Обновление Indeed Privileged Access Manager (Indeed PAM) – версия 1.2

Представляем очередную версию программного комплекса Indeed Privileged Access Manager для управления доступом привилегированных пользователей. Новая версия Indeed PAM 1.2. получила не только доработку существующей функциональности, но и новые функции, а также, инструмент для автоматизации процессов администрирования. Они разработаны для повышения гибкости и комфорта работы администраторов и пользователей. Подробнее об улучшении механизма выдачи разрешений, добавленных функциях и инструментах читайте далее.

Контроль подключаемых ресурсов

В Indeed PAM 1.2. добавлена функция контроля подключения устройств в RDP сессии. Централизованная настройка разрешения или запрета подключения оборудования реализована с использованием политик подключений Indeed PAM. Функция позволяет выполнять проброс устройств с локального ПК пользователя в удаленную сессию и работает в отношении следующих ресурсов:

1. Принтеры
2. Смарт-карты
3. Буфер обмена
4. Порты
5. Диски

Контроль обмена файлами (Теневое копирование)

Для повышения контроля за RDP-сессиями был разработан механизм слежения за передаваемыми файлами. Все события, связанные с  перемещением файлов с подключаемых дисков на целевой ресурс, фиксируются, а сами файлы копируются в хранилище. Для пользователя этот процесс незаметен. Администраторы могут просматривать список переданных на целевой ресурс файлов и получить доступ к сохраненной копии.

Пользовательские учетные записи

В Indeed PAM 1.2. доработан сценарий доступа к целевым ресурсам. Теперь пользователь сможет открыть RDP или SSH сессию от имени своей учетной записи, которая не была добавлена в систему в качестве привилегированной. Ранее доступ осуществлялся только с помощью управляемых системой учетных записей, теперь это не обязательное условие. Функция реализуется при выдаче разрешения. Для таких сессий доступны все виды логирования.

Переработан график доступа

Обновлен механизм доступа по графику. Теперь при выдаче разрешения можно указать точное время начала и окончания его действия. Например, разрешение начинает действовать в 9:00 10.10.2019 и прекращает действовать в 21:00 15.10.2019. В предыдущей версии ПО разрешение всегда начинало действовать в 00:01 и прекращало действовать в 23:59. Такая модель накладывала ограничения на выдачу разрешений, которые должны действовать в ночное время. Благодаря новой модели, подобных ограничений нет и сотрудники могут получить разрешение, которое будет активно, например, с 23:00 10.10.2019 до 02:00 11.10.2019.

Также остались открыты настройки графика доступа. Например, разрешение начнет действовать в 9:00 10.10.2019 и закончит действовать в 21:00 15.10.2019, при этом сотрудник сможет пользоваться разрешением только в промежутке, допустим, с 23:00 до 02:00 часов, но ежедневно на протяжении периода действия разрешения.

Группы безопасности учётных записей

Для повышения контроля за привилегированными учётными записями в их свойства был добавлен новый раздел — Группы. В разделе отображаются группы безопасности, в которых состоят учётные записи. Функция поддерживается для учётных записей Active Directory и для локальных учётных записей (ОС Windows и ОС Unix/Linux).

Сохранение исторических данных в записанных сессиях 

В свойствах сессии теперь сохраняются имена пользователя, учетной записи и ресурса на момент открытия сессии. Если в дальнейшем администратор переименует одну из указанных сущностей, в свойствах сессии будут показаны как новые имена, так и старые значения.

В профиле сессии будут отображаться сервисные сообщения об изменениях, что позволит узнать, какие атрибуты пользователя были изменены. Данная функция позволит защититься от недобросовестных администраторов, которые могут исказить информацию о сессиях, а также избежать путаницы при штатном переименовании ресурсов и учетных записей.

Консольная утилита для работы с Indeed PAM

Разработана утилита для автоматизации администрирования системы Indeed PAM. Инструмент позволяет выполнять следующие операции:

1. Массовое создание разрешений.
2. Массовый отзыв разрешений.
3. Импорт ресурсов в базу данных Indeed PAM.

Для перечисленных операций потребуется подготовленный .CSV файл с перечнем пользователей, учётных записей и ресурсов. Утилита выполнена в виде консольного приложения, что позволяет запускать ее как в ручном, так и в автоматическом режиме.

Балансировка нагрузки Indeed PAM Gateway

Для обеспечения отказоустойчивости и распределения нагрузки введена поддержка балансировки при помощи HAProxy. Теперь активные сессии распределяются на необходимое количество хостов, на которых установлен компонент Indeed PAM Gateway. Благодаря этому обновлению упрощается горизонтальное масштабирование решения.