Обзор sPACE на Cyber Media
Обзор «Отечественный PAM для корпоративного сектора: обзор системы управления привилегированным доступом sPACE»*, опубликованный на портале Cyber Media, знакомит с возможностями решения, системными требованиями, моделью лицензирования, вариантами использования и основными преимуществами продукта.
Присутствующие сегодня на рынке отечественные PAM-решения, к сожалению, не в полной мере удовлетворяют современным потребностям крупных корпоративных клиентов. Это связано с тем, что нишу продуктов класса Enterprise занимали, главным образом, ведущие мировые игроки, а отечественные производители в этих условиях ориентировались на малый и средний бизнес и на специфику ВПК.
Сейчас, в условиях развернутой против России санкционной политики, возникла острая потребность в отечественном решении соответствующего класса. Понимания данную ситуацию, при создании системы управления привилегированным доступом sPACE мы ориентировались на потребности корпоративного сектора.
Работа с крупными клиентами в качестве Value Added-дистрибьютора дала нам возможность в полной мере определить их потребности и ожидания применительно к управлению привилегированным доступом. Однако получившееся в итоге решение может использоваться и под задачи малого и среднего бизнеса благодаря разумной стоимости и простоте использования.
Функционал sPACE позволяет решать следующие задачи управления привилегированным доступом компаний:
-
Разграничение доступа к целевой инфраструктуре на основании ролевой модели и политик безопасности, принятых в компании.
-
Онлайн-мониторинг привилегированного сеанса с возможностью его временной блокировки или прерывания сеанса, а также возможность разбора и аудита завершенных сессий.
-
Организация контролируемого удалённого доступа к произвольной ИТ-системе и телекоммуникационному оборудованию с использованием протоколов RDP и ICA (Citrix).
Основными преимуществами обзор называет возможность гранулировать доступ пользователей до уровня решения конкретной задачи на конкретной целевой системе в ограниченное время (принцип «4К»), а также делегировать функции управления доступом на уровень подразделений, что критически важно в крупных организациях.
Таким образом, система «sPACE» является удобным инструментом для организации привилегированного доступа и имеет оптимальное соотношение цены и функциональных возможностей. Она имеет понятный интерфейс и подходит для эксплуатации в любых компаниях.
Обзор «Отечественный PAM для корпоративного сектора: обзор системы управления привилегированным доступом sPACE»
К базовому функционалу PAM компании традиционно относят следующие возможности:
-
управление учетными данными привилегированных учетных записей, т.е. их назначение, ротация и отзыв;
-
хранение привилегированных учетных данных в защищенном хранилище и контроль доступа к ним;
-
организация и управление сеансами привилегированного доступа;
-
мониторинг и запись сеансов привилегированного доступа.
Корпорации уже привыкли к наличию продвинутых опций, таких, например, как контролируемое повышение прав внутри сеанса. Практически все крупные компании заинтересованы в простоте внедрения, широких возможностях самостоятельной интеграции PAM с корпоративными ИТ-системами, а также высокой производительности и возможности географического масштабирования. Бурный рост ИТ-инфраструктуры компаний потребовал автоматизации процесса предоставления доступа для снижения нагрузки на подразделения ИБ и ИТ. Тенденции развития ИТ, законодательные инициативы Минцифры позволяют прогнозировать в ближайшее время рост спроса на управление правами доступа к облачным сервисам и управление секретами приложений, служб и устройств при межмашинном взаимодействии.
Все эти текущие и перспективные требования учитывались при создании системы управления привилегированным доступом sPACE российской компании Web Control (включено в реестр российского ПО).
Возможности sPACE
sPACE предназначен для организации технологического доступа привилегированных пользователей к ИТ-инфраструктуре с контролем полномочий в момент доступа.
Традиционные PAM-системы, как и IDM решения при их использовании как PAM, предоставляют привилегированному пользователю постоянные повышенные полномочия. Увеличение числа целевых систем в результате развития ИТ-инфраструктуры приводит к тому, что обслуживание постоянных прав становится очень трудоемким процессом. Но самое главное — компрометация постоянных привилегий становится постоянной угрозой. Основное отличие современной PAM-системы заключается в управлении временными привилегиями, то есть повышенные полномочия предоставляются конкретному пользователю на конкретной системе в определенное время для выполнения конкретной задачи. Компрометация временных привилегий наносит гораздо меньший ущерб. При этом проверка полномочий доступа должна производиться в момент установления сеанса управления. Это позволяет значительно снизить риски безопасности ИТ-систем и затруднить проникновение злоумышленников в инфраструктуру заказчика. Такой подход является отличительной особенностью sPACE.
Функционал sPACE позволяет решать следующие задачи управления привилегированным доступом компаний.
Доступ к целевым системам с использованием изолированной защищенной среды запуска инструментов администрирования, безопасное хранение паролей и управление их жизненным циклом.
Все инструменты администрирования запускаются в изолированной от пользователя защищенной среде, что практически исключает их компрометацию.
Все инструменты администрирования запускаются в изолированной от пользователя защищенной среде, что практически исключает их компрометацию.
sPACE хранит привилегированные учетные записи в защищенном хранилище в зашифрованном виде, они не покидают периметра системы. Управление их жизненным циклом может происходить без участия пользователя, причем ротация происходит автоматически по триггерам (например, по требованию, до/после использования), а назначение и отзыв доступа оформляются в веб-интерфейсе sPACE. Эти процессы могут происходить параллельно путем запуска дополнительных обработчиков.
Пользователь авторизуется в системе и подтверждает действия с помощью обычной учетной записи, привилегированные учетные данные ему неизвестны, они подставляются при запуске сеанса привилегированного доступа.
sPACE “умеет” работать с учетными записями из службы каталогов LDAP, в том числе и MS Active Directory, как частный случай LDAP.
Автоматическая подстановка данных привилегированных учетных записей в защищенной среде снижает риск их компрометации, а ротация секретов минимизирует ущерб, если компрометация все-таки произошла.
Разграничение доступа к целевой инфраструктуре на основании ролевой модели и политик безопасности, принятых в компании.
Требования регулятора предписывают разделять полномочия лиц, обслуживающих систему, администраторов и пользователей, а также назначать минимально необходимые привилегии. sPACE автоматически проверяет привилегии и запускает только разрешенные сеансы в соответствии с принципом нулевых постоянных привилегий.
Нулевые постоянные привилегии устраняют статичный объект атаки — личные привилегии администраторов — с помощью подхода just in time, который предполагает повышение полномочий пользователя только на время выполнения работ.
Для получения доступа к ИТ-ресурсам пользователь должен иметь согласованный наряд-допуск к ресурсу — разрешение на доступ к конкретному ресурсу для решения конкретной задачи определенному пользователю с заданными привилегиями на конкретный период. Форма запроса наряда-допуска представлена на рисунке ниже.
Согласовывать доступ могут не только администраторы PAM-системы, но и ее пользователи — руководители подразделений или владельцы ИТ-систем. Такая гибкая децентрализованная политика наделения привилегиями позволяет снизить нагрузку на подразделения ИБ и является очень востребованным функционалом для крупных компаний.
Таким образом, sPACE может точно сказать, кто хочет получить доступ, куда он идет, как он будет взаимодействовать с целевой системой и когда он имеет право это сделать — принцип “4 К”.
Онлайн-мониторинг привилегированного сеанса с возможностью его временной блокировки или прерывания сеанса, а также возможность разбора и аудита завершенных сессий.
sPACE ведет фиксацию действий пользователя: регулярно делает снимки экрана в соответствии с настроенным интервалом и в случае любой активности внутри интервала — логи нажатия клавиатуры и кнопок мыши с указанием положения курсора мыши, а также сохраняет метаданные сеансов. Метаданные позволяют значительно ускорить поиск событий в системе и, соответственно, расследование инцидентов безопасности.
Записи сеансов могут просматриваться как после завершения сеанса, так во время сеанса в режиме реального времени. Есть возможность ускоренного просмотра записей. При необходимости аудитор может блокировать и прерывать сеанс привилегированного доступа. Этот функционал доступен пользователям с ролью аудитора.
Организация контролируемого удалённого доступа к произвольной ИТ системе и телекоммуникационному оборудованию с использованием протоколов RDP и ICA (Citrix).
sPACE позволяет организовать удаленный защищенный доступ практически с любой рабочей станции. Для этого необходим лишь поддерживаемый веб-браузер для доступа к веб-интерфейсу sPACE и rdp/citrix-клиент для подключения к серверу среды защищенного запуска.
Архитектура sPACE
В базовом варианте для работы с sPACE заказчику достаточно развернуть 2 программных компонента: Ядро sPACE и Сервер защищенной среды привилегированного доступа (ЗСПД). Для высокопроизводительных инсталляций используется множественная установка Серверов ЗСПД, дополнительных ядер и разнесение хранилищ данных.
Системные требования
В таблицах 1 и 2 приведены системные требования «sPACE» из расчета на 50 пользователей системы. Расчет необходимых ресурсов для инсталляции на большее количество пользователей проводится отдельно.
Сервер
|
Характеристики физического сервера
|
Сервер sPACE Mono (Base)
|
Процессор: 4 ядра, 2,2 ГГц
Оперативная память: 8 ГБ
Дисковое пространство: 150 ГБ
Сетевой интерфейс 1Гбит
|
Сервер ЗСПД
|
Процессор: 8 ядер, 2,2 ГГц
Оперативная память: 16 ГБ
Дисковое пространство: 150 ГБ
|
Хранилище архива сессий
|
Примерный расчет пользовательского трафика хранилища составляет 20 Гб в месяц на пользователя (оценочно, и зависит от разрешения экрана, настроенного интервала снятия скриншота, количества одновременных сеансов, интенсивности работы пользователя).
|
Сервер
|
Состав ПО
|
Сервер sPACE Mono (Base)
|
CentOS 7-8, Ubuntu 18.04, Ubuntu 20.04 (20.10), Astra Linux, РедОС, Debian и любые другие, поддерживающие Docker и стандартное API Linux
|
Сервер ЗСПД
|
Microsoft Windows Server 2012 R2 и выше
|
Лицензирование sPACE
Стоимость решения складывается из числа развертываемых ядер sPACE и количества одновременных сессий.
Для работы Сервера защищенной среды привилегированного доступа необходима лицензия Microsoft Windows Remote Desktop Services или Citrix Virtual Apps, она не входят в комплект поставки. Лицензия Web Control на него не требуется. В дорожной карте компании на ближайшее время — запуск инструментов администрирования под Linux, что полностью исключит необходимость в иностранных продуктах.
Варианты использования
sPACE будет полезен компаниям для решения следующих бизнес-задач.
-
Контролируемый доступ в ИТ-инфраструктуре для администраторов, внешних подрядчиков и бизнес-пользователей.
-
Удаленный контролируемый доступ к ИТ-инфраструктуре компании.
-
Обеспечение быстрого контроля над ИТ-инфраструктурой, возможность в кратчайшие сроки ограничить доступ в случае сделок слияний и поглощений.
-
Обеспечение контролируемого доступа к критически важным объектам ИТ-инфраструктуры
-
Организация единой точки входа для всех пользователей ИТ-инфраструктуры.
-
Аудит сессий и расследование инцидентов, связанных с действиями привилегированных пользователей.
-
Выполнение требований регуляторов в части персонификации и контроля доступа, работы с привилегированными учетными данными, контроля действий пользователей, назначения минимально необходимых прав и привилегий.
-
Управление жизненным циклом привилегированных учетных данных.
«sPACE» позволяет обеспечить соблюдение политик компании в отношении привилегированного доступа: персонифицировать привилегированный доступ, гранулировать привилегированный доступ до уровня задач, отказаться от использования одинаковых простых паролей для доступа к элементам ИТ-инфраструктуры.
Помимо этого, решение sPACE позволяет отказаться от сложных настроек сетевых правил для прямого подключения рабочих станций пользователей к защищаемым объектам инфраструктуры.
Программное решение «sPACE» подходит для крупных и средних компаний, в которых бизнес-процессы зависят от ИТ-инфраструктуры, и потому они остро нуждаются в обеспечении целостности и сохранности расположенных там данных. «sPACE» будет полезен не только для тех организаций, которые используют собственную ИТ-инфраструктуру, но и для тех, кто использует облачные сервисы.
Основные преимущества продукта
Технологическим преимуществом sPACE является механизм назначения привилегий на основании нарядов-допусков и предоставления доступа к объектам администрирования с помощью сценариев запуска инструментов. Это позволяет гранулировать доступ пользователей до уровня решения конкретной задачи на конкретной целевой системе в ограниченное время.
Система «sPACE» проста в работе, имеет удобный интерфейс и ориентирована на работу не только с ИТ-специалистами, но и бизнес-пользователями, которым необходим доступ к системам, содержащим конфиденциальную информацию.
Система разработана с использованием современных подходов к облику ИТ-систем, что отличает её от большинства конкурентов, которые присутствуют на рынке более 10-15 лет. В ней реализован механизм делегирования функций управления доступом на уровень подразделений, что критически важно в крупных организациях.
Масштабируемость обеспечивается пластичной структурой, кластерной архитектурой и гибким механизмом подключения к ИТ-инфраструктуре.
Основные преимущества системы:
-
простая интеграция (не требует существенных изменений в существующей инфраструктуре);
-
децентрализованный механизм наделения привилегиями;
-
удобство и простота эксплуатации;
-
API для интеграции с другими инструментами ИБ;
-
распределенная архитектура (масштабирование, автоматическая балансировка нагрузки и устойчивость к отказам);
-
разумная стоимость эксплуатации и масштабирования.
Таким образом, система «sPACE» является удобным инструментом для организации привилегированного доступа и имеет оптимальное соотношение цены и функциональных возможностей. Она имеет понятный интерфейс и подходит для эксплуатации в любых компаниях.
Связаться с нами - info@web-control.ru