Как работает PAM-система управления привилегированным доступом

PAM-система собирает данные привилегированных учетных записей (учетные записи системных администраторов) в Active Directory и на серверах с ОС Microsoft Windows, Linux/Unix. Это позволяет исключить наличие неучтенных привилегированных учетных записей, изолировать их использование и регистрировать их деятельность.

Ограниченный доступ привилегированных пользователей предназначен для снижения риска внутренних и внешних инцидентов или несанкционированного доступа к критичным компонентам инфраструктуры. Решение PAM предоставляет сотрудникам доступ на целевую систему, который необходим им для выполнения заданий.

Контроль действий привилегированных пользователей достигается путем использования промежуточного сервера контроля и управления доступом (т.н. jump-сервера). При этом PAM-система управляет всеми привилегированными сессиями в единой точке, не требует установки дополнительного ПО, что существенно сокращает затраты на управление привилегированным доступом. 

Привилегированные пользователи подключаются к целевым ресурсам и приложениям исключительно через сервер Indeed PAM. Пользователи могут использовать веб-консоль для просмотра доступных ресурсов и последующего подключения к ним по протоколам RDP и SSH.

Управляется PAM-система через веб-консоль администратором. На платформе Indeed PAM есть возможность создать организационную структуру для разграничения доступа администраторов PAM.

Администратор PAM может отслеживать действия пользователей через веб-консоль и управлять сеансами в реальном времени, если это необходимо. Indeed PAM позволяет автоматически отзывать истекшие разрешения, что существенно снижает нагрузку на администраторов PAM.

Пароли привилегированных учетных записей автоматически обновляются и по умолчанию недоступны сотрудникам с привилегированным доступом. При подключении привилегированного пользователя к целевому ресурсу сервер Indeed PAM самостоятельно подставляет логин-пароль. Таким образом, сотрудник, уполномоченный на управление какими-либо серверами и бизнес-приложениями, не сможет авторизоваться на ресурсе в обход Indeed PAM, т.к. ему неизвестен пароль.

Indeed PAM выступает в роли централизованного репозитория привилегированных учетных данных, доступ к которым предоставляется только при наличии действующего разрешения. 

Чтобы обеспечить безопасность паролей и SSH ключей, Indeed PAM выполняет их смену на случайные по заданному расписанию. Для соблюдения политик безопасности компании можно настроить параметры сложности генерируемого пароля.

Доступ к консоли администратора и для подключения привилегированных пользователей к целевым ресурсам можно дополнительно защитить двухфакторной аутентификацией. 

Посмотрите обзор логических и функциональных модулей системы и принцип работы платформы Indeed PAM в коротком видео:

Защитите привилегированный доступ вашей компании с помощью российского программного комплекса Indeed Privileged Access Manager (Indeed PAM).