Статті

FUDO PAM – эффективный контроль привилегированных пользователей

Необходимость контроля привилегированных пользователей (более привычно – администраторов) подразумевает внедрение специализированных систем и решений наряду с внедрением комплекса организационных мер.

Существуют различные продукты, призванные решать подобные задачи, начиная от простых логгеров экрана, и, заканчивая, – мощными SIEM решениями. К сожалению, все такие популярные решения имеют целый ряд ограничений и функциональных особенностей, завязанных на той или иной идеологии применения и использования. Например, логгеры экранов будут работать только в определенных операционных системах, а инциденты, связанные с действиями администраторов попадающие в SIEM системы зачастую крайне неинформативны, и к тому же требуют заранее настроенных триггеров на события (и события, выпадающие из такого пула правил, попросту «теряются»).

Вообще, сама необходимость использования каких-либо сервисов или продуктов, которые защищали бы от ошибок привилегированных пользователей возникла не вчера, и в мире есть масса случаев, когда отсутствие такого контроля приводило к довольно печальным последствиям. Так, например, в 2008 году в США в компании Medco один из администраторов заложил в программный код базы данных клиентов вирус, который, к счастью, не сработал. Тем не менее, после выявления данного факта, администратора приговорили к 2,5 годам тюрьмы. В наших широтах, подобные инциденты редко заканчиваются реальными наказаниями, что в свою очередь, еще больше делает востребованными решения для контроля привилегированных пользователей (далее, администраторов).

f1

Однако, не всегда применение средств контроля администраторов связано исключительно с опасением выполнения зловредных действий. Очень часто, существуют намного более банальные причины необходимости такого контроля:

  • ошибки в работе специалистов, например, служб удаленной поддержки или внешних сотрудников (подрядчиков), а так же – контроль сроков выполнения поставленных задач или контрактов (SLA);
  • ситуации, когда нельзя допускать ошибки, так как они могут привести к крайне негативным последствиям, например, система должна уметь блокировать ввод нежелательной команды;
  • совместное использование обезличенных учетных записей группой администраторов, что делает невозможность объективного расследования ошибочных действий (сложно понять, кто именно из этой группы администраторов сделал то или иное действие).

Исходя из выше написанного, неудивительно, что рынок информационной безопасности стал требовать отдельного решения, которое было бы одновременно многофункциональным как с точки зрения контроля администраторов, так и с точки зрения работы с теми системами, к которым эти администраторы имеют полный доступ. Таким образом, в последнее время массово возникла потребность в решениях класса PAM (Privileged Access Management), то есть, – полноценных решениях ориентированных в первую и единственную очередь на контроль привилегированных пользователей. Независимо от производителя РАМ-решения, требования к таким продуктам универсальны и обычно сводятся к следующим пунктам:

  • Полноценный контроль администраторов различных операционных и целевых систем, независимо от производителя такой системы, битности (разрядности), версии и других характеристик.
  • Видеозапись всех производимых действий администраторами и сохранение истории вводимых команд, ответов приложений на вводимые команды, в том числе – с возможностью последующего поиска по различным критериям.
  • Возможность работы с целевыми системами по принципу «4-х глаз», когда ответственный сотрудник (как правило, – из отдела информационной безопасности) может в режиме реального времени не только наблюдать за действиями администраторов, но и подтверждать те или иные его действия (например, вход/логин на ключевой сервис или СУБД).
  • Различные варианты аутентификации администраторов как на РАМ-ресурсе, так и на целевых системах. Обычно политики информационной безопасности подразумевают скрытие реальных логинов и паролей к критически важным ключевым сервисам, и решения РАМ должны не только уметь их «подменять» (а зачастую – и менять по заданным парольным политикам), но и хранить такие реквизиты в виде недоступном для кражи.
  • Интеграция с ключевыми сервисами компании, такими как каталоги пользователей (AD/LDAP), системы сбора логов, системы учета активности пользователей и тому подобное.
  • Удобный и интуитивно понятный интерфейс как для администраторов РАМ-продукта, так и привилегированных пользователей (а лучше – возможность работы привилегированных пользователей «напрямую» с целевыми системами привычными средствами, без необходимости использования дополнительного стороннего инструментария).
f2

Всем вышеперечисленным критериям соответствует решение FUDO PAM от польского производителя продуктов информационной безопасности – компании Fudo Security. Сама компания известна на рынке США и Европы под торговой маркой Wheel Systems, которая произвела ребрендинг в 2018 году, по сути, просто разделив свой портфель решений (передав свою продуктовую линейку в другие или ново созданные компании), что дало возможность основной команде разработчиков продукта PAM (Privileged Access Management) сконцентрироваться на качественной доработке и развитию данного решения.

FUDO PAM в какой-то мере уникальное решение, которое является самодостаточной платформой, что выгодно его отличает от конкурентов. Если другие решения РАМ обычно требует подготовки инфраструктуры, такой как установка операционные системы и специальных ролей, базы данных, то FUDO PAM уже поставляется в полностью «собранном» виде – остаётся только произвести первоначальную инициализацию (указать IP адреса, шлюзы, DNS-сервера) и платформа готова к работе! Вся процедура имплементации занимает не более получаса, а дальнейшее администрирование платформы FUDO PAM осуществляется через веб-браузер.

f3_01

Сам процесс подключения целевых систем и контролируемых администраторов к системе РАМ подразумевает пять базовых действий: 

  1. Добавление в FUDO PAM привилегированных пользователей (администраторов), контроль которых надо осуществлять. При чем, это может быть как ручной режим добавления, так и выгрузка из каталогов пользователей (AD/LDAP). Что важно, сама авторизация администраторов в системе РАМ может происходить разными способами: через внешний аутентификатор (AD, LDAP или RADIUS сервер), путем статичного пароля, SSH ключа или одновременно несколькими способами.
  2. Добавление в FUDO PAM целевых систем, к которым будут иметь доступ привилегированные пользователи (из пункта 1). При чем, под целевыми системами подразумевается не только сервера, а и оборудование, приложения или веб-сервисы. Такой широкий диапазон целевых систем обусловлен тем, что FUDO PAM работает как шлюз на уровне протоколов передачи данных, без непосредственной установки агентов/драйверов на самих целевых системах. Сам перечень поддерживаемых протоколов обширен и самодостаточен: это графические протоколы (RDP, VNC), текстовые (Telnet, SSH, X11), веб (HTTP, HTTPS), протоколы баз данных (Oracle, MySQL, MS SQL) и другие, в том числе – специализированные (Modbus, ICA, Citrix StoreFront, TCP).
  3. Создание способа использования и хранения реквизитов подключения к целевым системам (логина и пароля).Дело в том, что все данные в системе FUDO PAM хранятся в зашифрованном виде (во внутренней базе с алгоритмом защиты AES-256), и зачастую это является наиболее надежным способом хранения логина и пароля, нежели предоставление этих учетных данных привилегированному пользователю. Другими словами, FUDO PAM может надежно хранить реальные логины и пароли в своем хранилище, используя эти данные для подключения к целевым системам (см. п.2), а привилегированные пользователи (см. п.1) будут подключаться совсем с другими учетными записями. Тем не менее, в случае производственной необходимости, систему FUDO PAM можно настроить и на «проброс» реальных реквизитов в целевые системы либо подменять только часть реквизитов (например, только пароль).
f4
  1. Определить способ подключения администраторов к целевым системам. Здесь диапазон возможностей не менее широк: в системе есть такие интересные особенности как возможность сопоставления портов между ПК администратора и целевой системой, возможность жестко «привязать» конкретную целевую систему к одному конкретному порту, возможность указать IP адрес, который будет доступен тому или иному администратору (или группе администраторов) для подключения и тому подобное. Так же, есть возможность (в случае установки системы «в разрыв») сделать полностью прозрачный для привилегированных пользователей контроль (запись) действий (администраторы даже не будут знать, что их действия каким-либо образом записываются и контролируются).
  2. Определить глобальные настройки взаимодействия привилегированных пользователей с целевыми системами. Решение FUDO PAM дополнительно позволяет реализовать множество полезных опций, таких как: максимальное разрешение экрана пользователя при подключении к целевой системе; время когда разрешено само подключение; процесс уведомления ответственных сотрудников о факте подключения администратора к целевой системе; парольная политика (например, блокировка учетной записи администратора при вводе запретной команды); ограничения передачи буфера обмена или файлов, время хранения записанных сессий и множество других параметров.

Стоит отметить, что все настройки осуществляются посредством единой консоли с интуитивно понятным интерфейсом, который поддерживает в том числе русскую локализацию (и в ближайшее время появится – украинская). Управление системой может осуществляться несколькими ответственными сотрудниками (например, офицерами безопасности) на основании заранее заданной ролевой модели.

f5_01

РАМ платформа позволяет выгрузить записанные данные (видео или текстовый журнал действий и вводимых команд) во внешний источник (например, на внешнюю SIEM систему) или файл. При необходимости, записанные видеоролики можно заверить ключом доверенного центра сертификации, что позволит их использовать в судебных тяжбах.

Еще одна интересная особенность – наличие специализированного веб-портала для самих привилегированных пользователей, который предоставляет администраторам исключительный перечень целевых систем, которые уже добавлены в РАМ-систему, и, соответственно, к которым привилегированные пользователи могут подключится прямо с этого веб-портала (просто щелкнув по нужной иконке кнопкой мыши). Сама работа пользователей так же постоянно отслеживается.

Что безусловно радует, так это подход компании Fudo Security к эволюции продукта. На сегодня РАМ решение от польского производителя — это уже самодостаточное решение уровня Enterprise (о чем говорит, как минимум, факт попадания в знаменитый Gartner Quadrant). С каждой новой версией производитель добавляет полезные опции: интеграция с ticket системами, возможность добавления логотипов компании в окно инициализации, поддержка нескольких каталогов пользователей, улучшенная работа отказоустойчивых конфигураций, работа с удаленными приложениями (RemoteApp) и множество других вещей.

Безусловно, как и любая система, решение от Fudo Security имеет ряд особенностей, которые могут оказать влияние на выбор потенциального Заказчика. Однако, учитывая крайне демократичную ценовую политику производителя и гибкую систему скидок наряду с очень качественным уровнем поддержки, неудивительно, что FUDO PAM набирает все большую популярность не только на Западе, но на украинском рынке.

Официальный дистрибьютор Fudo Security в Украине – компания Oberig IT.

Комментарии: