Обзор sPACE на Cyber Media

Обзор «Отечественный PAM для корпоративного сектора: обзор системы управления привилегированным доступом sPACE»*, опубликованный на портале Cyber Media, знакомит с возможностями решения, системными требованиями, моделью лицензирования, вариантами использования и основными преимуществами продукта.
Присутствующие сегодня на рынке отечественные PAM-решения, к сожалению, не в полной мере удовлетворяют современным потребностям крупных корпоративных клиентов. Это связано с тем, что нишу продуктов класса Enterprise занимали, главным образом, ведущие мировые игроки, а отечественные производители в этих условиях ориентировались на малый и средний бизнес и на специфику ВПК.
Сейчас, в условиях развернутой против России санкционной политики, возникла острая потребность в отечественном решении соответствующего класса. Понимания данную ситуацию, при создании системы управления привилегированным доступом sPACE мы ориентировались на потребности корпоративного сектора.
Работа с крупными клиентами в качестве Value Added-дистрибьютора дала нам возможность в полной мере определить их потребности и ожидания применительно к управлению привилегированным доступом. Однако получившееся в итоге решение может использоваться и под задачи малого и среднего бизнеса благодаря разумной стоимости и простоте использования.
Функционал sPACE позволяет решать следующие задачи управления привилегированным доступом компаний:
  • Доступ к целевым системам с использованием изолированной защищенной среды запуска инструментов администрирования, безопасное хранение паролей и управление их жизненным циклом.
  • Разграничение доступа к целевой инфраструктуре на основании ролевой модели и политик безопасности, принятых в компании.
  • Онлайн-мониторинг привилегированного сеанса с возможностью его временной блокировки или прерывания сеанса, а также возможность разбора и аудита завершенных сессий.
  • Организация контролируемого удалённого доступа к произвольной ИТ-системе и телекоммуникационному оборудованию с использованием протоколов RDP и ICA (Citrix).
Основными преимуществами обзор называет возможность гранулировать доступ пользователей до уровня решения конкретной задачи на конкретной целевой системе в ограниченное время (принцип «4К»), а также делегировать функции управления доступом на уровень подразделений, что критически важно в крупных организациях.
Таким образом, система «sPACE» является удобным инструментом для организации привилегированного доступа и имеет оптимальное соотношение цены и функциональных возможностей. Она имеет понятный интерфейс и подходит для эксплуатации в любых компаниях. 
Обзор «Отечественный PAM для корпоративного сектора: обзор системы управления привилегированным доступом sPACE»
 
К базовому функционалу PAM компании традиционно относят следующие возможности:
  • управление учетными данными привилегированных учетных записей, т.е. их назначение, ротация и отзыв;
  • хранение привилегированных учетных данных в защищенном хранилище и контроль доступа к ним;
  • организация и управление сеансами привилегированного доступа;
  • мониторинг и запись сеансов привилегированного доступа.
Корпорации уже привыкли к наличию продвинутых опций, таких, например, как контролируемое повышение прав внутри сеанса. Практически все крупные компании заинтересованы в простоте внедрения, широких возможностях самостоятельной интеграции PAM с корпоративными ИТ-системами, а также высокой производительности и возможности географического масштабирования. Бурный рост ИТ-инфраструктуры компаний потребовал автоматизации процесса предоставления доступа для снижения нагрузки на подразделения ИБ и ИТ. Тенденции развития ИТ, законодательные инициативы Минцифры позволяют прогнозировать в ближайшее время рост спроса на управление правами доступа к облачным сервисам и управление секретами приложений, служб и устройств при межмашинном взаимодействии.
 
Все эти текущие и перспективные требования учитывались при создании системы управления привилегированным доступом sPACE российской компании Web Control (включено в реестр российского ПО).
 
Возможности sPACE
 
sPACE предназначен для организации технологического доступа привилегированных пользователей к ИТ-инфраструктуре с контролем полномочий в момент доступа.
 
Традиционные PAM-системы, как и IDM решения при их использовании как PAM, предоставляют привилегированному пользователю постоянные повышенные полномочия. Увеличение числа целевых систем в результате развития ИТ-инфраструктуры приводит к тому, что обслуживание постоянных прав становится очень трудоемким процессом. Но самое главное — компрометация постоянных привилегий становится постоянной угрозой. Основное отличие современной PAM-системы заключается в управлении временными привилегиями, то есть повышенные полномочия предоставляются конкретному пользователю на конкретной системе в определенное время для выполнения конкретной задачи. Компрометация временных привилегий наносит гораздо меньший ущерб. При этом проверка полномочий доступа должна производиться в момент установления сеанса управления. Это позволяет значительно снизить риски безопасности ИТ-систем и затруднить проникновение злоумышленников в инфраструктуру заказчика. Такой подход является отличительной особенностью sPACE.
 
Функционал sPACE позволяет решать следующие задачи управления привилегированным доступом компаний.
 
Доступ к целевым системам с использованием изолированной защищенной среды запуска инструментов администрирования, безопасное хранение паролей и управление их жизненным циклом.

Все инструменты администрирования запускаются в изолированной от пользователя защищенной среде, что практически исключает их компрометацию.

 
sPACE хранит привилегированные учетные записи в защищенном хранилище в зашифрованном виде, они не покидают периметра системы. Управление их жизненным циклом может происходить без участия пользователя, причем ротация происходит автоматически по триггерам (например, по требованию, до/после использования), а назначение и отзыв доступа оформляются в веб-интерфейсе sPACE. Эти процессы могут происходить параллельно путем запуска дополнительных обработчиков.
 
Пользователь авторизуется в системе и подтверждает действия с помощью обычной учетной записи, привилегированные учетные данные ему неизвестны, они подставляются при запуске сеанса привилегированного доступа. 
 
sPACE “умеет” работать с учетными записями из службы каталогов LDAP, в том числе и MS Active Directory, как частный случай LDAP.
 
Автоматическая подстановка данных привилегированных учетных записей в защищенной среде снижает риск их компрометации, а ротация секретов минимизирует ущерб, если компрометация все-таки произошла.
 
Разграничение доступа к целевой инфраструктуре на основании ролевой модели и политик безопасности, принятых в компании.
 
Требования регулятора предписывают разделять полномочия лиц, обслуживающих систему, администраторов и пользователей, а также назначать минимально необходимые привилегии. sPACE автоматически проверяет привилегии и запускает только разрешенные сеансы в соответствии с принципом нулевых постоянных привилегий.
 
Нулевые постоянные привилегии устраняют статичный объект атаки — личные привилегии администраторов — с помощью подхода just in time, который предполагает повышение полномочий пользователя только на время выполнения работ.
 
Для получения доступа к ИТ-ресурсам пользователь должен иметь согласованный наряд-допуск к ресурсу — разрешение на доступ к конкретному ресурсу для решения конкретной задачи определенному пользователю с заданными привилегиями на конкретный период. Форма запроса наряда-допуска представлена на рисунке ниже.
 
Согласовывать доступ могут не только администраторы PAM-системы, но и ее пользователи — руководители подразделений или владельцы ИТ-систем. Такая гибкая децентрализованная политика наделения привилегиями позволяет снизить нагрузку на подразделения ИБ и является очень востребованным функционалом для крупных компаний.
 
Таким образом, sPACE может точно сказать, кто хочет получить доступ, куда он идет, как он будет взаимодействовать с целевой системой и когда он имеет право это сделать — принцип “4 К”.
 
Screenshot_7.png
 
Онлайн-мониторинг привилегированного сеанса с возможностью его временной блокировки или прерывания сеанса, а также возможность разбора и аудита завершенных сессий.
 
sPACE ведет фиксацию действий пользователя: регулярно делает снимки экрана в соответствии с настроенным интервалом и в случае любой активности внутри интервала — логи нажатия клавиатуры и кнопок мыши с указанием положения курсора мыши, а также сохраняет метаданные сеансов. Метаданные позволяют значительно ускорить поиск событий в системе и, соответственно, расследование инцидентов безопасности. 
 
Записи сеансов могут просматриваться как после завершения сеанса, так во время сеанса в режиме реального времени. Есть возможность ускоренного просмотра записей. При необходимости аудитор может блокировать и прерывать сеанс привилегированного доступа. Этот функционал доступен пользователям с ролью аудитора.
 
Организация контролируемого удалённого доступа к произвольной ИТ системе и телекоммуникационному оборудованию с использованием протоколов RDP и ICA (Citrix).
 
sPACE позволяет организовать удаленный защищенный доступ практически с любой рабочей станции. Для этого необходим лишь поддерживаемый веб-браузер для доступа к веб-интерфейсу sPACE и rdp/citrix-клиент для подключения к серверу среды защищенного запуска. 
 
Архитектура sPACE
 
4576586798.png
 
В базовом варианте для работы с sPACE заказчику достаточно развернуть 2 программных компонента: Ядро sPACE и Сервер защищенной среды привилегированного доступа (ЗСПД). Для высокопроизводительных инсталляций используется множественная установка Серверов ЗСПД, дополнительных ядер и разнесение хранилищ данных.
 
Системные требования
 
В таблицах 1 и 2 приведены системные требования «sPACE» из расчета на 50 пользователей системы. Расчет необходимых ресурсов для инсталляции на большее количество пользователей проводится отдельно.
 
Сервер
Характеристики физического сервера
Сервер sPACE Mono (Base)
Процессор: 4 ядра, 2,2 ГГц
Оперативная память: 8 ГБ
Дисковое пространство: 150 ГБ
Сетевой интерфейс 1Гбит
Сервер ЗСПД
Процессор: 8 ядер, 2,2 ГГц
Оперативная память: 16 ГБ
Дисковое пространство: 150 ГБ
Хранилище архива сессий
Примерный расчет пользовательского трафика хранилища составляет 20 Гб в месяц на пользователя (оценочно, и зависит от разрешения экрана, настроенного интервала снятия скриншота, количества одновременных сеансов, интенсивности работы пользователя).
 
Сервер
Состав ПО
Сервер sPACE Mono (Base)
CentOS 7-8, Ubuntu 18.04, Ubuntu 20.04 (20.10), Astra Linux, РедОС, Debian и любые другие, поддерживающие Docker и стандартное API Linux
Сервер ЗСПД
Microsoft Windows Server 2012 R2 и выше
 
Лицензирование sPACE
 
Стоимость решения складывается из числа развертываемых ядер sPACE и количества одновременных сессий. 
 
Для работы Сервера защищенной среды привилегированного доступа необходима лицензия Microsoft Windows Remote Desktop Services или Citrix Virtual Apps, она не входят в комплект поставки. Лицензия Web Control на него не требуется. В дорожной карте компании на ближайшее время — запуск инструментов администрирования под Linux, что полностью исключит необходимость в иностранных продуктах.
 
Варианты использования
 
sPACE будет полезен компаниям для решения следующих бизнес-задач.
  • Контролируемый доступ в ИТ-инфраструктуре для администраторов, внешних подрядчиков и бизнес-пользователей.
  • Удаленный контролируемый доступ к ИТ-инфраструктуре компании.
  • Обеспечение быстрого контроля над ИТ-инфраструктурой, возможность в кратчайшие сроки ограничить доступ в случае сделок слияний и поглощений.
  • Обеспечение контролируемого доступа к критически важным объектам ИТ-инфраструктуры
  • Организация единой точки входа для всех пользователей ИТ-инфраструктуры.
  • Аудит сессий и расследование инцидентов, связанных с действиями привилегированных пользователей.
  • Выполнение требований регуляторов в части персонификации и контроля доступа, работы с привилегированными учетными данными, контроля действий пользователей, назначения минимально необходимых прав и привилегий.
  • Управление жизненным циклом привилегированных учетных данных.
«sPACE» позволяет обеспечить соблюдение политик компании в отношении привилегированного доступа: персонифицировать привилегированный доступ, гранулировать привилегированный доступ до уровня задач, отказаться от использования одинаковых простых паролей для доступа к элементам ИТ-инфраструктуры.
 
Помимо этого, решение sPACE позволяет отказаться от сложных настроек сетевых правил для прямого подключения рабочих станций пользователей к защищаемым объектам инфраструктуры.
 
Программное решение «sPACE» подходит для крупных и средних компаний, в которых бизнес-процессы зависят от ИТ-инфраструктуры, и потому они остро нуждаются в обеспечении целостности и сохранности расположенных там данных. «sPACE» будет полезен не только для тех организаций, которые используют собственную ИТ-инфраструктуру, но и для тех, кто использует облачные сервисы.
 
Основные преимущества продукта
 
Технологическим преимуществом sPACE является механизм назначения привилегий на основании нарядов-допусков и предоставления доступа к объектам администрирования с помощью сценариев запуска инструментов. Это позволяет гранулировать доступ пользователей до уровня решения конкретной задачи на конкретной целевой системе в ограниченное время.
 
Система «sPACE» проста в работе, имеет удобный интерфейс и ориентирована на работу не только с ИТ-специалистами, но и бизнес-пользователями, которым необходим доступ к системам, содержащим конфиденциальную информацию.
 
Система разработана с использованием современных подходов к облику ИТ-систем, что отличает её от большинства конкурентов, которые присутствуют на рынке более 10-15 лет. В ней реализован механизм делегирования функций управления доступом на уровень подразделений, что критически важно в крупных организациях.
 
Масштабируемость обеспечивается пластичной структурой, кластерной архитектурой и гибким механизмом подключения к ИТ-инфраструктуре.
 
Основные преимущества системы:
  • простая интеграция (не требует существенных изменений в существующей инфраструктуре);
  • децентрализованный механизм наделения привилегиями;
  • удобство и простота эксплуатации;
  • API для интеграции с другими инструментами ИБ;
  • распределенная архитектура (масштабирование, автоматическая балансировка нагрузки и устойчивость к отказам);
  • разумная стоимость эксплуатации и масштабирования.
Таким образом, система «sPACE» является удобным инструментом для организации привилегированного доступа и имеет оптимальное соотношение цены и функциональных возможностей. Она имеет понятный интерфейс и подходит для эксплуатации в любых компаниях. 
*Разрабатывается при поддержке Российского фонда развития информационных технологий (РФРИТ)
Узнать больше о решении sPACE
 
Связаться с нами - info@web-control.ru
 
Источник ►

Больше новостей sPACE

Контроль привилегий - основа киберустойчивости компании

Основные тренды PAM-решений в отчете Gartner Magic Quadrant for Privileged Access Management 2023

Обновление sPACE PAM: фокус на корпоративных заказчиков

Несанкционированный доступ к ИТ-системам компании — это потенциальный риск, который может привести к остановке бизнес-процессов, финансовым и репутационным потерям

Андрей Акинин: Привилегия нужна тогда, когда она необходима для реализации бизнес-функции

Эволюция PAM: от минимальных привилегий и «just in time» к нулевым постоянным привилегиям (ZSP)

Практика внедрения решений класса PAM и тренды их развития. Круглый стол

Сравнение российских решений класса PAM

Вэб Контрол ДК расширила возможности sPACE PAM в новой версии. Ключевым ожидаемым событием обновления стало появление запуска привилегированных консольных сессий в защищенной среде Linux

5 сценариев эффективного использования PAM в организации

Хакеры взломали домашний ПК сотрудника LastPass и проникли в облачное хранилище компании

Контроль над правами: как управлять привилегированными учетными записями

Обзор sPACE на Cyber Media

Компания Web Control приняла участие в форуме-выставке ТБ Форум 23

Вэб Контрол на Карте российского рынка информационной безопасности (ИБ) 2023

Решения компании Web Control вошли в атлас «Импортозамещение 2023» от CNews Analytics

Как выбрать PAM-систему и зачем она нужна в 2023 году

Развитие системы управления привилегированным доступом sPACE поддержано государством

Импортозамещение 2022

Руководство по импортозамещению систем информационной безопасности в условиях санкций, подготовленный компанией "Информзащита"

Практика использования, новые функции и сценарии работы PAM

Privileged Access Management, PAM Решения для управления привилегированным доступом (мировой рынок)

Обзор рынка систем управления привилегированным доступом (PAM) 2022

Подтверждена совместимость и корректность работы sPACE PAM с операционной системой РЕД ОС

Вэб Контрол ДК вступила в Ассоциацию разработчиков программных продуктов «Отечественный софт»

Презентация sPACE - РАМ система для обеспечения контролируемого доступа к ИТ-инфраструктуре

Безопасный удаленный доступ Эффективная защита в период массированных кибератак

Система управления привилегированным доступом sPACE включена в реестр российского ПО

Запись вебинара sPACE - РАМ система для обеспечения контролируемого доступа к ИТ-инфраструктуре компании

sPACE: новая масштабируемая PAM-система с широким функционалом

Прошел IV Российский Межотраслевой Саммит «Промышленность 4.0. Цифровой завод» 2021

18.09.2021

sPace Presentation Express

02.11.2021

Главная проблема российских компаний при кибератаках – уязвимость контроля доступа

17.06.2021

Особенности s-PACE

17.05.2021

Web Control начала продажи РАМ-системы собственной разработки под названием sPACE

20.04.2021

Демонстрация sPACE -удобство интерфейса и простоты работы

20.04.2021

sPACE PAM - удобный инструмент в организации безопасного доступа к вашим ИТ-активам

19.04.2021

Критерии выбора системы PAM

16.04.2021

Privileged Access Management и автоматизация

28.03.2021

Privileged Access Management – просто и кратко

26.03.2021

Политика наименьших привилегий и Privileged Access Management

27.03.2021

Privileged Access Management и привилегированные пользователи

27.03.2021

Privileged Access Management – необходимость или блажь?

26.03.2021

Контакты

Узнай больше о sPACE
E-mail
info@s-pace.ru
Контактный центр
+7 (495) 925-7794
Name
E-mail
Message