Обновление Indeed Privileged Access Manager (Indeed PAM) – версия 1.1

Меньше года назад мы представили новый программный комплекс для управления доступом к привилегированным учетным записям — Indeed Privileged Access Manager (Indeed PAM).

Первые успешные пилотные внедрения Indeed PAM версии 1.0 в информационных системах предприятий провели в первые же месяцы. В итоге получили положительные отзывы реальных пользователей об использовании  комплекса и пожелания к его развитию.

Сейчас разработан Indeed PAM версии 1.1, включающий запланированные дополнения и реализацию функций на основе пожеланий пользователей.

Представляем обзор подготовленных расширений функционала комплекса.

Работа с ОС *nix

Для адаптации системы на взаимодействия с любым дистрибутивом *nix без дополнительной доработки, Indeed PAM версии 1.1 получил поддержку шаблонизации для сервисных операций в ОС *nix:

1. Проверка соединения с ресурсом.
2. Синхронизация локальных учетных записей.
3. Проверка пароля учетных записей.
4. Изменение пароля учетных записей.

Поддержка SSH-ключей

Реализована поддержка использования SSH-ключей для открытия сессий на ресурсах с ОС *nix. Также стала доступна генерация ключей из консоли управления. Нововведение упрощает управление привилегированными учетными записями расположенными на ресурсах под управлением ОС *nix.

Групповые операции администрирования

Работа с большим количеством привилегированных учётных записей и ресурсов может носить рутинный характер. Такие операции, выполняемые отдельно для каждого элемента, занимают значительное время. Для упрощения администрирования привилегированных учётных записей, ресурсов, доменов и разрешений введены групповые операции.

Механизм политик

Разработан механизм централизованного распространения настроек на ресурсы (серверы, рабочие станции и оборудование), домены и привилегированные учетные записи. Он включает в себя политики учетных записей и политики сессий.

Политики включают следующие настройки.

1. Для политики учетных записей:

• Поиск новых привилегированных учётных записей на ресурсах и в доменах по заданному расписанию.
• Проверка  и изменение паролей и SSH-ключей для привилегированных учётных записей по заданному расписанию.
• Проверка пароля и SSH-ключа при ручном вводе. Функция позволяет обнаружить несоответствие пароля или SSH-ключа на этапе настройки привилегированной учетной записи.
• Настраиваемая опция просмотра пароля или SSH-ключа привилегированной учетной записи. После просмотра пароль может быть сброшен на случайное значение через заданный интервал времени.
• Гибкая настройка сложности случайных паролей для привилегированных учётных записей.

2. Для политики сессий:

• Включение или отключение логирования для отдельных привилегированных учетных записей.
• Настройка качества записи видео и снимков экрана.
• Настройка ротации записи видео и снимков экрана для сокращения требуемого дискового пространства. Эта функция позволяет освобождать дисковое пространство за счет удаления старых видео и снимков экрана, благодаря настройке сроков хранения записи сессий.

Доступ к web-приложениям

Новый тип подключения позволяет выполнять автоматический вход в web-приложения, использующие протоколы HTTP/HTTPs. Для таких сессий поддерживается видеозапись действий пользователя и сохранение снимков экрана.

Автоматизация доступа в web-приложения выполнена за счёт технологии Single Sign-On (SSO), которая реализована в отдельном компоненте Indeed Enterprise SSO (ESSO) агент.

Такой сценарий не требует приобретения специализированной системы для поддержки SSO, т.к. все необходимые компоненты уже входят в стандартный комплект поставки Indeed PAM 1.1.

Управление разрешениями

Введен новый раздел для работы с разрешениями. В разделе можно выполнять создание новых,  просмотр действующих и отозванных разрешений.

В каждом разрешении содержатся:

1. Данные о принадлежности разрешения конкретному пользователю.
2. Список ресурсов, на которые может быть открыта сессия от имени привилегированной учетной записи.
3. Привилегированные учетные записи, к которым предоставлен доступ.

График доступа

Добавлена возможность настройки даты и времени начала действия разрешения и его окончания. Эта настройка осуществляется в момент создания разрешения на доступ к ресурсу. Функция позволяет гибко настраивать активность разрешения.

Новые состояния привилегированных учетных записей

Обновлена модель жизненного цикла учетных записей. Дополнен состав состояний учетных записей:

“Ожидает решения”: означает, что привилегированная учетная запись добавлена в Indeed PAM при помощи синхронизации с ресурсом или доменом. Такие учётные записи ожидают подтверждения администратором, который должен либо перевести запись в игнорируемые, либо указать или сгенерировать для нее пароль. Состояние позволяет фильтровать учетные записи, на которые необходимо обратить внимание и принять решение об управлении ими средствами решения.

“Игнорируется”: означает, что учетная запись хранится без пароля и не управляется Indeed PAM. Это состояние позволяет вести аудит учетных записей, для которых не требуется управление.

“Ошибка”: говорит о проблемах с привилегированной учетной записью, позволяет оперативно отреагировать на причину возникновения ошибки.

Прочие изменения

1. Сервер PAM получил поддержку работы в режиме отказоустойчивого кластера.
2. Разработана поддержка подключений по SSH и RDP протоколам, настроенным на нестандартные порты.
3. Добавлены системные настройки для используемых видеокодеков.
4. Разработан экспорт текстового лога сессии в файл.
5. Добавлен поиск по текстовому логу.
6. Добавлено разделение итогового видео сессии на части заданной длины.
7. Разработан выбор варианта сохранения видео сессии на рабочем месте администратора в случае разделения видеозаписи: одним архивом или выборочно.
8. Введена поддержка сетевого хранилища для медиафайлов.

Indeed PAM – это решение для повышения информационной безопасности бизнеса, которое обеспечивает выполнение контроля и аудита действий сотрудников с повышенным уровнем доступа к ресурсам компании.

Подготовленное обновление – это очередной шаг на пути оптимизации и усовершенствования защиты интересов собственников бизнеса от утечки важной информации и неправомерных действий привилегированных пользователей информационной системы