Как работает PAM-система управления привилегированным доступом
PAM-система собирает данные привилегированных учетных записей (учетные записи системных администраторов) в Active Directory и на серверах с ОС Microsoft Windows, Linux/Unix. Это позволяет исключить наличие неучтенных привилегированных учетных записей, изолировать их использование и регистрировать их деятельность.
Ограниченный доступ привилегированных пользователей предназначен для снижения риска внутренних и внешних инцидентов или несанкционированного доступа к критичным компонентам инфраструктуры. Решение PAM предоставляет сотрудникам доступ на целевую систему, который необходим им для выполнения заданий.
Контроль действий привилегированных пользователей достигается путем использования промежуточного сервера контроля и управления доступом (т.н. jump-сервера). При этом PAM-система управляет всеми привилегированными сессиями в единой точке, не требует установки дополнительного ПО, что существенно сокращает затраты на управление привилегированным доступом.
Привилегированные пользователи подключаются к целевым ресурсам и приложениям исключительно через сервер Indeed PAM. Пользователи могут использовать веб-консоль для просмотра доступных ресурсов и последующего подключения к ним по протоколам RDP и SSH.
Управляется PAM-система через веб-консоль администратором. На платформе Indeed PAM есть возможность создать организационную структуру для разграничения доступа администраторов PAM.
Администратор PAM может отслеживать действия пользователей через веб-консоль и управлять сеансами в реальном времени, если это необходимо. Indeed PAM позволяет автоматически отзывать истекшие разрешения, что существенно снижает нагрузку на администраторов PAM.
Пароли привилегированных учетных записей автоматически обновляются и по умолчанию недоступны сотрудникам с привилегированным доступом. При подключении привилегированного пользователя к целевому ресурсу сервер Indeed PAM самостоятельно подставляет логин-пароль. Таким образом, сотрудник, уполномоченный на управление какими-либо серверами и бизнес-приложениями, не сможет авторизоваться на ресурсе в обход Indeed PAM, т.к. ему неизвестен пароль.
Indeed PAM выступает в роли централизованного репозитория привилегированных учетных данных, доступ к которым предоставляется только при наличии действующего разрешения.
Чтобы обеспечить безопасность паролей и SSH ключей, Indeed PAM выполняет их смену на случайные по заданному расписанию. Для соблюдения политик безопасности компании можно настроить параметры сложности генерируемого пароля.
Доступ к консоли администратора и для подключения привилегированных пользователей к целевым ресурсам можно дополнительно защитить двухфакторной аутентификацией.
Посмотрите обзор логических и функциональных модулей системы и принцип работы платформы Indeed PAM в коротком видео:
Защитите привилегированный доступ вашей компании с помощью российского программного комплекса Indeed Privileged Access Manager (Indeed PAM).
