Обзор Indeed PAM для контроля доступа привилегированных пользователей


Обзор Indeed PAM для контроля доступа привилегированных пользователей

Indeed Privileged Access Manager (Indeed PAM 2.0), разработка компании «Индид» — российский продукт для контроля доступа привилегированных пользователей. Он предназначен для снижения вероятности внешних и внутренних рисков, связанных с неправомерным использованием привилегированных учетных записей, а также для выявления причин сбоев в работе в корпоративной ИТ-инфраструктуре, вызванных ошибками администрирования, и ее быстрого дальнейшего восстановления.

Сертификат AM Test Lab

Номер сертификата: 273

Дата выдачи: 03.12.2019

Срок действия: 03.12.2024

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Архитектура Indeed PAM и функциональные возможности
  3. Установка и настройка Indeed PAM
  4. Работа с Indeed PAM
    1. 4.1. Настройка списка пользователей
    2. 4.2. Формирование перечня ресурсов
    3. 4.3. Составление списка учетных записей
    4. 4.4. Внесение в систему Indeed РАМ данных о доменах
    5. 4.5. Настройка разрешений на доступ пользователей
    6. 4.6. Настройка политик учетных записей и подключений
    7. 4.7. Просмотр сессий
    8. 4.8. Просмотр событий системы Indeed РАМ
    9. 4.9. Конфигурация системы Indeed PAM
  5. Лицензирование
  6. Выводы

 

Введение

Привилегированные пользователи ИТ-системы — это сотрудники компании, которые используют учётные записи с повышенными привилегиями. Это могут быть повышенные права на конкретном сервере, в информационной системе или сервисе. В эту группу входят системные администраторы, сетевые инженеры, руководящий состав ИТ-служб и сотрудники аутсорсинг-компаний, выполняющие работы по обслуживанию информационных систем. Они обладают широкими полномочиями на доступ к серверам, службам и сетевым устройствам, а также к конфиденциальной информации. Работники организации-подрядчика не мотивированы сохранять конфиденциальность секретной информации компании-клиента  и могут наживаться на ее продаже. Системные администраторы и специалисты компании с высоким уровнем доступа также могут  превышать свои полномочия и организовывать утечку информации.

Кроме того, особыми привилегиями обладают и локальные системные учетные записи. Как правило, они не подпадают под действия общих политик безопасности, пароли к ним не меняются, и их использование фактически не контролируется. Это может стать причиной взлома информационной системы и утечки данных.

Для того, чтобы снижать риски неправомерного использования привилегированных учетных записей, существует специальный класс программ. В индустрии используется целый ряд синонимичных терминов для их обозначения: Privileged Access Management (PAM), Privileged User Management (PUM) и другие. Эта тема также более подробно рассматривалась в нашем сравнении систем этого класса.

В круг задач, решаемых системами Privileged Access Management, входит не только управление доступом привилегированных пользователей, но также контроль их использования и перехват инициативы у злоумышленников в случае активной атаки. Наличие такой системы безопасности в организации может быть требованием регулирующих органов.

Еще одна важная проблема, для решения которой требуется контроль за привилегированными пользователями, — это халатность сотрудников. Известны случаи выхода из строя ИТ-инфраструктуры или серьезных сбоев в ее работе, влекущих большие потери для бизнеса, которые происходят из-за ошибок со стороны ИТ-персонала. Восстановить поврежденную инфраструктуру бывает трудно, поскольку сложно определить действия, приведшие к сбою. Системы класса PAM позволяют быстро узнать, какой специалист работал с вышедшей из строя системой или группой систем, провести ретроспективный анализ его действий и быстро перейти к планированию операций для исправления сложившейся ситуации.

Таким образом, современные PAM-системы должны обладать следующими функциями:

  • Управление паролями и доступом к общим учетным записям.
  • Создание надежного хранилища для привилегированных учетных записей.
  • Доступ к привилегированным учетным записям только после надежной аутентификации в системе РАМ.
  • Автоматическая смена пароля по расписанию, чтобы вновь обезопасить привилегированную учетную запись.
  • Отслеживание действий администраторов и пользователей, работающих с привилегированными учетными записями.

Российская компания «Индид», имеющая многолетний опыт в разработке ПО для управления учетными данными и доступом пользователей к информационным ресурсам организаций, недавно выпустила новую версию продукта Indeed PAM, о котором и пойдет речь в данном обзоре.

 

Архитектура Indeed PAM и функциональные возможности

Indeed PAM – молодой отечественный программный продукт, который с первых версий обладает хорошим набором функций и решает следующие задачи:

Управление защищаемыми ресурсами и паролями администраторов систем:

  • Организует хранилище для паролей привилегированных учетных записей администраторов для RDP/SSH-доступа к машинам под управлением Windows или Linux, доступа к СУБД, а также к клиентским и веб-приложениям.
  • Автоматически отслеживает появление новых учетных записей с повышенными привилегиями в инфраструктуре.
  • Сохраняет в секрете и автоматически обновляет пароли в специальном хранилище.
  • Дает возможность устанавливать ограничения по датам и времени на доступ к защищаемым ресурсам.

Запись сессий привилегированных пользователей:

  • В зависимости от протокола (поддерживаются RDP, SSH, сессии клиентских приложений и Web-сессии) возможности записи несколько отличаются, однако в общем случае доступны видеозаписи происходящего, текстовые журналы и снимки экрана.

Двухфакторная аутентификация привилегированных пользователей:

  • Добавляет двухфакторную аутентификацию для пользователей системы РАМ (с использованием ТОТР) для входа администратора в консоль управления, а также для входа в личный кабинет и открытия сессий.

Indeed PAM имеет модульную структуру, как и другие аналогичные системы.

 

Рисунок 1. Модульная структура Indeed PAM

Модульная структура Indeed PAM

 

Таблица 1. Основные компоненты системы Indeed PAM

Название компонента

Задачи

Indeed PAM Server

Центральный компонент, отвечающий за логику работы программного комплекса. Indeed PAM Server взаимодействует с модулями:

1) Политики доступа — механизм для централизованного распространения настроек на объекты системы.

2) Архив сессий — защищенное хранилище для долгосрочного хранения записей видео и снимков экрана.

3) Архив теневых копий — защищенное хранилище для долгосрочного хранения передаваемых в сессиях файлов.

4) Реестр привилегированных учётных записей — специализированное хранилище данных для шифрованного хранения учётных записей. 

 

Консоль администратора

Веб-приложение для управления Indeed PAM. Реализует графический интерфейс управления системой.

Консоль пользователя

Веб-приложение для предоставления доступа к ресурсам.

Сервер доступа

Компонент для предоставления доступа к конечным ресурсам и записи сессий.

 

Indeed PAM SSH Proxy

Компонент, который отвечает за запуск и отслеживание SSH-сессий. Является независимым от сервера доступа.

Коннекторы к целевым системам

Коннекторы к ресурсам:

  • Microsoft Active Directory
  • Microsoft Windows
  • Серверам на базе Linux/Unix
  • СУБД (MS SQL Server, PostgreSQL, MySQL, Oracle Database)

Для них поддерживается проверка соединения, синхронизация учетных записей, проверка пароля и SSH-ключа учетной записи, сброс пароля или SSH-ключа.

Сервер событий

Компонент для сбора, хранения и выдачи событий Indeed PAM по запросу. Сюда попадают все события системы, которые могут быть экспортированы для передачи в сторонние мониторинговые системы.

 

Установка и настройка Indeed PAM

Перед установкой продукта необходимо провести подготовительные работы. Подробная инструкция по подготовке, настройке и работе с Indeed PAM доступна на сайте производителя в онлайн-режиме.

Установка компонентов и настройка системы выполняется в любой последовательности. Все компоненты входят в состав дистрибутива. Требуется просто следовать шагам мастера установки.

 

Работа с Indeed PAM

Для продуктов, обеспечивающих безопасность ИТ-инфраструктуры, работа с продуктом семейства Privileged Access Management должна рассматриваться не только со стороны администраторов системы, но и со стороны пользователей.

Indeed PAM имеет простой и понятный интерфейс. Каждый системный администратор или другой привилегированный пользователь, который имел даже незначительный опыт работы в доменной инфраструктуре, может получить доступ к консоли пользователя и разобраться в ее функциях.

Indeed PAM использует протоколы RDP, SSH, HTTP(s) или протоколы, которые реализованы в клиентских приложениях. В Indeed PAM используется сервер доступа, который работает на базе Microsoft Remote Desktop Services (RDS). Конечные пользователи открывают RDP-сессию до RDS, а уже на нем открывается ещё одна RDP-сессия для подключения к ресурсам на Windows или SSH-сессия для ресурсов на Linux через утилиту Putty, либо запускается опубликованное приложение, которое позволяет открыть сессию по протоколу, для которого предназначена (например, браузер для HTTP(S)-сессий или SQL Management Studio — для контроля работы с БД).

Для SSH-сессий предусмотрен  отдельный компонент — Indeed PAM SSH Proxy, который открывает SSH-сессии без использования RDS. В этом случае пользователи могут работать через любой SSH-клиент на своем рабочем месте, а компания может существенно сэкономить на лицензиях RDS.

При использовании стандартного подключения через RDS пользователю необходимо получить RDP-файл доступа из своего личного кабинета. RDP-файл содержит все необходимые данные для подключения к защищаемому ресурсу.

 

Таблица 2. Сравнение последовательности действий пользователя: в случае обычного подключения к защищаемым ресурсам и в случае работы с использованием Indeed PAM

 Прямое подключение Подключение с использованием PAM
(RDP- или SSH-сессия)
1Установить связь с ресурсомВойти в личный кабинет в системе РАМ, используя двухфакторную аутентификацию.
2Ввести логин и пароль доступа и войти в системуВ личном кабинете выбрать нужный ресурс и скачать RDP-файл доступа к нему.
3 Запустить RDP-файл и ввести данные своей доменной учетной записи и второй фактор аутентификации — одноразовый пароль (TOTP — Time-based One-time Password), после чего соединение будет автоматически установлено.

 

 

Рисунок 2. Внешний вид веб-консоли пользователя Indeed PAM

Внешний вид веб-консоли пользователя Indeed PAM

 

Для подключения к любому ресурсу нужно нажать на ссылку «Подключиться» для загрузки .rdp-файла.

 

Рисунок 3. Ввод пароля своей доменной учетной записи при запуске .rdp-файла в Indeed PAM

Ввод пароля своей доменной учетной записи при запуске .rdp-файла в Indeed PAM

 

Рисунок 4. Окно ввода одноразового пароля — второго фактора аутентификации

Окно ввода одноразового пароля — второго фактора аутентификации

 

Рисунок 5. Установлено подключение к защищаемому ресурсу по протоколу RDP

Установлено подключение к защищаемому ресурсу по протоколу RDP

 

Очевидно, что основным отличием является добавление двухфакторной аутентификации, а все прочие шаги по своему смыслу тождественны обычному подключению к защищаемому серверу. Стоит отметить, что вход в личный кабинет необходим только для скачивания .rdp-файла. Сам файл можно использовать неограниченное количество раз без повторного входа в личный кабинет.

В Indeed PAM 2.0 сделан еще один шаг навстречу удобству пользователя — аналогичным образом можно подключиться не к целевому ресурсу, а к шлюзу доступа. В нем выбирается нужный ресурс из списка для открытия сессии администрирования.  Это позволяет использовать только один .rdp-файл для доступа.

 

Рисунок 6. Выбор ресурса для подключения на шлюзе доступа Indeed PAM

Выбор ресурса для подключения на шлюзе доступа Indeed PAM

 

С помощью Indeed РАМ можно подключиться по SSH к машине под управлением Linux. Для таких сессий также доступны видеотрансляции, видеозаписи, снимки экрана и текстовые журналы.

При подключении к веб-приложению необходимо аналогичным образом запустить RDP-файл и пройти процедуру аутентификации. После этого браузер запускается в роли удаленного приложения с необходимыми параметрами. Далее происходит переход на страницу с формой входа; агент Indeed SSO перехватывает ее и подставляет в нее логин и пароль для входа в веб-приложения. Аналогичным образом работают сессии клиентских приложений, например, SQL Management Studio.

 

Рисунок 7. Подключение к веб-приложению

Подключение к веб-приложению

 

Рассмотрим, как выглядит рабочий интерфейс администратора системы Indeed PAM.

Настройка списка пользователей

Indeed PAM получает список пользователей из Active Directory. Администратор Indeed PAM дает разрешение на использование привилегированной учетной записи пользователю из этого списка.

 

Рисунок 8. Тестовый пользователь в системе PAM. Данные о сотруднике из Active Directory

Тестовый пользователь в системе PAM. Данные о сотруднике из Active Directory

 

В карточке пользователя можно посмотреть:

  • списки разрешений конкретного пользователя,
  • списки активных и завершенных сессий,
  • наличие второго фактора аутентификации,
  • журнал событий этого пользователя.

 

Рисунок 9. Сессии выбранного пользователя в Indeed PAM

Сессии выбранного пользователя в Indeed PAM

 

Рисунок 10. Статус настройки второго фактора аутентификации в Indeed PAM

 Статус настройки второго фактора аутентификации в Indeed PAM

 

Рисунок 11. Список событий в привязке к конкретному пользователю

Список событий в привязке к конкретному пользователю

Формирование перечня ресурсов

Перечень содержит список ресурсов, доступ к которым требует повышенных привилегий. Это могут быть рабочие станции, серверы на базе Windows или Linux, специализированное оборудование.

 

Рисунок 12. Список ресурсов, добавленных в Indeed PAM

Список ресурсов, добавленных в Indeed PAM

 

Рисунок 13. Добавление нового ресурса в систему Indeed PAM. Указание имени ресурса

Добавление нового ресурса в систему Indeed PAM. Указание имени ресурса

 

Для добавления ресурса требуется указать его имя. При необходимости можно добавить еще и подробное описание.

 

Рисунок 14. Добавление нового ресурса в систему Indeed PAM. Указание типа подключения

Добавление нового ресурса в систему Indeed PAM. Указание типа подключения

 

Далее нужно указать тип подключения. Windows-системы используют подключение по RDP, Linux — по SSH. После выбора типа подключения требуется выбрать политику учетных записей, которая будет распространять настройки на все учетные записи, внесенные с добавляемого ресурса. Для одного объекта может быть назначена только одна политика одного типа.

 

Рисунок 15. Назначение политики в Indeed PAM для вновь добавляемого ресурса

Назначение политики в Indeed PAM для вновь добавляемого ресурса

 

Рисунок 16. Синхронизация привилегированных учетных записей (поиск учетных записей и добавление их в PAM) и данных о ресурсе

Синхронизация привилегированных учетных записей (поиск учетных записей и добавление их в PAM) и данных о ресурсе

 

Аналогичным образом происходит процесс добавления ресурсов под управлением Linux.

 

Составление списка учетных записей

В данном разделе отображаются все добавленные в базу PAM учетные записи с конечных администрируемых систем.

 

Рисунок 17. Добавленные в базу PAM учетные записи

Добавленные в базу PAM учетные записи

 

Для учетных записей, имеющихся в системе, можно выполнить следующие действия: проверку правильности пароля, смену пароля, откат пароля до состояния на определенную дату, получение групп безопасности, в которых состоит учётная запись.

 

Рисунок 18. Процесс смены пароля учетной записи из интерфейса управления учетными записями в Indeed PAM

Процесс смены пароля учетной записи из интерфейса управления учетными записями в Indeed PAM

 

На рисунке 18 видно, что пароль можно задавать вручную или сгенерировать автоматически.

 

Рисунок 19. Процесс возвращения пароля на указанную дату в Indeed PAM

Процесс возвращения пароля на указанную дату в Indeed PAM

 

Помимо действий с паролями можно совершать действия над учетными записями. Можно удалять, блокировать, игнорировать их, получать список групп безопасности, в которых они состоят. «Игнорируемые» учетные записи будут присутствовать в системе, но никакие другие действия с ними производиться не будут. Это необходимо для того, чтобы исключить из системы PAM учетные записи, которые не требуется контролировать.

Внесение в систему Indeed РАМ данных о доменах

Добавление доменов в Indeed PAM позволяет синхронизировать привилегированные учетные записи с доменом. Для этого используется группа безопасности, в которую добавляются привилегированные учетные записи. Синхронизация дает возможность получить учетные записи из этой группы, чтобы отслеживать изменения в ней при повторной синхронизации.

 

Рисунок 20. Добавление нового домена в Indeed PAM

Добавление нового домена в Indeed PAM

 

В процессе добавления нового домена к нему также будет применена политика управления учетными записями.

Настройка разрешений на доступ пользователей

В разделе с разрешениями настраивают правила доступа пользователей к ресурсам.

 

Рисунок 21. Настройка разрешений для конкретного пользователя в Indeed PAM

Настройка разрешений для конкретного пользователя в Indeed PAM

 

На рисунке 21 видно, что пользователю Victor Osipov разрешен вход на машину ADFS1 под учетной записью Administrator. Можно настроить множество персональных разрешений, которые отобразятся в этом списке.

Стоит отдельно отметить, что Indeed PAM умеет предоставлять доступ к ресурсам и от имени самого пользователя. Например, Victor может получить разрешение на доступ к ADFS1 от имени своей учетной записи. Для этого требуется выбрать опцию «Продолжить с пользовательской УЗ» во время создания разрешения, как показано на рисунке 22.

 

Рисунок 22. Выбор учетной записи при создании разрешения в Indeed PAM

Выбор учетной записи при создании разрешения в Indeed PAM

 

Если требуется быстро просмотреть права для конкретного пользователя, то нужно воспользоваться полем поиска, чтобы его быстро найти.

 

Рисунок 23. Настройка срока действия разрешения по дате и времени в Indeed PAM

Настройка срока действия разрешения по дате и времени в Indeed PAM

 

Рисунок 24. Настройка графика доступа разрешения в Indeed PAM

Настройка графика доступа разрешения в Indeed PAM

 

На рисунке 23 видно, что система позволяет настроить длительность действия разрешения, а на рисунке 24 — период времени, в который можно воспользоваться этим разрешением и открыть сессию.

В Indeed PAM можно просматривать учетные данные (логин и пароль) привилегированной учетной записи. Если нужно предоставить эти данные конечному пользователю, то при создании разрешения доступна опция «Разрешить просмотр учетных данных пользователем».

 

Рисунок 25. Включение опции для просмотра учетных данных в Indeed PAM

Включение опции для просмотра учетных данных в Indeed PAM

 

После включения опции пользователю будет доступен просмотр его учетных данных в личном кабинете. Опция позволяет просматривать данные только той учётной записи, которая указана в разрешении.

 

Рисунок 26. Личный кабинет пользователя в Indeed PAM

Личный кабинет пользователя в Indeed PAM

 

В разделе «Учетные записи» отобразилась учётная запись, в личном кабинете которой можно посмотреть пароль. Для просмотра необходимо нажать на кнопку «Показать учетные данные» и указать причину просмотра.

 

Рисунок 27. Просмотр учетных данных в Indeed PAM

Просмотр учетных данных в Indeed PAM

 

Вместе с просмотренными учетными данными пользователь получит уведомление о том, что пароль будет сброшен на случайное значение. Правила и время сброса пароля настраиваются через политику, которая действует на ресурс.

Настройка политик учетных записей и подключений

В системе Indeed PAM существует два типа политик: для учетных записей и для подключений (сессий).

 

Рисунок 28. Политики учетных записей и сессий в Indeed PAM

Политики учетных записей и сессий в Indeed PAM

 

В настройках политик учетных записей задаются:

  • настройки показа пароля и SSH-ключа в личном кабинете пользователя;
  • задания, выполняемые с определенной периодичностью (например, автоматический поиск новых привилегированных учетных записей, проверка на актуальность паролей в хранилище или автоматическая смена паролей);
  • настройки сложности и длины паролей в хранилище для привилегированных учетных записей.

 

Рисунок 29. Настройка политики учетных записей в Indeed PAM

Настройка политики учетных записей в Indeed PAM

 

В политике сессий настраиваются:

  • требование указать причину при подключении;
  • ограничение на максимальную продолжительность сессии;
  • включение/отключение текстовых логов сессии;
  • включение/отключение видеозаписи сессии, в том числе качество видео и параметры автоматической ротации видеозаписей;
  • включение/отключение снимков экрана, в том числе частота снятия снимков и параметры их ротации;
  • включение/отключение теневого копирования файлов и параметры ротации сохраненных в теневое хранилище файлов;
  • проброс ресурсов: «Принтеры», «Буфер обмена», «Смарт-карты», «Порты» и «Диски».

 

Рисунок 30. Настройка политики сессий в Indeed PAM

Настройка политики сессий в Indeed PAM

 

Рисунок 31. Настройка политики сессий в Indeed PAM

Настройка политики сессий в Indeed PAM

Просмотр сессий

В разделах «Активные сессии» и «Все сессии» администратору Indeed РАМ в режиме реального времени доступен просмотр и анализ всех действий пользователя.

В случае, когда сессия еще не завершена, система отобразит видеотрансляцию. После окончания сессии будет доступна офлайн-запись. На выбор всегда доступны видеозаписи, снимки экрана, текстовый журнал действий  пользователя и файлы, которые были скопированы с проброшенных дисков на ресурс.

 

Рисунок 32. Профиль сессии в Indeed PAM

Профиль сессии в Indeed PAM

 

Рисунок 33. Видеотрансляция действий пользователя в режиме реального времени в Indeed PAM

Видеотрансляция действий пользователя в режиме реального времени в Indeed PAM

 

Видеозапись поддерживается для всех типов подключения. Можно просмотреть завершенную сессию прямо в интерфейсе продукта или скачать видеофайл.

 

Рисунок 34. Текстовый лог Indeed PAM для ресурса на базе операционной системы Windows

Текстовый лог Indeed PAM для ресурса на базе операционной системы Windows

 

Для сбора текстовых логов на машинах под управлением Windows необходимо наличие установленного агента — специального компонента, отвечающего за отслеживание запускаемых процессов и активных окон, а также регистрацию клавиатурного ввода. На машинах под управлением Linux ввод и вывод полностью отслеживается в рамках сессии SSH без агента.

Дополнительное преимущество — это поиск по текстовому журналу, который можно осуществить прямо в интерфейсе продукта, не дожидаясь окончания сессии.

 

Рисунок 35. Снимки экрана на привилегированном ресурсе в Indeed PAM

Снимки экрана на привилегированном ресурсе в Indeed PAM

 

Также можно сохранять файлы, которые копируются на ресурс с проброшенных дисков. Каждый файл сохраняется в хранилище теневых копий. Доступ к переданным файлам можно получить по ссылке в подразделе «Переданные на сервер файлы».

 

Рисунок 36. Переданные на ресурс файлы в Indeed PAM

Переданные на ресурс файлы в Indeed PAM

 

Наличие четырех вариантов фиксирования действий привилегированного пользователя во время сессии позволяет эффективно использовать пространство хранилища. Поскольку не всегда нужны полноценные видеозаписи, можно значительно сократить занимаемое хранилищем пространство. Это достигается за счет сохранения снимков экрана, создаваемых с заданной периодичностью, а не видеозаписей.

Важно отметить, что администратор может принудительно прервать сессию. Это очень актуально в случае, когда с помощью системы Indeed PAM обнаружены активные злонамеренные действия привилегированного пользователя.

 

Рисунок 37. Сообщение пользователю Indeed PAM о прерывании сессии

Сообщение пользователю Indeed PAM о прерывании сессии

 

Рисунок 38. Список доступных активных и завершенных сессий в Indeed PAM

Список доступных активных и завершенных сессий в Indeed PAM

 

Раздел «Все сессии» аналогичен тому, который мы уже видели при рассмотрении карточки конкретного пользователя, с той лишь разницей, что здесь представлены данные о сессиях всех пользователей.

Просмотр событий системы Indeed РАМ

В разделе «События» можно посмотреть журнал действий по всем ресурсам, учетным записям и пользователям в хронологическом порядке. Доступен быстрый поиск по ключевым словам, что очень удобно для аудита действий администраторов или расследования сбоев.

 

Рисунок 39. Отображение событий в Indeed PAM

Отображение событий в Indeed PAM

Конфигурация системы Indeed PAM

В разделе конфигурации системы есть четыре подраздела:

  • Лицензирование — для указания данных о лицензии.
  • Системные настройки — для настройки задач, выполняемых по расписанию, кодеков видео, хранилища медиафайлов, сессии, других параметров.
  • Настройки пользовательских подключений — присутствуют встроенные типы подключений для RDP и SSH и настройки для веб-сессий и сессий клиентских приложений (настраиваются для каждого веб-приложения индивидуально).
  • Настройки сервисных подключений — для уточнения шаблонов сервисных подключений по SSH, которые отличаются для разных дистрибутивов Linux и требуют дополнительной конфигурации. Для систем на Windows никаких настроек не требуется.

 

Рисунок 40. Конфигурация Indeed PAM: Лицензирование

Конфигурация Indeed PAM: Лицензирование

 

Рисунок 41. Конфигурация Indeed PAM: Системные настройки

Конфигурация Indeed PAM: Системные настройки

 

Рисунок 42. Настройки пользовательского подключения в Indeed PAM

Настройки пользовательского подключения в Indeed PAM

 

Рисунок 43. Настройки сервисного подключения в Indeed PAM

Настройки сервисного подключения в Indeed PAM

 

С системными требованиями можно ознакомиться по ссылке.

 

Лицензирование

Indeed PAM поставляется с бессрочными лицензиями. При этом объектами лицензирования являются:

  • конечные пользователи системы — сотрудники компании;
  • ресурсы, к которым предоставляется привилегированный доступ.

 

Выводы

Компании с обширной ИТ-инфраструктурой неминуемо сталкиваются с необходимостью контролировать использование привилегированных учетных записей. Одним из решений этой задачи может стать внедрение системы класса Privileged Access Management.

Несмотря на относительную молодость, продукт Indeed PAM 2.0 осуществляет основные функции, требуемые от продуктов этого класса, и отличается удобным пользовательским интерфейсом.

В сравнении с некоторыми конкурентами на этом рынке Indeed PAM уступает в части расширенной функциональности, поддержки специфических устройств и протоколов. Однако стоит отметить, что этот продукт имеет высокие шансы стать популярным на отечественном рынке, так как является российской разработкой, а сама компания готова к гибкому сотрудничеству и оперативной доработке продукта под конкретные нужды заказчика.

Достоинства:

  • Весь программный комплекс — полностью российская разработка. Это крайне важно при взаимодействии с государственными структурами.
  • Поддерживаются RDP, SSH, HTTP и проприетарные протоколы (через толстые клиенты) для подключения к конечным ресурсам.
  • Поддерживается управление учетными записями в операционных системах Windows и Linux, а также в СУБД.
  • Функциональность разграничения доступа привилегированного пользователя по датам и времени.
  • Пользовательский интерфейс на русском языке.
  • Круглосуточная техническая поддержка пользователей доступна через почту, по телефону и через средства удаленного доступа. Это значительно упрощает решение возникающих вопросов.
  • Компания «Индид» готова оказывать помощь при внедрении продукта в инфраструктуре заказчика.
  • Готовность вендора поддержать необходимое оборудование по заказу.
  • При необходимости вендор организует дополнительное обучение персонала заказчика.
  • Весьма невысокая стоимость продукта.

Недостатки:

  • Небольшой список поддерживаемых протоколов удаленного администрирования.
  • Не предусмотрен контроль встроенных учетных записей (AAPM).
  • В текущей версии не поддерживается контроль доступа к средствам безопасности, SCADA-системам и т.п.
  • На момент написания статьи продуктом еще не получены лицензии, однако компания «Индид» планирует получить сертификат ФСТЭК России по уровню доверия 4 (ОУД 4).

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.