Обновление Indeed Privileged Access Manager (Indeed PAM) – версия 2.5

Компания «Индид» представляет новую версию Indeed Privileged Access Manager. Версия Indeed PAM 2.5 включает в себя усовершенствованный механизм работы политик, новые функции и улучшения интерфейсов пользователей и администраторов, а также дополнительные коннекторы для целевых ресурсов. Подробнее о том, что вошло в релиз, читайте ниже.

Новый механизм работы политик

Для настройки параметров доступа к целевым ресурса и привилегированным учетным записям Indeed PAM использует собственные политики. Но практика боевого применения и растущее количество сценариев продиктовали новые требования. Новый механизм более гибкий, каждая отдельная политика больше не имеет ограничений в настройках и может быть назначена любому типу объектов Indeed PAM (ресурс, учетная запись, домен или пользователь). 

Администратор решения теперь имеет конструктор, формирующий уникальные настройки для выбранного объекта Indeed PAM. Кроме этого, добавлена политика по умолчанию, определяющая все параметры работы Indeed PAM и применяемая ко всем объектам. Это упрощает работу администраторов в случаях, когда не требуется разделять настройки для разных групп пользователей или ресурсов.

Новые коннекторы к целевым ресурсам

В Indeed PAM 2.5 реализована поддержка новых типов пользовательских и сервисных подключений:

1. Telnet — пользовательское подключение для контроля telnet сессий, запускаемых через Indeed PAM.
2. Cisco — сервисное подключение для сетевого оборудования Cisco, предназначенное для контроля учётных записей в операционной системе IOS XE.
3. Inspur BMC — сервисное подключение для управления учетными записями IPMI модуля компании Inspur.

Несколько пользовательских подключений для одного ресурса

Изменения также коснулись и добавляемых в Indeed PAM ресурсов. В новой версии Indeed PAM реализована поддержка разных типов подключения для одного целевого ресурса. Выдавая разрешение, администратор PAM сможет указать, какие именно способы подключения будут доступны пользователю.

Просмотр пароля привилегированной учетной по согласованию (по подтверждению) администратора Indeed PAM

Пользователям программного комплекса прошлых версий уже знаком механизм согласования (или подтверждения) при открытии привилегированной сессии. В Indeed PAM версии 2.5 мы расширили границы применения подтверждений администратора. Теперь можно включить требование о необходимости получения пользователем подтверждения администратора Indeed PAM для просмотра сотрудником пароля его привилегированной учетной записи.

Автоматический сброс пароля/SSH ключа

В каждую новую версию программного комплекса мы вводим улучшения для поддержания безопасной работы с привилегированными учётными записями и серверами продукта. Очередной релиз не стал исключением — в него мы добавили два важных обновления:

1. Сброс пароля/SSH ключа привилегированной учетной записи сразу же после завершения сессии.
2. Сброс пароля/SSH ключа при обнаружении несоответствия между сохраненным в Indeed PAM паролем/SSH ключом и фактически установленным для привилегированной учетной записи.

Новые функции улучшают механизм ротации привилегированных учетных данных и реализуют модель одноразовых паролей (сессионных ключей), когда каждая сессия будет использовать новые учетные данные.

Прочие изменения

Также мы реализовали ряд нововведений, улучшающих опыт работы привилегированных пользователей и администраторов PAM с программным комплексом:

1. В личном кабинете привилегированного пользователя можно получить строку подключения к Indeed PAM SSH Proxy-серверу. Теперь в личном кабинете достаточно нажать на кнопку “Скопировать” и после этого в буфере обмена сохранится команда для подключения к Indeed PAM SSH Proxy-серверу через SSH клиент.
2. Для удобства администратора Indeed PAM была разработана система цветовой индикации строк с новыми запросами на открытие сессии или просмотр пароля.
3. Запуск браузера в режиме киоска при открытии через Indeed PAM HTTP(S) сессии. Это повысит общий уровень безопасности при работе с тонкими клиентами различных целевых ресурсов.
4. Добавлены CEF и LEEF форматы событий для отправки в syslog сервер.
5. Данные в большинстве таблиц “Консоли управления” теперь можно сортировать.