Обновление Indeed Privileged Access Manager (Indeed PAM) – версия 2.7

Компания Индид представляет новую версию продукта Indeed Privileged Access Manager – Indeed PAM 2.7. В ней появился целый ряд новшеств, например возможность установить часть решения на OC Linux и поддержка функций управления служебными паролями (Application-to-application password management). Кроме того, добавлена поддержка еще нескольких функций и протоколов, а интерфейсы пользователей и администраторов стали удобнее.

Работа сервера управления Indeed PAM на базе ОС Linux

В версии 2.7 реализована возможность установить сервер управления Indeed PAM на серверы под управлением ОС Linux. Компоненты Indeed PAM – Core, IdP, User Console, Management Console и Log Server – развертываются из образа Docker. Это позволяет установить продукт на любую ОС Linux, которую поддерживает Docker, в том числе на сертифицированные «Альт Линукс СПТ» и Astra Linux.

SSH Proxy для ОС Linux

Новая версия продукта позволяет установить компонент SSH Proxy, применяемый для проксирования сессий SSH, на сервер под управлением ОС Linux. В целях такой установки развертывается контейнер Docker.

Поддержка функций Application-to-application password management для использования привилегированных учетных записей в сторонних приложениях и скриптах

Функция Application-to-application password management позволяет безопасно хранить пароли служебных учетных записей, которые используются в скриптах и сторонних приложениях, и управлять такими паролями. Поэтому больше не нужно хранить пароли в открытом виде в скриптах, конфигурационных файлах и т. д. Продукт Indeed PAM предоставляет программный интерфейс (API) для получения актуальных служебных учетных данных из защищенного хранилища. Все операции получения паролей фиксируются в журнале PAM, а пароли через определенное время заменяются, причем их новые значения генерируются случайным образом.

Поддержка механизма подразделений: возможность создать организационную структуру внутри PAM для разграничения доступа администраторов PAM

Компаниям с разветвленной структурой и большим количеством филиалов порой очень важно иметь возможность разграничивать права на управление подразделениями и филиалами между администраторами. Продукт Indeed PAM 2.7 позволяет решать эту задачу путем группировки ресурсов: можно создать отдельный контейнер с ресурсами для каждого филиала и выдать права на управление контейнером соответствующему администратору PAM. Права администратора определяются привилегиями в настройках ролей. Он может осуществлять просмотр и выдачу разрешений, просмотр сессий, управление учетными записями и другие функции, но только для тех ресурсов, которые содержатся в соответствующем контейнере.

Обновленный клиент Putty

Чтобы устранить уязвимости, мы обновили модифицированный клиент Putty до версии 0.76.

Импорт ресурсов в базу РАМ из файла *.csv в MC

У администраторов PAM нередко возникает потребность загрузить в систему большой объем ресурсов. Если загружать их вручную, это займет слишком много времени. В новой версии Indeed PAM ресурсы можно импортировать в базу PAM из файла *.csv: в консоли администратора появилась соответствующая опция.

Функция экспорта списка разрешений в файл

В новом релизе появилась возможность выгрузить список разрешений в форматах *.csv и *.xlsx, что позволяет формировать отчеты в сторонних системах.

Управление двухфакторной аутентификацией на уровне отдельных пользователей

Чтобы упростить и ускорить работу пользователей, доступ которых не требуется защищать с помощью механизма двухфакторной аутентификации, в новой версии Indeed PAM реализована возможность отключать данную функцию индивидуально для каждого такого пользователя.

Автоматический отзыв разрешений, период действия которых закончился

Продукты Компании Индид, среди прочего, помогают автоматизировать и оптимизировать работу ИТ-систем. Поэтому новая версия Indeed PAM позволяет автоматически отзывать истекшие разрешения. Это новшество существенно снизит нагрузку на администраторов PAM, а в консоли пользователя теперь будут отображаться только активные и действующие разрешения.

Доработка утилиты Pam.Tools.Dump, выгрузка без расшифровки и отдельная расшифровка

Мы доработали утилиту Pam.Tools.Dump, предназначенную для выгрузки актуальных паролей из базы данных PAM. Обновленная версия позволит настроить выгрузку паролей по расписанию в зашифрованном виде и при необходимости расшифровывать их.

Поддержка протокола SCP в SSH Proxy

Теперь можно передавать файлы по протоколу SCP через SSH Proxy. Запись о такой передаче вносится в текстовый лог сессии. Кроме того, обеспечивается теневое копирование переданных файлов, которые затем можно просмотреть и скачать для дальнейшего изучения.

Выполнение задач по расписанию на конкретном сервере Core

В тех случаях, когда в архитектуре развернутой инсталляции продукта используется несколько серверов управления PAM, в Indeed PAM 2.7 появилась возможность  выборочно назначать один и более серверов управления, которые будут выполнять сервисные операции и задачи по расписанию.

Отправка текстовых логов сессий в SIEM

Чтобы обеспечить удобство интеграции продукта с решениями SEIM, а также своевременное выявление инцидентов и реагирование на них, можно доставлять информацию о событиях на сторонний журнальный сервер. События отправляются по протоколу syslog в форматах CEF и LEEF. Новая версия позволяет отправлять не только данные о событиях, регистрируемых при работе PAM, но и текстовый лог пользовательских сессий, поэтому теперь действия пользователей можно анализировать средствами SIEM. Перед отправкой записи в логе можно отфильтровать так, чтобы отправлять только те логи, которые необходимы для анализа.

Новый дизайн страницы аутентификации IDP

Для версии Indeed PAM 2.7 разработан новый дружественный дизайн страницы аутентификации.

Сортировать лицензии в MC по времени добавления

Лицензии Indeed PAM теперь можно сортировать в консоли администратора по времени их добавления в систему.

Назначение или изменение политики сразу для нескольких ресурсов или учетных записей

Новая версия Indeed PAM позволяет назначать политику сразу для нескольких ресурсов или учетных записей в соответствующем разделе.

Расширенный поиск ресурсов по типу пользовательского подключения и подразделению

В разделе «Ресурсы» консоли администратора усовершенствован механизм расширенного поиска: в новой версии добавлена функция поиска по подразделению и по типу пользовательского подключения.

Отображение IP-адреса и DNS-имени ресурса в консоли пользователя

В новой версии консоли пользователя Indeed PAM добавлены отдельные столбцы с указанием IP-адреса и DNS-имени целевого ресурса.

Отображение IP-адреса пользователя в запросе на открытие сессии

В запросе на открытие сессии, требующей подтверждения администратором PAM, теперь отображается IP-адрес рабочей станции пользователя, с которой выполняется попытка подключения к PAM.

Поддержка Microsoft Edge для подключений к веб-ресурсам

На сервере доступа добавлена поддержка браузера Microsoft Edge для подключений к веб-ресурсам.