Роль систем класса PAM в реализации концепции Zero Trust
Александр Булатов, 26/04/23
Концепция нулевого доверия Zero Trust – это подход к безопасности информационных систем, который заключается в том, что ни одна часть сети или приложения не считается доверенной и не получает доступа к ресурсам без предварительной проверки подлинности и авторизации. Важную роль в реализации концепции Zero Trust играют решения класса PAM (Priveleged Access Management). На сегодняшний день наблюдается рост спроса на них, что связано с общим повышением угроз в области кибербезопасности. В настоящей статье рассмотрим, как PAM помогает в реализации концепции Zero Trust, на примере системы Infrascope, разработанной компанией NGR Softlab.
Автор: Александр Булатов, коммерческий директор NGR Softlab
В контексте PAM привилегированными считаются пользователи, имеющие расширенные права доступа к системе и данным. Это могут быть администраторы, системные аналитики, операторы баз данных, инженеры безопасности и другие сотрудники, имеющие возможность управлять конфигурацией и настройками системы, а также просматривать, редактировать или удалять чувствительные данные. Они обладают высоким уровнем привилегий и поэтому являются основными целями атак инсайдеров и злоумышленников. Управление привилегиями пользователей является одним из главных аспектов безопасности информационных систем и важным компонентом PAM.
Авторизация и аутентификация пользователей
Авторизация и аутентификация пользователей – это один из основных компонентов реализации концепции Zero Trust в информационной безопасности. Для обеспечения этой функциональности можно использовать системы класса PAM, которые обеспечивают удобный и гибкий механизм аутентификации и авторизации пользователей.
Системы PAM поддерживают различные методы аутентификации, включая парольную и биометрическую, аутентификацию с помощью ключей SSH и др. Кроме того, системы PAM обеспечивают гибкую настройку прав доступа пользователей, что позволяет эффективно реализовывать принципы концепции Zero Trust.
Решение Infrascope предоставляет набор функциональных модулей, расширяющих возможности классического PAM.
Динамический диспетчер паролей – централизованное безопасное хранилище паролей, позволяющее предотвратить кражу или несанкционированный обмен. Пользователи используют учетные записи Infrascope, а система самостоятельно обновляет пароли от них в целевых системах. Технология позволяет дополнительно управлять учетными записями приложений (AAPM), обеспечивая их выдачу через API, и производить автоматическую ротацию паролей для общих и сервисных профилей без необходимости их перенастройки (SAPM).
Менеджер сессий контролирует и проверяет зашифрованные сеансы пользователя. Он работает как шлюз между пользователями и целевыми конечными точками. Все сессии логируются, в том числе с записью видео. К каждой может быть применена политика, ограничивающая действия вплоть до запрета ввода конкретных команд, выполнения действий, запуска приложений и пр.
[img]https://www.itsec.ru/hs-fs/hubfs/laptop-desk-computer-macbook-mac-writing-1080703-pxhere.com.jpg?width=1280&height=850&name=laptop-desk-computer-macbook-mac-writing-1080703-pxhere.com.jpg[/img]
Ограничение доступа к системным ресурсам
Ограничение доступа к системным ресурсам – один из основных принципов концепции Zero Trust, который может быть реализован с помощью решений класса PAM. PAM позволяет ограничить доступ к системным ресурсам путем установления политик и правил, определяющих, кто, когда и как может получить доступ к конкретным ресурсам.
Это помогает автоматизировать процесс управления доступом и контроля использования привилегированных аккаунтов, что повышает безопасность системы и уменьшает вероятность несанкционированного проникновения.
При использовании решений такого класса для ограничения доступа к системным ресурсам и реализации концепции Zero Trust важно учитывать множество факторов: требования безопасности, удобство использования, совместимость и возможность интеграции с другими системами, а также стоимость и сложность внедрения и поддержки.
Пользователи Infrascope используют веб-интерфейс для:
веб-подключения удаленного рабочего стола к серверу Windows;
веб-подключения CLI к сетевому устройству;
проверки пароля из секретного хранилища и т.д.
Возможно также подключение с помощью собственных клиентов вместо веб-интерфейса. Например, можно использовать:
собственный CLI (Putty, SecretCRT); l Windows-приложение удаленного рабочего стола;
SQL-клиент (TOAD, DataGrid, Navicat, и т.д.);
приложения для прямого подключения к Infrascope прокси-сервисов по SSH/Telnet, RDP и SQL.
Мониторинг и аудит действий пользователей
Мониторинг и аудит действий пользователей являются важными составляющими реализации концепции Zero Trust с использованием Privileged Access Management. PAM-решения могут записывать все действия, выполненные привилегированными пользователями, и анализировать эти записи на предмет подозрительной активности.
PAM обеспечивает отслеживание и анализ событий доступа к ним. Система PAM фиксирует все события доступа к привилегированным учетным записям, включая время, имя пользователя, IPадрес и тип события. Эти данные могут быть использованы для анализа доступа и выявления потенциальных угроз.
Это позволяет оперативно реагировать на любые нарушения безопасности, в том числе на атаки со стороны внутренних пользователей. Кроме того, мониторинг действий привилегированных пользователей может помочь в выявлении ошибок в конфигурации системы и обеспечении соответствия политикам безопасности.
При выборе PAM-решения для мониторинга и аудита действий пользователей необходимо убедиться, что оно предоставляет достаточную гибкость для настройки и адаптации к требованиям конкретной организации. Важно также учитывать возможность интеграции PAM с другими системами мониторинга безопасности и аналитическими инструментами для более эффективного обнаружения угроз и реагирования на них.
Система PAM может создавать автоматические отчеты о доступе к привилегированным учетным записям и формировать инциденты о нарушении установленных политик.
Механизмы двухфакторной аутентификации
Использование двухфакторной аутентификации в PAM позволяет создавать более безопасные среды, которые лучше защищены от угроз внутреннего и внешнего происхождения. Они также могут помочь в реализации концепции Zero Trust путем установления постоянной проверки и подтверждения подлинности пользователей и устройств, которые имеют доступ к защищенной сетевой инфраструктуре.
Двухфакторная аутентификация Infrascope – дополнительный уровень безопасности с использованием комбинации двух различных компонентов. Дополнительный код (одноразовый пароль), полученный по электронной почте или с использованием внешнего сервиса одноразовых паролей, необходимо ввести во время аутентификации, что послужит подтверждением личности пользователя. Автономная генерация кода в режиме реального времени поддерживается с помощью сильного генератора токенов.
В Infrascope также реализована интеграция с сервисами Authy, Duo Mobile, LastPass Authenticator, Microsoft Authenticator, Google Authenticator, Яндекс Ключ.
Интеграция с существующей ИТ-инфраструктурой
Интеграция PAM с существующей ИТ-инфраструктурой является важным шагом в реализации концепции Zero Trust и обеспечении безопасности организации. Для этого необходимо проанализировать ИТ-инфраструктуру и определить, какие системы и приложения используются, какие учетные записи существуют и какие права доступа имеют пользователи.
После этого необходимо настроить PAM для интеграции с действующими системами и приложениями, чтобы обеспечить авторизацию и аутентификацию пользователей на основе Zero Trust. Это может включать в себя настройку аутентификации через Active Directory, LDAP или другие системы управления идентификацией и доступом.
Infrascope поддерживает интеграцию:
с любыми решениями по протоколам RDP (Windows), SSH (любые *nix), VNC (Linux GUI), Microsoft SQL Server, MySQL, Oracle Database, IBM DB2, Apache Cassandra, PostgreSQL / EnterpriseDB, SAP/HANA, Teradata, Apache Hive, Couchbase, а также любыми ODBCи JDBC-совместимыми СУБД, в том числе и отечественными;
со службами каталогов – MS Active Directory или любыми другими, поддерживающими LDAP или LDAPS для импорта пользователей и устройств.
Интеграция с SIEM для мониторинга безопасности
Интеграция PAM с SIEM и другими системами мониторинга безопасности может значительно повысить эффективность системы защиты. PAM может быть настроена для регистрации всех событий, связанных с аутентификацией и авторизацией пользователей, и отправки логов этих событий в системы мониторинга безопасности, такие как SIEM.
Это позволяет анализировать и обнаруживать подозрительную активность, связанную с учетными записями пользователей и доступом к ресурсам. Интеграция PAM с системами мониторинга безопасности также может повысить эффективность реагирования на инциденты безопасности, позволяя быстро выявлять и реагировать на нарушения безопасности.
В системе Infrascope реализована интеграция с SIEM по syslog, отправка уведомлений по SMNP и SMTP. C помощью API возможна интеграция с другими различными системами: IdM/IAM, тикет, Service Desk и др.
Оптимизация управления привилегиями в крупных организациях
Оптимизация управления привилегиями в крупных организациях является важной задачей для обеспечения безопасности информации. Ниже представлены некоторые шаги, которые могут помочь в оптимизации управления привилегиями в крупных организациях:
Идентификация привилегированных аккаунтов и доступов. Необходимо составить список привилегированных аккаунтов и доступов в организации, чтобы понимать, какие системы и приложения могут быть уязвимыми.
Автоматизация процессов управления привилегиями. Существуют PAM-решения, которые позволяют автоматизировать процессы управления привилегиями, например: выдача и отзыв доступов, мониторинг активности привилегированных пользователей и др.
Внедрение многофакторной аутентификации. Она позволяет улучшить безопасность доступа к привилегированным аккаунтам и системам.
Создание политик управления привилегиями. Необходимо создать политики управления привилегиями, которые определяют, кто и как может получить доступ к привилегированным аккаунтам и системам.
Обучение пользователей. Важно обучать пользователей, как правильно использовать привилегированные аккаунты и системы, а также информировать о рисках, связанных с неправильным использованием таких аккаунтов.
Мониторинг активности привилегированных пользователей. Нужно анализировать активность привилегированных пользователей и систем, чтобы быстро обнаруживать потенциальные угрозы и предотвращать их.
Регулярное обновление PAM-решений. Необходимо постоянно совершенствовать PAM-решения и их компоненты, чтобы обеспечить защиту от новых угроз и уязвимостей.
Заключение
Использование систем PAM для авторизации и аутентификации пользователей является одним из способов реализации концепции Zero Trust в информационной безопасности. Это позволяет обеспечить высокий уровень защиты от угроз, связанных с несанкционированным доступом к ресурсам.
PAM-решения являются важным компонентом современной сетевой безопасности и будут продолжать развиваться и совершенствоваться для улучшения управления привилегированным доступом и повышения уровня безопасности.
Infrascope – это PAM-решение с широким диапазоном функций "из коробки", которое помогает организациям создать гибкую централизованную, многоуровневую архитектуру защиты от инсайдерских угроз и компрометации учетных записей. Оно предоставляет возможности контроля за действиями поставщиков услуг, администраторами ИТ-инфраструктуры и обеспечивает выполнение требований стандартов ИБ (ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций", GDPR, PCI DSS, ISO 27002 и др.).
Система Infrascope поставляется как отдельный OVA-контейнер для автоматизированного развертывания в любой среде виртуализации.
Infrascope включен в реестр отечественного ПО. Это проверенное решение, которое позволяет оптимизировать время настройки контроля доступа привилегированных пользователей и может масштабироваться для поддержки десятков тысяч пользователей и учетных записей, миллионов конечных точек, а также миллиардов комбинаций аутентификации.
www.itsec.ru