+7 (495) 925-7794
 
Главная / О компании / Новости / Обзор sPACE PAM

Обзор sPACE PAM

« Назад

Обзор sPACE PAM  04.03.2023 00:00

Отечественный PAM для корпоративного сектора: обзор системы управления привилегированным доступом sPACE
 
Присутствующие сегодня на рынке отечественные PAM-решения, к сожалению, не в полной мере удовлетворяют современным потребностям крупных корпоративных клиентов. Это связано с тем, что нишу продуктов класса Enterprise занимали, главным образом, ведущие мировые игроки, а отечественные производители в этих условиях ориентировались на малый и средний бизнес и на специфику ВПК.
 
Сейчас, в условиях развернутой против России санкционной политики, возникла острая потребность в отечественном решении соответствующего класса. Понимания данную ситуацию, при создании системы управления привилегированным доступом sPACE компания Web Control ориентировалась на потребности корпоративного сектора.
 
Работа с крупными клиентами в качестве Value Added-дистрибьютора дала Web Control возможность в полной мере определить их потребности и ожидания применительно к управлению привилегированным доступом. Однако получившееся в итоге решение может использоваться и под задачи малого и среднего бизнеса благодаря разумной стоимости и простоте использования.
 
Чего хотят заказчики? К базовому функционалу PAM компании традиционно относят следующие возможности:
  • управление учетными данными привилегированных учетных записей, т.е. их назначение, ротация и отзыв;
  • хранение привилегированных учетных данных в защищенном хранилище и контроль доступа к ним;
  • организация и управление сеансами привилегированного доступа;
  • мониторинг и запись сеансов привилегированного доступа.
Используя продукты лидеров мирового рынка, корпорации привыкли к наличию продвинутых опций, таких, например, как контролируемое повышение прав внутри сеанса. Практически все крупные компании заинтересованы в простоте внедрения, широких возможностях самостоятельной интеграции PAM с корпоративными ИТ-системами, а также высокой производительности и возможности географического масштабирования. Общение с заказчиками также выявило новую потребность, вызванную бурным ростом ИТ-инфраструктуры компаний — автоматизацию процесса предоставления доступа для снижения нагрузки на подразделения ИБ и ИТ. Тенденции развития ИТ, законодательные инициативы Минцифры позволяют прогнозировать в ближайшее время рост спроса на управление правами доступа к облачным сервисам и управление секретами приложений, служб и устройств при межмашинном взаимодействии.
 
Все эти текущие и перспективные требования учитывались при создании системе управления привилегированным доступом sPACE. Философией sPACE стало предоставление крупным клиентам привычного максимального комфорта не только при использовании PAM, но и при приобретении и внедрении продукта.
 
Решение sPACE включено в реестр российского программного обеспечения.
Продукт прошел конкурсный отбор и получил средства государственной поддержки (РФРИТ) на дальнейшее развитие в 2022-2023 гг.
 
Возможности sPACE
 
sPACE предназначен для организации контролируемого технологического доступа привилегированных пользователей к ИТ-инфраструктуре компании с контролем полномочий в момент доступа.
 
Традиционные PAM-системы, как и IDM решения, когда они используются как PAM,  предоставляют привилегированному пользователю постоянные повышенные полномочия. Увеличение числа целевых систем в результате развития ИТ-инфраструктуры приводит к тому, что обслуживание постоянных прав становится очень трудоемким процессом. Но самое главное —  компрометация постоянных привилегий становится постоянной угрозой. Основное отличие современной PAM-системы заключается в управлении временными привилегиями, то есть повышенные полномочия предоставляются конкретному пользователю на конкретной системе в определенное время для выполнения . Компрометация временных привилегий наносит гораздо меньший ущерб, При этом проверка полномочий доступа должна производиться в момент установления сеанса управления. Такой подход позволяет значительно снизить риски безопасности ИТ-систем и затруднить проникновение злоумышленников в инфраструктуру заказчика. Такой подход является отличительной особенностью sPACE.
 
Функционал sPACE позволяет решать следующие задачи управления привилегированным доступом компаний:
 
Доступ к целевым системам с использованием изолированной защищенной среды запуска инструментов администрирования, безопасное хранение паролей и управление их жизненным циклом
 
Все инструменты администрирования запускаются в изолированной от пользователя защищенной среде, что практически исключает их компрометацию. sPACE хранит привилегированные учетные записи в защищенном хранилище в зашифрованном виде, и они никогда не покидают периметра системы.
 
Управление их жизненным циклом — ротация паролей, назначение и отзыв доступа — может происходить без участия пользователя, причем ротация происходит автоматически по триггерам (например, по требованию, до/после использования), а назначение и отзыв доступа, точнее говоря выдача разрешения на использование привилегированных учетных записей и его отзыв, оформляются в веб-интерфейсе sPACE.  Важно, что эти процессы могут происходить параллельно путем запуска дополнительных обработчиков.
 
При этом пользователь авторизуется в системе и подтверждает действия с помощью обычной учетной записи, привилегированные учетные данные ему неизвестны, они подставляются при запуске сеанса привилегированного доступа. Это происходит при  запуске соответствующих сценариев — эмуляции пользовательского ввода, реализованного с помощью языка AutoIt, и скриптов PowerShell. 
 
sPACE “умеет” работать с учетными записями из службы каталогов LDAP, в том числе и MS Active Directory, как частный случай LDAP.
 
Автоматическая подстановка данных привилегированных учетных записей в защищенной среде снижает риск их компрометации, а ротация секретов минимизирует ущерб, если компрометация все-таки произошла.
 
Разграничение доступа к целевой инфраструктуре на основании ролевой модели и политик безопасности, принятых в компании
 
Требования регулятора предписывают разделять полномочия лиц, обслуживающих систему, администраторов и пользователей, а также назначать минимально необходимые привилегии.  sPACE автоматически проверяет привилегии и запускает только разрешенные сеансы в соответствии с принципом нулевых постоянных привилегий.
 
Нулевые постоянные привилегии устраняют статичный объект атаки личные привилегии администраторов с помощью подхода just in time, который предполагает повышение полномочий пользователя только на время выполнения работ.
 
Этот функционал реализован посредством настраиваемой ролевой модели и механизма запроса нарядов-допусков.
 
Ролевая модель sPACE предусматривает наличие 7 стандартных ролей в системе и в настраиваемых ролей пользователя. В частности, пользователь с минимальными правами может запускать исключительно сеансы согласованного ему привилегированного доступа; стандартный пользователь также может просматривать объекты администрирования и запрашивать к ним доступ для себя; для ответственного пользователя в дополнение к перечисленному выше доступен функционал запроса допуска для других пользователей и его согласования.  
 
Согласовывать доступ могут не только администраторы PAM-системы, но и ее пользователи, например руководители подразделений или владельцы ИТ-систем. Такая гибкая децентрализованная политика наделения привилегиями позволяет снизить нагрузку на подразделения ИБ и является очень востребованным функционалом для крупных компаний.
 
Для получения доступа к ИТ-ресурсам пользователь должен иметь согласованный наряд-допуск к ресурсу. Наряд-допуск — это разрешение на доступ к конкретному ресурсу для решения конкретной задачи определенному пользователю с заданными привилегиями на конкретный период. В любой момент наряд-допуск может быть отозван. Такой механизм позволяет предоставлять привилегированный доступ исключительно для решения определенной задачи на конкретной целевой системе.  sPACE позволяет гранулировать доступ и предоставлять разные права для решения различных задач в конкретной целевой системе.
 
Форма запроса наряда-допуска
Рисунок 1. Форма запроса наряда-допуска
 
Таким образом, sPACE может точно сказать, кто хочет получить доступ, куда он идет, как он будет взаимодействовать с целевой системой и когда он имеет право это сделать принцип “4 К”.
 
Онлайн-мониторинг привилегированного сеанса с возможностью его временной блокировки или прерывания сеанса, а также возможность разбора и аудита завершенных сессий
 
sPACE ведет фиксацию действий пользователя: регулярно делает снимки экрана в соответствии с настроенным интервалом и в случае любой активности внутри интервала — логи нажатия клавиатуры и кнопок мыши с указанием положения курсора мыши, а также сохраняет метаданные сеансов. Записи сеансов могут просматриваться как после завершения сеанса, так во время сеанса в режиме реального времени. Есть возможность ускоренного просмотра записей. При необходимости аудитор может блокировать и прерывать сеанс привилегированного доступа. Этот функционал доступен пользователям с ролью аудитора.
Просмотр завершенных сеансов помогает в расследовании инцидентов, однако если взять компанию, в которой работают, допустим, 50 привилегированных пользователей, из нашего опыта, каждый из которых запускает за один день по 10 сеансов администрирования средней продолжительностью 2 часа, то получим 1000 часов. 1000 часов — это большой объем видеоданных, службам безопасности сложно найти в них информацию относящуюся к определенному инциденту. Чтобы облегчить поиск системы видео аудита фиксируют поток метаданных, которые позволяют индексировать записи. Как правило, эти метаданные берутся из операционной системы, из данных доступа и устройств ввода.
 
Метаданные позволяют значительно ускорить поиск событий в системе и, соответственно, расследование инцидентов безопасности. 
 
Организация контролируемого удалённого доступа к произвольной ИТ системе и телекоммуникационному оборудованию с использованием протоколов RDP и ICA (Citrix)
 
sPACE позволяет организовать удаленный защищенный доступ практически с любой рабочей станции. Для этого необходим лишь поддерживаемый веб-браузер для доступа к веб-интерфейсу sPACE и rdp/citrix-клиент  для подключения к серверу среды защищенного запуска. 
 
Соединение между сервером защищенной среды привилегированного доступа и целевым объектом администрирования может устанавливаться с помощью практически любых протоколов rdp, telnet, ssh, https и др. Все, что для этого нужно, - наличие на сервере защищенной среды соответствующих инструментов администрирования.  
Архитектура sPACE
 
Архитектура sPACE
Рисунок 2. Архитектура sPACE
 
В базовом варианте для работы с sPACE заказчику достаточно развернуть 2 программных компонента: Ядро sPACE и Сервер защищенной среды привилегированного доступа (ЗСПД). Для высокопроизводительных инсталляций используется множественная установка Серверов ЗСПД, дополнительных ядер и разнесение хранилищ данных.
 
Взаимодействие пользователя с решением происходит на Портале sPACE — программном модуле в составе Ядра sPACE.
 
Коммуникация между компонентами и модулями решения реализована посредством Службы защищенной очереди. Очередь обмена сообщениями может обрабатывать до 1,5 млн событий с минуту. При этом она не требовательна к ресурсам в компактных инсталляциях для маленьких и средних компаний.
 
Для аутентификации и авторизации пользователей и сбора информации об информационных ресурсах sPACE взаимодействует со службами LDAP, в частности MS AD и OpenLDAP. Возможно создание и использование локальных учетных записей.
 
Сервер защищенной среды привилегированного доступа (ЗСПД)
 
Защищенная среда привилегированного доступа — это программный компонент, устанавливаемый на выделенный сервер, на котором запускается сеанс привилегированного доступа.
Он представляет собой MS RDS Server или Citrix c дополнительно установленными компонентами sPACE, отвечающими за запуск (launcher), контроль (watcher) и мониторинг (LM) сеансов, а также за интерфейс с Ядром (LM). Эти компоненты используются для организации сеансов привилегированного доступа и управления ими, различаются используемой платформой (Windows, Linux). Модуль sPACE LM также отвечает за взаимодействие с Ядром sPACE.
 
Кроме того, на сервере присутствуют агенты паролей для Linux и Windows, которые отвечают за ротацию секретов и исполнение скриптов управления привилегиями на целевых системах.
 
Ядро sPACE
 
Ядро sPACE - основной программный компонент Системы, который реализует функции управления компонентами, хранения и управления учетных данных, взаимодействия со службами каталогов. Ядро состоит из портала, RestAPI, собственно ядра.
 
В базовом варианты на тот же сервер устанавливаются служба защищенной очереди, хранилище видеозаписей и база данных PostgreSQL. Служба защищенной очереди обеспечивает взаимодействие между всеми элементами, маршрутизирует запросы к серверам среды защищенного запуска, распределяет потоки данных. PostgreSQL содержит все настройки системы, привилегированные учетные данные и записи журналов. Хранилище видеозаписей сохраняет данные видеоаудита.
 
Для масштабирования, повышения производительности и доступности база данных, хранилище видеозаписей и служба защищенной очереди могут быть развернуты на дополнительных серверах и продублированы. 
 
В базовую поставку включена свободная версия Postgresql, однако заказчик может использовать приобретаемую отдельно коммерческую версию Postgres Pro.
Поддерживается инсталляция в среде виртуализации VMware VSphere, Microsoft Hyper-V, Citrix XenServer, KVM, bhyve и любых других, поддерживающих в качестве гостевой системы Linux.
Портал sPACE — это модуль в составе Ядра. Портал является единой точкой входа для пользователей, администраторов и аудиторов для выполнения всех операций: запрос сеансов удаленного доступа, запрос нарядов-допусков, согласования нарядов-допусков, формирование отчетности, настройки системы и т.д. На Портале происходит выбор объекта администрирования, выбор инструмента подключения к этому ресурсу и выбор привилегированной учетной записи, от имени которой осуществлять это подключение.
Отображение тех или иных элементов интерфейса и возможности зависят от роли пользователя в sPACE.
 
Системные требования
 
В таблицах 1 и 2 приведены системные требования «sPACE» из расчета на 50 пользователей системы. Расчет необходимых ресурсов для инсталляции на большее количество пользователей проводится отдельно.
 
Требования к аппаратному обеспечению серверов
Таблица 1. Требования к аппаратному обеспечению серверов
 
Требования к программному обеспечению серверов
Таблица 2. Требования к программному обеспечению серверов
 
Лицензирование sPACE
 
Стоимость решения складывается из числа развертываемых ядер sPACE и количества одновременных сессий. 
 
Вариант поставки с одним ядром выбирают небольшие компании, для которых не критична возможная кратковременная недоступность ИТ-инфраструктуры и/или нет потребности в одновременном выполнении большого количества привилегированных задач. 
Поставка с двумя ядрами sPACE подходит для компаний среднего и крупного бизнеса, поскольку обеспечивает высокую доступность.  
 
Для крупных корпораций предлагается индивидуальный расчет количества ядер sPACE в зависимости от архитектуры, количества площадок и потребностей заказчика. 
 
Продажа лицензий на одновременные активные сессии осуществляется пакетами по 25 штук, количество пакетов рассчитывается для каждого заказчика индивидуально.
 
Для работы Сервера защищенной среды привилегированного доступа необходима лицензия Microsoft Windows Remote Desktop Services или Citrix Virtual Apps, она не входят в комплект поставки. Лицензия Web Control на него не требуется. В дорожной карте компании на ближайшее время — запуск инструментов администрирования под Linux, что полностью исключит необходимость в иностранных продуктах.
 
Варианты использования
 
sPACE будет полезен компаниям для решения следующих бизнес-задач.
  • Контролируемый доступ в ИТ-инфраструктуре для администраторов, внешних подрядчиков и бизнес-пользователей.
  • Удаленный контролируемый доступ к ИТ-инфраструктуре компании.
  • Обеспечение быстрого контроля над ИТ-инфраструктурой, возможность в кратчайшие сроки ограничить доступ в случае сделок слияний и поглощений.
  • Обеспечение контролируемого доступа к критически важным объектам ИТ-инфраструктуры
  • Организация единой точки входа для всех пользователей ИТ-инфраструктуры.
  • Аудит сессий и расследование инцидентов, связанных с действиями привилегированных пользователей.
  • Выполнение требований регуляторов в части персонификации доступа, в том числе в случае использования разделяемых привилегированных учетных записей; работы с привилегированными учетными данными; контроля действий пользователей; назначения минимально необходимых прав и привилегий; реализации защищенного удаленного доступа; просмотра информации о действиях отдельных пользователей; организации, контроля предоставления (отзыва) и блокирования логического доступа.
  • Управление жизненным циклом привилегированных учетных данных.
sPACE позволяет обеспечить соблюдение политик компании в отношении привилегированного доступа: персонифицировать привилегированный доступ, гранулировать привилегированный доступ до уровня задач, отказаться от использования одинаковых простых паролей для доступа к элементам ИТ-инфраструктуры.
 
Помимо этого, решение sPACE позволяет отказаться от сложных настроек сетевых правил для прямого подключения рабочих станций пользователей к защищаемым объектам инфраструктуры.
 
Программное решение sPACE подходит для крупных и средних компаний, в которых бизнес-процессы зависят от ИТ-инфраструктуры, и потому они остро нуждаются в обеспечении целостности и сохранности расположенных там данных. «sPACE» будет полезен не только для тех организаций, которые используют собственную ИТ-инфраструктуру, но и для тех, кто использует облачные сервисы.
 
Основные преимущества продукта
 
Технологическим преимуществом sPACE является механизм назначения привилегий на основании нарядов-допусков и предоставления доступа к объектам администрирования с помощью сценариев запуска инструментов. Это позволяет гранулировать доступ пользователей до уровня решения конкретной задачи на конкретной целевой системе в ограниченное время.
 
Система sPACE проста в работе, имеет удобный интерфейс и ориентирована на работу не только с ИТ-специалистами, но и бизнес-пользователями, которым необходим доступ к системам, содержащим конфиденциальную информацию.
 
Система разработана с использованием современных подходов к облику ИТ-систем, что отличает её от большинства конкурентов, которые присутствуют на рынке более 10-15 лет. В ней реализован механизм делегирования функций управления доступом на уровень подразделений, что критически важно в крупных организациях.
 
Масштабируемость обеспечивается пластичной структурой, кластерной архитектурой и гибким механизмом подключения к ИТ-инфраструктуре.
 
Основные преимущества системы:
  • простая интеграция (не требует существенных изменений в существующей инфраструктуре);
  • децентрализованный механизм наделения привилегиями;
  • удобство и простота эксплуатации;
  • API для интеграции с другими инструментами ИБ;
  • распределенная архитектура (масштабирование, автоматическая балансировка нагрузки и устойчивость к отказам);
  • разумная стоимость эксплуатации и масштабирования.
Таким образом, система sPACE является удобным инструментом для организации привилегированного доступа и имеет оптимальное соотношение цены и функциональных возможностей. Она имеет понятный интерфейс и подходит для эксплуатации в любых компаниях. 

поддержано-РФРИТ