Разработчики: | Индид, Indeed (ранее Indeed ID) |
Дата последнего релиза: | 2024/05/13 |
Технологии: | ИБ - Аутентификация, PAM Privileged Access Management |
Содержание |
Продукт Indeed Privileged Access Manager (Indeed PAM) разрабатывается "с нуля" как система управления доступом с использованием привилегированных учетных записей. В основе продукта лежит многолетний опыт компании "Индид" по созданию продуктов в области информационной безопасности.
2024: Поддержка OpenLDAP и ALD PRO
Компания Индид 13 мая 2024 года объявила о запуске обновленной версии Indeed PAM (Indeed Privileged Access Manager). В числе ключевых изменений продукта: поддержка новых каталогов пользователей: OpenLDAP и ALD PRO, подключение к произвольным ресурсам, нативная поддержка SIEM через CEF и LEEF формат логов, блокировка пользователя в PAM вручную, увеличенная максимальная длина пароля и пр.
В Indeed PAM 2.10 появилась возможность выбрать OpenLDAP и ALD PRO в качестве служб каталогов. Это изменение расширяет возможности по импортозамещению службы каталогов Active Directory компании Microsoft. Теперь Indeed PAM поддерживает следующие каталоги пользователей: Active Directory, FreeIPA, OpenLDAP и ALD PRO.
В обновленной версии продукта добавлен новый вид ресурсов — произвольные ресурсы — то есть такие ресурсы,которые не зарегистрированы в PAM-системе. Добавление дает возможность подключаться к любым ресурсам без необходимости предварительно заносить их в РАМ. Такое обновление облегчит работу пользователям, которые создают виртуальные машины в рамках своей работы. Теперь ИТ-специалисты могут сразу подключаться к ним, не дожидаясь, когда администратор PAM внесет их в список ресурсов.
Также появилась возможность подключить Indeed PAM к SIEM-системе, не используя дополнительные коннекторы или парсеры, что освобождает заказчика от необходимости дополнительных доработок.
2022: Сценарий контроля привилегированных пользователей можно отработать на платформе киберучений Jet CyberCamp
ИТ-компания «Инфосистемы Джет» и компания «Индид» — российский разработчик программных решений в области ИБ, создали совместную программу киберучений на платформе Jet CyberCamp. Теперь ИБ-специалисты могут отработать кейсы с Indeed PAM — решением класса Privileged Access Management, предназначенным для мониторинга и контроля действий привилегированных пользователей. Об этом сообщила компания «Инфосистемы Джет» 27 сентября 2022 года. Подробнее здесь.
2020: Включение в Реестр отечественного ПО
13 апреля 2020 года российская компания «Индид» объявила о включении программного комплекса Indeed Privileged Access Manager в Реестр отечественного ПО (Приказ Минкомсвязи РФ №162 от 07.04.2020). Indeed PAM предназначен для контроля действий администраторов систем и двухфакторной аутентификации привилегированных пользователей перед доступом к важным коммерческим данным. Вендор объявил о выпуске этого программного комплекса в августе 2018 года и постоянно информирует о выходе релизов, в которых расширяет функциональность продукта.
Включение Indeed PAM в Реестр открывает доступ к возможности его внедрения не только в частных компаниях, но и в организациях госсектора, которые должны соблюдать требования регуляторов и законодательства в сфере импортозамещения.
2019: Описание Indeed Privileged Access Manager
(Данные актуальны на март 2019 года)
Политики и разрешения
Политики и разрешения определяют параметры привилегированного доступа:
- кому предоставлен доступ
- к каким учетным записям предоставлен доступ
- к каким ресурсам (серверам и оборудованию) предоставлен доступ
- на какое время (постоянно/временно, в рабочие часы или в любое время)
- какую запись сессий нужно производить (видео и текстовую запись, только текстовую, скриншоты и т.п.)
- какие локальные ресурсы (диски, смарт-карты) будут доступны пользователю в удаленной сессии
- разрешено ли пользователю просматривать пароль привилегированной учетной записи
Централизованные политики сокращают затраты на администрирование системы и делают параметры и права доступа прозрачными для специалистов информационной безопасности и аудиторов.
Хранилище привилегированных учетных данных
Учетные данные, необходимые для доступа (логины, пароли, SSH-ключ) хранятся в хранилище, к которому имеет доступ только сервер Indeed PAM. Хранение и передача данных к/от сервера производится в зашифрованном виде с применением стойких алгоритмов шифрования. Доступ к хранилищу ограничен и возможен только для сервера PAM, для реализации этого подхода применяется специальная процедура по "запечатыванию" сервера — hardening сервера базы данных.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Подсистема записи сессий
Все сеансы привилегированного доступа записываются в обязательном порядке и сохраняются в архиве Indeed PAM. В архиве записи хранятся в зашифрованном виде, получить к ним доступ возможно, только обладая соответствующими полномочиями в рамках системы PAM.
Записи ведутся в следующих форматах:
- Текстовая запись ведется всегда и фиксирует такие данные:
- полный ввод и вывод консоли в SSH-подключениях;
- все запускаемые процессы, открываемые окна и клавиатурный ввод для RDP-подключений.
- Видеозапись производится как для RDP, так и для SSH подключений. Видеозапись не обязательна, ее включение выполняется администратором PAM с помощью механизма политик. Качество видео настраивается и может быть разным для различных учетных записей, например, сеансы администраторов домена могут записываться с максимальным качеством, а сеансы операторов со сжатием.
- Снятие снимков экрана также производится как для RDP, так и для SSH-подключений. Сохранение снимков экрана не обязательно, его включение выполняется администратором PAM с помощью механизма политик. Частота снятия и качество снимков экрана задается в политиках.
Просмотр активных сессий доступен в режиме реального времени с возможностью разрыва сессии администратором PAM.
Журнальный сервер
Журнальный сервер является выделенным сервисом по сбору событий Indeed PAM. Такие события включают в себя всю активность администраторов и пользователей PAM. Журнал фиксирует, кто и какие параметры системы изменял и кто под какими учетными данными выполнял подключение к целевым ресурсам.
Для удобства интеграции в SIEM и своевременного реагирования на инциденты, события могут доставляться по протоколу syslog на сторонний журнальный сервер.
Консоль администратора
Консоль администратора предоставляет интерфейс для настройки, управления и аудита работы системы и выполнена в виде веб-приложения. Используя консоль, администратор предоставляет пользователям доступ к учетным данным, настраивает политики доступа и просматривает журналы событий и записи привилегированных сессий. Также консоль позволяет администраторам PAM просматривать активные привилегированные сессии в реальном времени и, при необходимости, прекращать сеанс работы сотрудника. Доступ в консоль администратора выполняется с помощью двухфакторной аутентификации.
Сервисы самообслуживания
Для получения привилегированного доступа сотрудники используют два инструмента:
- Консоль пользователя, выполненная в виде веб-приложения. В консоли пользователя сотрудники просматривают доступные им учетные записи и ресурсы, а также запускают привилегированные сессии.
- Приложение на сервере доступе. С использованием этого приложения сотрудники получают доступ минуя консоль пользователя. В этом случае сотрудник подключается напрямую к серверу доступа, где ему предлагается выбрать разрешенное подключение.
В обоих случаях доступ сотрудников защищен двухфакторной аутентификацией с помощью OTP (One-Time Password).
Модули доступа
Модули доступа предоставляют механизмы открытия и записи привилегированных сессий.
Сервер доступа
Сервер доступа реализует централизованную модель получения привилегированного доступа. Сотрудник сначала выполняет подключение к серверу доступа, на котором проверяются его права и выполняется аутентификация по второму фактору, после чего сотруднику открывается сессия на целевом ресурсе.
SSH Proxy
SSH Proxy является альтернативным вариантом получения доступа через Indeed PAM в Linux/Unix-системы.
Подсистема управления учетными записями
При использовании систем класса PAM офицерам информационной безопасности важно понимать, что в инфраструктуре компании нет неучтенных привилегированных записей, и доступ к ним контролируется и протоколируется. В рамках Indeed PAM эту задачу решает подсистема управления учетными записями.
Подсистема выполняет следующие функции:
- Периодический поиск новых привилегированных учетных записей на целевых ресурсах. Данная мера позволяет защититься от недобросовестного администратора, который создал себе учетную запись для работы в обход системы PAM.
- Периодическая проверка паролей и SSH-ключей привилегированных учетных записей. Данная функция позволяет убедиться, что в хранилище PAM содержатся актуальные учетные данные и недобросовестный администратор не выполнил сброс пароля учетной записи для использования ее в обход PAM.
- Периодическая смена паролей и SSH-ключей. Indeed PAM генерирует случайные сложные пароли и SSH-ключи для контролируемых привилегированных учетных данных, защищая их от несанкционированного доступа.
- Сброс пароля учетной записи после показа его пользователю. Администратор PAM может разрешить сотрудники просматривать пароль привилегированной учетной записи в тех случаях, когда необходимо явное использование пароля. После того, как сотрудник получит пароль, через заданный промежуток времени Indeed PAM сбросит пароль в новое случайное значение.
Для выполнения указанных функций в состав подсистемы управления учетными записями входят модули подключения (коннекторы) для целевых систем:
- коннектор к Active Directory;
- коннектор к Windows и Windows Server;
- SSH-коннектор для подключения к Linux/Unix-системам на базе различных дистрибутивов.
Основные характеристики Indeed PAM
- Протоколы доступа — RDP, SSH, HTTP(s)
- Поддерживаемые типы учетных данных — Имя пользователя + пароль, SSH-ключи
- Поиск привилегированных учетных записей и управление паролем — Windows, Linux, Active Directory
- Поддерживаемые каталоги пользователей — Active Directory
- Технологии двухфакторной аутентификации — Пароль + TOTP (программный генератор)
- Поддерживаемые типы записи сессий — Текстовый лог, Видеозапись, Снимки экрана
- Технологии удаленного доступа — Microsoft RDS, SSH Proxy
2018
Привилегированные учетные записи несут в себе серьезные риски информационной безопасности: компрометация привилегированного доступа может приводить к крупным финансовым и репутационным потерям компании. Защитить привилегированный доступ сложнее, а последствия его неправомерного использования намного серьезнее, чем в случае рядовых пользователей. Решение проблемы невозможно с использованием общих подходов к защите учетных данных и требует применения специализированных решений.
Сформулировать задачи по защите и контролю привилегированного доступа можно следующим образом:
- Регистрировать попытки использования привилегированных учетных записей в журнале доступа, с указанием какой сотрудник, когда и к какой учетной записи получал доступ
- Вести видео и текстовую запись привилегированных сессий с возможностью просмотра архива сессий
- Обеспечить мультифакторную аутентификацию сотрудников при доступе к привилегированным учетным записям
- Содержать пароль привилегированных учетных записей в секрете от сотрудников, производить регулярную смену паролей
Для решения описанных задач нами был разработан программный комплекс Indeed Privileged Access Manager (Indeed PAM). Комплекс централизованно хранит и управляет привилегированными учетными записями. Indeed Privileged Access Manager обладает следующими характеристиками.
Решаемые задачи
- Сохранение в секрете паролей административных учетных записей
- Видео и текстовая запись сессий
- Обнаружение привилегированных учетных записей для последующего взятия их под контроль
- Двухфакторная аутентификации при получении привилегированного доступа
Поддерживаемые типы учетных записей
- Microsoft Active Directory
- Учетные записи ОС Windows
- Учетные записи ОС Linux (пароли и SSH-ключи)
- Учетные записи для доступа к сетевому оборудованию
Поддерживаемые протоколы доступа
- RDP
- SSH
- Web-приложения
Поиск привилегированных учетных записей
- В состав Indeed PAM входит модуль, который выполняет поиск привилегированных учетных записей, регистрирует их в системе и предлагает взять их под контроль.
Регулярная автоматическая смена паролей привилегированных учетных записей
- Indeed PAM выполняет регулярную смену паролей на случайное значение, исполняя требования как к сложности паролей, так и периодичности их смены.
Архитектурная схема Indeed PAM
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Снежная королева (СК Трейд) | Индид, Indeed (ранее Indeed ID) | 2024.11 | |
- Абсолют Банк | Индид, Indeed (ранее Indeed ID) | 2024.10 | |
- Сколково Фонд | Индид, Indeed (ранее Indeed ID) | 2023.12 | |
- Аптеки 36,6 | Индид, Indeed (ранее Indeed ID) | 2023.12 | |
- Манжерок, горнолыжный комплекс | Индид, Indeed (ранее Indeed ID) | 2023.06 | |
- Росводоканал ГК | Индид, Indeed (ранее Indeed ID) | 2022.10 | |
Проект не афишируется | --- | 2022.08 | --- |
- СТС Медиа (Сеть телевизионных станций) | Индид, Indeed (ранее Indeed ID) | 2020.02 | |
- ОКей Сеть гипермаркетов | Индид, Indeed (ранее Indeed ID) | 2019.12 | |
- ЕПК, Группа компаний (УК ЕПК) | Индид, Indeed (ранее Indeed ID) | 2019.02 |
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (56)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (33)
Другие (854)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
TUV Austria (2)
Солар (ранее Ростелеком-Солар) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 57)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (472, 231)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Konica Minolta (Коника Минолта) (1, 1)
Shenzhen Chainway Information Technology (1, 1)
ГК ОТР (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
IT-Lite (АйТи Лайт) (1, 1)
Другие (2, 2)
Индид, Indeed (ранее Indeed ID) (2, 3)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
Мультифактор (Multifactor) (1, 1)
1IDM (АйТи Солюшнз) (1, 1)
Другие (9, 9)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 274
PayControl - 3
МегаФон Мобильный ID - 2
Shenzhen Chainway C-серия RFID-считывателей - 1
Konica Minolta Dispatcher Suite - 1
ОТР.Опора - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed PAM - Indeed Privileged Access Manager - 2
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Solar webProxy Шлюз веб-безопасности - 1
PayControl - 1
Другие 1
Подрядчики-лидеры по количеству проектов
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
АйТи Бастион (1, 19)
Индид, Indeed (ранее Indeed ID) (1, 10)
Wallix (1, 5)
Солар (ранее Ростелеком-Солар) (3, 2)
Krontech (1, 2)
Другие (18, 3)
Распределение систем по количеству проектов, не включая партнерские решения
АйТи Бастион: СКДПУ НТ Система контроля действий поставщиков ИТ-услуг - 19
Indeed PAM - Indeed Privileged Access Manager - 10
Wallix Admin Bastion (WAB) - 5
Krontech Single Connect - 2
Solar SafeInspect - 2
Другие 3