Удаленный доступ
администраторов
к корпоративным ресурсам

Решение на основе Indeed PAM организует управляемый удаленный доступ к корпоративным ресурсам. Получите описание решения и примеры сценариев применения.

Получить описание

Демонстрация работы решения

Посмотрите трехминутный ролик об управлении доступом привилегированных пользователей к информационным системам компании или запланируйте демонстрацию

запланировать демонстрацию

Описание решения

Задача

Сегодня уже никого не удивить переводом сотрудников на удаленную работу. При этом исходные причины удаленной работы могут быть разные:

  • Сокращение затрат на офис
  • Работа с сотрудниками из других стран и регионов
  • Работа сотрудников в период болезни
  • Удаленная работа в командировке
  • Удаленные администраторы и подрядчики
  • И т.д.

Основные риски информационной безопасности при удаленной работе связаны со следующими факторами:

  • Низкий уровень защищенности личного устройства сотрудника
  • Низкий уровень защищенности сетевого окружения рабочего места сотрудника (независимо, личное это устройство или нет)
  • Неконтролируемые подключения к ресурсам со смартфонов и планшетов
  • Рабочие станции, обслуживающих критичные процессы, имеют прямой доступ в интернет
  • Невозможность или высокая сложность применения корпоративных средств защиты на уровне сети (включая выявление аномалий)
  • Открытие доступа извне к критичным ресурсам организации
  • Изменение архитектуры сетевого взаимодействия для предоставления доступа к рабочим ресурсам в краткие сроки, что часто не предусматривает моделирование угроз
  • Чрезмерные полномочия, выдаваемые сотрудникам

Должностные обязанности удалённых сотрудников и способы подключения могут быть абсолютно разные, при этом , часть полномочий может быть временно отозвана.

К примеру, сотрудник из бухгалтерии находится на больничном, но ему необходимо провести транзакцию или внести данные в финансовые приложения. Нет необходимости давать ему доступ ко всему рабочему пространству. (на определенный срок ) только к финансовому приложению. Он сделает свою работу , после чего доступ можно будет отозвать.

Обычно при организации удаленного доступа в инфраструктуре компании нужно перенастроить сетевое оборудование, VPN-шлюзы и межсетевые экраны. Если организация удаленного доступа происходит планово, имеется время для моделирования угроз и проработки потенциальных рисков организации такого доступа.

В случае, когда удаленный доступ предоставляется временно или в условиях спешки (например, нужно срочно подключиться к удаленному рабочему столу со стороны администратора), проработка рисков не проводится. Даже при плановой организации удаленного доступа полномочия сотрудников редко оптимизируются/корректируются.

Отдельной задачей является организация временного доступа, доступа по расписанию и доступа по согласованию. Ситуация усложняется, когда все эти правила должны применяться одновременно, например, прямой доступ в рабочее время и доступ по согласованию (после явного одобрения) в нерабочее время для одного и того же сотрудника.

Наличие проблем с оперативным развертыванием и защитой удаленного доступа, в особенности для привилегированных пользователей, создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит существенно улучшить качество имеющегося процесса управления удаленным доступом.

Решение

В целях повышения эффективности системы управления доступом в части защиты удаленной работы необходимо использовать PAM-систему, которая позволяет оперативно предоставить доступ заданным категориям сотрудников.

Архитектурно Indeed Privileged Access Manager представляет собой промежуточный сервер (jump-сервер), на который удаленным сотрудникам необходимо явно подключиться для последующей работы. Использование jump-сервера позволит избежать:

  • необходимости настройки сетевого взаимодействия на разных устройствах
  • установки дополнительного ПО на целевые рабочие станции
  • корректировки выданных полномочий привилегированным пользователям и рядовым сотрудникам

В общей сложности, Indeed PAM предоставляет следующие функциональные возможности для предоставления удаленного доступа:

  • Единая точка удаленного подключения
  • Политики управления доступа по принципу "что явно не разрешено - запрещено"
  • Доступ по времени и согласованию
  • Двухфакторная аутентификация для дополнительной защиты
  • Точечные настройки разрешенных целевых ресурсов для каждого пользователя индивидуально
  • И т.д.

Указанные возможности позволяют оперативно предоставить удаленный доступ практически к ресурсу любого типа для разных групп пользователей, что особенно актуально в непредвиденных и сложных ситуациях.

удаленный доступ привилегированных пользователей

Применение

Единая точка удаленного подключения

Архитектурно PAM система представляет собой выделенную группу серверов, куда подключаются удаленные пользователи для последующей работы с целевыми ресурсами. Причем интерфейсы для подключения PAM могут находится в демилитаризованной зоне (ДМЗ) корпоративной сети, а интерфейс для администрирования - в ином сегменте сети.

В отличие от сетевого оборудования, межсетевых экранов и Next-Generation Firewall (NGFW), подключение происходит сначала на сервера PAM-системы и только потом на целевой ресурс. Такой способ подключения позволяет вводить дополнительные меры контроля и фиксации событий при удаленной работе. Более того, для последующего подключения к целевому ресурсу пользователь должен быть явно заведен в PAM-систему и иметь права доступа к заранее ограниченному перечню ресурсов

При этом управлением PAM-системой занимается офицер информационной безопасности, а не администратор сети, что исключает возможность несанкционированного предоставления удаленного доступа не уполномоченным на это сотрудником.

Подключение происходит либо по протоколу RDP, либо по протоколу SSH. Что позволяет максимально ограничить сетевой трафик для доступа к PAM-системе извне.

Платформа PAM может использоваться не только для организации планового удаленного доступа пользователей, но и для оперативного развертывания временного удаленного доступа. Включая предоставление доступа для непривилегированных пользователей.

Двухфакторная аутентификация

Платформа Indeed PAM поддерживает "из коробки" 2FA по одноразовым паролям, присылаемым на телефон пользователя. Это позволяет нейтрализовать угрозу кражи пароля, когда сотруднику легально настроен удаленный доступ.

Даже в случае кражи пароля злоумышленник не сможет подключиться к целевому ресурсу, не имея телефона, куда приходят одноразовые пароли. Сотрудник заметит потерю телефона и уведомит об этом администратора безопасности, после чего отправка одноразовых паролей может быть переключена на другой телефон.

Дополнительное преимущество 2FA направлено против внутренних злоумышленников (инсайдеров). При удаленном подключении злоумышленник может украсть информацию или нарушить работу сервиса, притворившись жертвой после обнаружения. А использование 2FA будет служить аргументом против “отказа от авторства” деструктивных действий. Инсайдеру придётся признать, что действия осуществлены им, либо с его молчаливого согласия (если был украден телефон, а он своевременно не сообщил об этом администратору безопасности).

Политики управления доступом

Единые политики управления доступом Indeed PAM позволяют избежать необходимости дополнительной настройки различного сетевого оборудования или целевых ресурсов. Они позволяют оперативно предоставить доступ к практически к любому доступному ресурсу для любого привилегированного пользователя из одной консоли.

Кроме непосредственной настройки доступа вида "пользователь-ресурс" политики управления доступом позволяют настроить:

  • Протокол доступа, либо целевое приложение;
  • Разрешенное время доступа;
  • Необходимость согласования при подключении;
  • Параметры контроля и записи сессий;
  • Предоставляемые для подключения привилегированные учетные записи
  • И т.д.

Все указанные настройки осуществляются на одном решении в одной консоли, что выгодно отличает Indeed PAM от других решений управления доступом к целевым ресурсам.

Доступ по расписанию и временный доступ

Программный комплекс Indeed PAM позволяет настраивать доступ к целевым серверам и приложениям по расписанию (к примеру, с 9:00 до 18:00). А также организовывать временный доступ (действующий до определенной даты).

Подобные правила доступа присутствуют и в сетевом оборудовании (правила фильтрации трафика по времени), однако они не позволяют использовать иные механизмы управления доступом и, зачастую, ограничены действием (фильтрация осуществляется на уровне "узел-узел").

С помощью PAM можно настраивать доступ по расписанию, а также временный доступ с помощью правила вида “пользователь-сервер” или “пользователь-ресурс”. ресурсом может выступать не только целевой сервер, но и целевое приложение.

Присутствует возможность интеграции через API с системой обработки заявок (Service Desk), что позволяет автоматически формировать правила доступа по расписанию.

Доступ по согласованию

Indeed PAM поддерживает механизм согласования доступа администратором или владельцем ресурса.

При использовании сетевого оборудования такой доступ можно организовать только в “ручном режиме” с привлечением дополнительных специалистов. Нет гарантий, что созданные “временные” правила будут отключены по истечении необходимости.

Этот механизм может быть использован, когда привилегированному пользователю нужно оперативно подключиться к критическому ресурсу в неурочное время (к примеру, в случае сбоя). В случае использования PAM сотруднику достаточно указать причину подключения, что будет зафиксировано в Журнале событий.

Иная ситуация касается подключения к критическому ресурсу в любое время, но только после явного одобрения. Любые работы должны проводиться на основании соответствующей заявки, однако расписание подключения сформировать проблематично (например , если подключение возможно только при низкой нагрузке на сервер, а нагрузка - величина динамическая).

Доступ по специализированным протоколам

Посредством серверов доступа Indeed PAM возможно настроить доступ к целевым серверам по различных протоколам удаленного подключения и администрирования.

Indeed PAM "из коробки" поддерживает следующие распространенные протоколы удаленного подключения:

  • RDP (удалённое подключение к рабочему столу);
  • SSH (текстовая консоль);
  • HTTP(веб-интерфейс).

Если требуется поддержка какого-либо специализированного проприетарного протокола , возможна публикация соответствующего приложения (тонкого клиента) на встроенном терминальном сервере, подключение к этому приложению и последующая работа через него на целевом ресурсе. Примечательно, что можно опубликовать устаревшие и самописные приложения, а значит возможна поддержка соответствующих редких проприетарных протоколов, что практически неосуществимо в ином случае.

Функциональные возможности Indeed PAM позволяют организовать контролируемые и защищенные удаленные подключения к практически любым категориям целевых ресурсов для любых категорий пользователей.

Терминальный доступ к приложениям

Одним из компонентов Indeed PAM является выделенный сервер доступа на базе терминального сервера Microsoft RDS.

С помощью данного терминального сервера возможна не только поддержка дополнительных проприетарных и редких протоколов удаленной работы, но и непосредственная публикация корпоративных приложений.

Данный функционал может быть полезен, когда требуется удаленная работа с критичными приложениями, не связанными с администрированием и управлением компонентами ИТ-инфраструктуры (финансовые приложения, электронный документооборот). Indeed PAM позволяет настроить расписание работы с такими приложениями, требовать явного согласования доступа со стороны администратора или иного лица.

Минимизация полномочий

При организации контролируемого и защищенного удаленного доступа посредством Indeed PAM может быть достаточно предоставления сотруднику прав доступа только к определенному приложению, а не ко всей рабочей станции или серверу. Это реализует минимизацию полномочий и позволяет снизить вероятность некорректных и деструктивных действий на целевом сервере.

То же касается временного доступа, подключений по расписанию или по согласованию, а также контроля вводимых команд. эти правила могут распространяться только на удаленную работу. Работая локально, сотрудник будет обладать всеми полномочиями.

При использовании функциональных возможностей Indeed PAM можно существенно снизить количество условий, когда необходимо править полномочия учётных записей пользователей в домене или в корпоративном приложении. Это позволяет сэкономить время и снизить вероятность ошибок при изменении полномочий.

Технические характеристики

Поддерживаемые протоколы:

  • RDP;
  • SSH;
  • HTTP(s);

Любые иные проприетарные протоколы с помощью публикации соответствующих приложений.

Дополнительные опции управления доступом:

  • Временный доступ;
  • Доступ по расписанию;
  • Доступ по согласованию;
  • Используемые привилегированные учетные записи для удаленного доступа;
  • Управление доступом к группам ресурсов.

Поддерживаемые каталоги пользователей:

  • Active Directory.
  • Технологии двухфакторной аутентификации:
  • Пароль + TOTP (одноразовый пароль - программный генератор);

Технологии удаленного доступа:

  • RemoteApp (Microsoft Remote Desktop Server);
  • SSH Proxy.

Сертификаты

  • Indeed Privileged Manager (Indeed РАМ) имеет сертификат ФСТЭК России по 4 уровню доверия. Важно отметить, что сертифицированный Indeed PAM поддерживает установку в операционной системе специального назначения «Astra Linux Special Edition».
  • Продукт Indeed Privileged Access Manager зарегистрирован в Едином реестре российских программ для ЭВМ и баз данных за рег. номером 6351

Получить бюджетную оценку проекта

Получить опросный лист

Варианты применения решения

Отраслевые
кейсы Управление доступом привилегированных пользователей
Соответствие
регуляторам Управление доступом привилегированных пользователей

Программа импортозамещения

Ознакомьтесь со специальными условиями для комфортного перехода на российское программное обеспечение

Посмотреть

другие решения

Защита паролей привилегированных учетных записей
Запись действий и расследование инцидентов
Удаленный доступ администраторов к ресурсам
Контролируемый доступ подрядчиков в ИС компании

отзывы клиентов

Сергей Крамаренко

руководитель департамента кибербезопасности Альфа-Банка

Отечественное решение Indeed AM оказалось лучше западного. Cистема многофакторной аутентификации пользователей не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение. В процессе масштабирования Indeed Access Manager мы расширили зоны покрытия инструментом двухфакторной аутентификации: 2FA стали использовать в большем количестве ИТ-систем и СЗИ. Мы смогли этого достичь за счет широкого интеграционного функционала решения и оперативной поддержки со стороны команды Компании Индид. Это позволило нам повысить уровень защищенности корпоративной инфраструктуры и закрыть часть требований регуляторных органов (Банк России, ФСТЭК).

Подробнее
Игорь Соловьев

директор департамента информационных систем и сервисов Фонда «Сколково»

В «Компании Индид» работают специалисты, в частности команда технической поддержки, которая оперативно решает все технические вопросы, что крайне важно для нас как заказчика. Помимо этого, уже на этапе пресейла, компания оказывала нам наиболее полную помощь, которую можно оказать — полное информирование по продукту, по функционалу, интеграции с другими целевыми системами, несмотря на то, что мы тогда ещё даже не говорили о покупке.

Подробнее
Григорий Ушаков

директор департамента безопасности компании «СберРешения»

Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.

Подробнее
Максим Королёв

Директор по ИБ ПАО «Сегежа Групп»

Мы используем продукт «Компании Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится. Возможность работы с VPN, которые мы используем, поддержка мобильных устройств всех типов, которые применяют наши работники и подрядчики; удобство интерфейса и надёжность работы были одними из ключевых аспектов выбора вендора.

Подробнее
Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее