация и отзыв;
хранение привилегированных учетных данных в защищенном хранилище и контроль доступа к ним;
организация и управление сеансами привилегированного доступа;
мониторинг и запись сеансов привилегированного доступа.

Корпорации уже привыкли к наличию продвинутых опций, таких, например, как контролируемое повышение прав внутри сеанса. Практически все крупные компании заинтересованы в простоте внедрения, широких возможностях самостоятельной интеграции PAM с корпоративными ИТ-системами, а также высокой производительности и возможности географического масштабирования. Бурный рост ИТ-инфраструктуры компаний потребовал автоматизации процесса предоставления доступа для снижения нагрузки на подразделения ИБ и ИТ. Тенденции развития ИТ, законодательные инициативы Минцифры позволяют прогнозировать в ближайшее время рост спроса на управление правами доступа к облачным сервисам и управление секретами приложений, служб и устройств при межмашинном взаимодействии.

Все эти текущие и перспективные требования учитывались при создании системы управления привилегированным доступом sPACE российской компании Web Control (включено в реестр российского ПО).

Возможности sPACE

sPACE предназначен для организации технологического доступа привилегированных пользователей к ИТ-инфраструктуре с контролем полномочий в момент доступа.

Традиционные PAM-системы, как и IDM решения при их использовании как PAM, предоставляют привилегированному пользователю постоянные повышенные полномочия. Увеличение числа целевых систем в результате развития ИТ-инфраструктуры приводит к тому, что обслуживание постоянных прав становится очень трудоемким процессом. Но самое главное — компрометация постоянных привилегий становится постоянной угрозой. Основное отличие современной PAM-системы заключается в управлении временными привилегиями, то есть повышенные полномочия предоставляются конкретному пользователю на конкретной системе в определенное время для выполнения конкретной задачи. Компрометация временных привилегий наносит гораздо меньший ущерб. При этом проверка полномочий доступа должна производиться в момент установления сеанса управления. Это позволяет значительно снизить риски безопасности ИТ-систем и затруднить проникновение злоумышленников в инфраструктуру заказчика. Такой подход является отличительной особенностью sPACE.

Функционал sPACE позволяет решать следующие задачи управления привилегированным доступом компаний.

Доступ к целевым системам с использованием изолированной защищенной среды запуска инструментов администрирования, безопасное хранение паролей и управление их жизненным циклом.

Все инструменты администрирования запускаются в изолированной от пользователя защищенной среде, что практически исключает их компрометацию.

sPACE хранит привилегированные учетные записи в защищенном хранилище в зашифрованном виде, они не покидают периметра системы. Управление их жизненным циклом может происходить без участия пользователя, причем ротация происходит автоматически по триггерам (например, по требованию, до/после использования), а назначение и отзыв доступа оформляются в веб-интерфейсе sPACE. Эти процессы могут происходить параллельно путем запуска дополнительных обработчиков.

Пользователь авторизуется в системе и подтверждает действия с помощью обычной учетной записи, привилегированные учетные данные ему неизвестны, они подставляются при запуске сеанса привилегированного доступа.

sPACE “умеет” работать с учетными записями из службы каталогов LDAP, в том числе и MS Active Directory, как частный случай LDAP.

Автоматическая подстановка данных привилегированных учетных записей в защищенной среде снижает риск их компрометации, а ротация секретов минимизирует ущерб, если компрометация все-таки произошла.

Разграничение доступа к целевой инфраструктуре на основании ролевой модели и политик безопасности, принятых в компании.

Требования регулятора предписывают разделять полномочия лиц, обслуживающих систему, администраторов и пользователей, а также назначать минимально необходимые привилегии. sPACE автоматически проверяет привилегии и запускает только разрешенные сеансы в соответствии с принципом нулевых постоянных привилегий.

Нулевые постоянные привилегии устраняют статичный объект атаки — личные привилегии администраторов — с помощью подхода just in time, который предполагает повышение полномочий пользователя только на время выполнения работ.

Для получения доступа к ИТ-ресурсам пользователь должен иметь согласованный наряд-допуск к ресурсу — разрешение на доступ к конкретному ресурсу для решения конкретной задачи определенному пользователю с заданными привилегиями на конкретный период. Форма запроса наряда-допуска представлена на рисунке ниже.

Согласовывать доступ могут не только администраторы PAM-системы, но и ее пользователи — руководители подразделений или владельцы ИТ-систем. Такая гибкая децентрализованная политика наделения привилегиями позволяет снизить нагрузку на подразделения ИБ и является очень востребованным функционалом для крупных компаний.

Таким образом, sPACE может точно сказать, кто хочет получить доступ, куда он идет, как он будет взаимодействовать с целевой системой и когда он имеет право это сделать — принцип “4 К”.

Онлайн-мониторинг привилегированного сеанса с возможностью его временной блокировки или прерывания сеанса, а также возможность разбора и аудита завершенных сессий.

sPACE ведет фиксацию действий пользователя: регулярно делает снимки экрана в соответствии с настроенным интервалом и в случае любой активности внутри интервала — логи нажатия клавиатуры и кнопок мыши с указанием положения курсора мыши, а также сохраняет метаданные сеансов. Метаданные позволяют значительно ускорить поиск событий в системе и, соответственно, расследование инцидентов безопасности.

Записи сеансов могут просматриваться как после завершения сеанса, так во время сеанса в режиме реального времени. Есть возможность ускоренного просмотра записей. При необходимости аудитор может блокировать и прерывать сеанс привилегированного доступа. Этот функционал доступен пользователям с ролью аудитора.

Организация контролируемого удалённого доступа к произвольной ИТ системе и телекоммуникационному оборудованию с использованием протоколов RDP и ICA (Citrix).

sPACE позволяет организовать удаленный защищенный доступ практически с любой рабочей станции. Для этого необходим лишь поддерживаемый веб-браузер для доступа к веб-интерфейсу sPACE и rdp/citrix-клиент для подключения к серверу среды защищенного запуска.

Архитектура sPACE

В базовом варианте для работы с sPACE заказчику достаточно развернуть 2 программных компонента: Ядро sPACE и Сервер защищенной среды привилегированного доступа (ЗСПД). Для высокопроизводительных инсталляций используется множественная установка Серверов ЗСПД, дополнительных ядер и разнесение хранилищ данных.

Системные требования

В таблицах 1 и 2 приведены системные требования «sPACE» из расчета на 50 пользователей системы. Расчет необходимых ресурсов для инсталляции на большее количество пользователей проводится отдельно.

Сервер	Характеристики физического сервера
Сервер sPACE Mono (Base)	Процессор: 4 ядра, 2,2 ГГц Оперативная память: 8 ГБ Дисковое пространство: 150 ГБ Сетевой интерфейс 1Гбит
Сервер ЗСПД	Процессор: 8 ядер, 2,2 ГГц Оперативная память: 16 ГБ Дисковое пространство: 150 ГБ
Хранилище архива сессий	Примерный расчет пользовательского трафика хранилища составляет 20 Гб в месяц на пользователя (оценочно, и зависит от разрешения экрана, настроенного интервала снятия скриншота, количества одновременных сеансов, интенсивности работы пользователя).

Сервер	Состав ПО
Сервер sPACE Mono (Base)	CentOS 7-8, Ubuntu 18.04, Ubuntu 20.04 (20.10), Astra Linux, РедОС, Debian и любые другие, поддерживающие Docker и стандартное API Linux
Сервер ЗСПД	Microsoft Windows Server 2012 R2 и выше

Лицензирование sPACE

Стоимость решения складывается из числа развертываемых ядер sPACE и количества одновременных сессий.

Для работы Сервера защищенной среды привилегированного доступа необходима лицензия Microsoft Windows Remote Desktop Services или Citrix Virtual Apps, она не входят в комплект поставки. Лицензия Web Control на него не требуется. В дорожной карте компании на ближайшее время — запуск инструментов администрирования под Linux, что полностью исключит необходимость в иностранных продуктах.

Варианты использования

sPACE будет полезен компаниям для решения следующих бизнес-задач.

Контролируемый доступ в ИТ-инфраструктуре для администраторов, внешних подрядчиков и бизнес-пользователей.
Удаленный контролируемый доступ к ИТ-инфраструктуре компании.
Обеспечение быстрого контроля над ИТ-инфраструктурой, возможность в кратчайшие сроки ограничить доступ в случае сделок слияний и поглощений.
Обеспечение контролируемого доступа к критически важным объектам ИТ-инфраструктуры
Организация единой точки входа для всех пользователей ИТ-инфраструктуры.
Аудит сессий и расследование инцидентов, связанных с действиями привилегированных пользователей.
Выполнение требований регуляторов в части персонификации и контроля доступа, работы с привилегированными учетными данными, контроля действий пользователей, назначения минимально необходимых прав и привилегий.
Управление жизненным циклом привилегированных учетных данных.

«sPACE» позволяет обеспечить соблюдение политик компании в отношении привилегированного доступа: персонифицировать привилегированный доступ, гранулировать привилегированный доступ до уровня задач, отказаться от использования одинаковых простых паролей для доступа к элементам ИТ-инфраструктуры.

Помимо этого, решение sPACE позволяет отказаться от сложных настроек сетевых правил для прямого подключения рабочих станций пользователей к защищаемым объектам инфраструктуры.

Программное решение «sPACE» подходит для крупных и средних компаний, в которых бизнес-процессы зависят от ИТ-инфраструктуры, и потому они остро нуждаются в обеспечении целостности и сохранности расположенных там данных. «sPACE» будет полезен не только для тех организаций, которые используют собственную ИТ-инфраструктуру, но и для тех, кто использует облачные сервисы.

Основные преимущества продукта

Технологическим преимуществом sPACE является механизм назначения привилегий на основании нарядов-допусков и предоставления доступа к объектам администрирования с помощью сценариев запуска инструментов. Это позволяет гранулировать доступ пользователей до уровня решения конкретной задачи на конкретной целевой системе в ограниченное время.

Система «sPACE» проста в работе, имеет удобный интерфейс и ориентирована на работу не только с ИТ-специалистами, но и бизнес-пользователями, которым необходим доступ к системам, содержащим конфиденциальную информацию.

Система разработана с использованием современных подходов к облику ИТ-систем, что отличает её от большинства конкурентов, которые присутствуют на рынке более 10-15 лет. В ней реализован механизм делегирования функций управления доступом на уровень подразделений, что критически важно в крупных организациях.

Масштабируемость обеспечивается пластичной структурой, кластерной архитектурой и гибким механизмом подключения к ИТ-инфраструктуре.

Основные преимущества системы:

простая интеграция (не требует существенных изменений в существующей инфраструктуре);
децентрализованный механизм наделения привилегиями;
удобство и простота эксплуатации;
API для интеграции с другими инструментами ИБ;
распределенная архитектура (масштабирование, автоматическая балансировка нагрузки и устойчивость к отказам);
разумная стоимость эксплуатации и масштабирования.

Таким образом, система «sPACE» является удобным инструментом для организации привилегированного доступа и имеет оптимальное соотношение цены и функциональных возможностей. Она имеет понятный интерфейс и подходит для эксплуатации в любых компаниях.