Сертификат AM Test Lab
Номер сертификата: 525
Дата выдачи: 25.06.2025
Срок действия: 25.06.2030
- Введение
- Функциональные возможности «Пассворк 7»
- 2.1. Интеграция по API
- 2.2. Ролевая модель доступа
- 2.3. История действий
- 2.4. Работа с сейфами
- Архитектура и системные требования «Пассворк 7»
- Лицензирование «Пассворк 7»
- Сценарии использования «Пассворк 7»
- 5.1. Работа с сейфами
- 5.2. Работа с папками
- 5.3. Работа с паролями
- 5.4. Управление пользователями
- Выводы
Введение
Несмотря на то, что к 2025 году информация о необходимости защиты паролей публикуется регулярно, а в мире отмечается Всемирный день пароля, у администраторов и пользователей по-прежнему популярны пароли «admin», «123456» и им подобные. Происходит это во многом из-за необходимости часто вводить реквизиты доступа, что заставляет людей выбирать удобство, а не безопасность.
Чтобы избежать такого выбора, в корпоративной среде используют специализированные системы — менеджеры паролей, функциональные возможности которых направлены на шифрование хранимых данных, разграничение доступа, создание новых сложных кодовых слов и многое другое.
Ранее мы выпускали обзор шестой версии отечественного менеджера паролей «Пассворк». Недавно вендор выпустил новую версию. По данным разработчиков, в новой версии были оптимизированы код и интерфейс, устранены ошибки при работе в интерфейсе.
Функциональные возможности «Пассворк 7»
Давайте посмотрим, как изменилась система за прошедшее время и какие новые функции получила.
Интеграция по API
В связи с тем, что интеграция по API становится все более востребованной, разработчики значительно расширили функциональные возможности программного интерфейса — теперь с его помощью можно полноценно взаимодействовать со всеми возможностями «Пассворк 7» — от копирования паролей до управления пользователями и настройками безопасности.
Для упрощения работы с API подготовлен официальный Python-коннектор — библиотека для разработчиков, позволяющая интегрировать систему с приложениями и скриптами на языке Python, — и утилита Passwork-CLI, позволяющая работать с API из командной строки. Вместо API-ключей теперь используются токены — более современный и надёжный способ доступа к системе.
Ролевая модель доступа
По сравнению с предыдущей версией, где можно было создать только две роли, в новой версии реализована гибкая ролевая модель, используя которую можно создавать неограниченное количество ролей с индивидуальными правами и настройками.
Доступами к сейфам с паролями можно управлять как гранулярно, так и путем включения пользователей в группы.
Рисунок 1. Управление пользователями в «Пассворк 7»
История действий
В «Пассворк 7» расширен список отслеживаемых событий и обновлено их описание, переработана система уведомлений, которые можно гибко настраивать — это повысит контроль над важными изменениями и действиями пользователей.
Журналируемые события можно экспортировать в формате CEF для последующей передачи в SIEM-системы.
Рисунок 2. История действий в «Пассворк 7»
Работа с сейфами
В новой версии системы упрощена структура сейфов — вместо хранилищ организации и личных хранилищ пользователи смогут создавать приватные сейфы. Приватный сейф становится общим при добавлении других пользователей. При этом администраторы больше не добавляются автоматически. Структура хранилищ была переработана. Пользователям дали новые возможности для управления паролями.
При добавлении пользователей в группы они больше не будут автоматически получать доступ к сейфам других пользователей — для получения доступа потребуется подтверждение от администратора сейфа. Пользователей, получивших доступ к сейфу при LDAP-синхронизации, также необходимо подтверждать. Это обеспечивает дополнительный контроль и предотвращает несанкционированный доступ к содержимому сейфов.
Рисунок 3. Просмотр структуры сейфов в «Пассворк 7»
Архитектура и системные требования «Пассворк 7»
Архитектурно, система состоит из сервера приложения (веб-сервер и PHP) и базы данных (MongoDB, PostgreSQL). Сервер приложения и база данных могут работать на одном общем выделенном или виртуальном сервере.
Установка на один сервер подходит для редакций до 500 пользователей. В этом случае к серверу предъявляются требования, указанные в таблице 1.
Таблица 1. Системные требования к единому серверу «Пассворк 7»
Количество пользователей | ОЗУ, ГБ | ЦП, ядер | HDD / SSD, ГБ |
|---|---|---|---|
До 50 | 4 и более | 4 | 100 |
До 100 | 6 и более | 8 | 150 |
До 500 | 12 и более | 8 | 200 |
В случае, если сервер приложения и база данных разнесены по разным серверам, предъявляются требования, обозначенные в таблицах 2 и 3.
Таблица 2. Системные требования к серверу приложения «Пассворк 7»
Количество пользователей | ОЗУ, ГБ | ЦП, ядер | HDD / SSD, ГБ |
|---|---|---|---|
До 50 | 4 и более | 4 | 100 |
До 500 | 12 и более | 8 | 100 |
До 10 000 | 32 и более | 16 | 100 |
Таблица 3. Системные требования к серверу баз данных «Пассворк 7»
Количество пользователей | ОЗУ, ГБ | ЦП, ядер | HDD / SSD, ГБ |
|---|---|---|---|
До 50 | 2–4 | 4 | 100 |
До 500 | 8–16 | 8 | 200 |
До 10 000 | 16–32 | 16 | 200 |
База данных MongoDB может работать в режиме отказоустойчивости. Выделяется три основных роли серверов в репликационном наборе:
- Primary — основной сервер;
- Secondary — второстепенный сервер в режиме синхронизации;
- Arbiter — сервер, который не хранит данные, но участвует в выборе основного узла в случае падения сервера.
При этом, возможны следующие варианты реализации:
- Три полноценных сервера баз данных (основной выбирается в процессе голосования). При таких условиях арбитр можно использовать в качестве дополнительного сервера, например когда нужно добиться прогнозируемого переключения основного узла.
- Два полноценных сервера баз данных, один из которых выбирается в качестве основного, а второй — в качестве второстепенного (SECONDARY), в то время как третий выступает арбитром. Основной узел переключается автоматически в случае падения текущего основного сервера. Арбитр при этом позволяет сэкономить ресурсы, так как менее требователен.
Таблица 4. Системные требования к арбитру MongoDB
Параметр | Значение |
|---|---|
Оперативная память, ГБ | 4 |
ЦП, ядер | 4 |
HDD / SSD, ГБ | 100 |
Дополнительные требования | Высокая скорость сетевого соединения с остальными серверами баз данных |
Для того, чтобы ускорить работу приложения при большом количестве пользователей (более 10 000) и обеспечить бесперебойную работу системы, можно использовать несколько серверов приложений в связке из серверов PHP-FPM и балансировщика трафика.
Лицензирование «Пассворк 7»
Лицензии на «Пассворк 7» делятся на стандартные и расширенные. Разница заключается в том, что в первом случае предусматривается установка программного обеспечения только на один сервер и использование одним юридическим лицом в одном филиале компании, во втором же случае есть возможность установить систему сразу в несколько филиалов компании.
При наличии расширенной лицензии появляются дополнительные возможности, такие как авторизация с помощью SAML / SSO, более тонкие пользовательские настройки (возможность установить разные языки интерфейса, настроить способы авторизации и т. д.), возможность настройки репликации и отказоустойчивости, сопоставление групп LDAP с ролями в «Пассворке» и другие. Стоимость лицензий также зависит от количества пользователей.
Для перехода на версию 7 необходимо обновить текущую инсталляцию до версии 6.5, выполнить миграцию данных и подтвердить обновление в клиентском портале.
Сценарии использования «Пассворк 7»
Рассмотрим практические аспекты использования «Пассворк 7» с точки зрения пользователя. Стартовая страница системы содержит информацию о доступных пользователю хранилищах секретов (сейфах), недавно просмотренных паролях и ярлыках. Здесь же доступна информация о поступивших уведомлениях, профилях пользователя и возможность настройки системы.
Рисунок 4. Стартовая страница «Пассворк 7»
Работа с сейфами
Пользователю доступны два вида сейфов — личные, доступные только ему и общие, доступ к которым может иметь сразу несколько человек. По умолчанию, все сейфы создаются приватными и меняют свой тип после приглашения других людей к их использованию.
Рисунок 5. Структура сейфов в «Пассворк 7»
Оба типа сейфов поддерживают многоуровневую структуру на основе папок: администраторы могут выстраивать иерархию сейфов с вложенными в них папками. Создадим новый сейф и предоставим к нему доступы.
Рисунок 6. Создание сейфа в «Пассворк 7»
Рисунок 7. Предоставление доступа к сейфу в «Пассворк 7»
Работа с папками
Как было описано выше, система поддерживает многоуровневую структуру папок. Создадим подобную структуру в рамках обзора.
Рисунок 8. Структура папок в «Пассворк 7»
В случае возникновения необходимости, доступ можно предоставить точечно, до конкретной папки. В этом случае пользователи не будут иметь возможность работы с иными паролями, хранящимися в других директориях.
В свойствах папки можно произвести ряд действий: переименовать, переместить, изменить цвет, импортировать и экспортировать данные, а также, что немаловажно, посмотреть историю действий.
Рисунок 9. История действий с папкой в «Пассворк 7»
Работа с паролями
Создав сейфы и, в случае необходимости, папки, пользователь переходит к созданию паролей. Все данные о паролях представлены в виде карточек паролей. Они содержат всю информацию о конкретном пароле, включая его предыдущие версии и историю действий. Карточка пароля также содержит все инструменты для управления паролем — его можно переместить, копировать, дублировать, установить необходимый цвет или вообще удалить.
Для удобства работы с секретами, их можно тегировать, и добавлять в избранные для оперативного доступа к ним. Пароль можно создать с помощью встроенного генератора. Используя его, можно задать требования к создаваемому секрету: длину от 6 до 100 символов, наличие специальных символов, цифр и буквы разного регистра. Генератор может исключить похожие или любые указанные символы.
Рисунок 10. Создание пароля в «Пассворк 7»
Паролем можно поделиться с конкретным пользователем, а также просмотреть историю работы с ним. Поделиться паролем, хранящимся в «Пассворке», можно тремя способами: отправить пароль пользователю непосредственно внутри системы, создать ярлык для быстрого доступа к секрету из другого расположения, создать ссылку для передачи пароля коллегам за пределами «Пассворка».
Рисунок 11. Отправка пароля в «Пассворк 7»
Управление пользователями
«Пассворк 7» поддерживает гибкую ролевую модель, что позволяет создавать роли с любым набором прав, в зависимости от функции пользователя в организации. Создадим в системе роли, отличные от встроенных: HR-менеджера, системного администратора и сотрудника службы безопасности.
Рисунок 12. Управление пользователями в «Пассворк 7»
Для системного администратора предоставляем доступ к использованию режима отладки, настройке LDAP и фоновых задач, без доступа к хранимым паролям, сотрудникам службы безопасности предоставлено право просматривать подробную историю действий и управлять политиками безопасности, HR-менеджер может добавлять пользователей и управлять ими без доступа к настройкам системы.
При этом, для пользователей с доступом к особо уязвимым данным можно установить обязательную двухфакторную аутентификацию при входе.
Выводы
7-я версия «Пассворка» предназначена для безопасного хранения и управления паролями в организациях разного размера — от небольшой, численностью в несколько десятков человек, до крупных организаций с десятками тысяч сотрудников.
Система имеет интуитивный интерфейс и возможность построения сложной иерархии. Для упрощения интеграции с другими системами и автоматизации процессов, в системе есть API и Python-коннектор. Есть приложение для мобильных устройств и расширения для ряда браузеров.
Для минимизации риска компрометации данных, в «Пассворке» предусмотрена двухфакторная аутентификация и возможность гибкой настройки ролевой модели.
Достоинства:
- Интуитивно понятный интерфейс.
- Поддержка многофакторной аутентификации.
- Наличие мобильного клиента.
- Широкие возможности интеграции.
- Гибкая ролевая модель.
- Подробная техническая документация.
- Входит в реестр российского ПО.
- Разработчик имеет лицензии ФСТЭК и ФСБ России на работу с криптографией.
Недостатки:
- Отсутствует плагин для браузера Opera.
- Отсутствие круглосуточной поддержки от вендора (поддержка осуществляется в рабочие часы).
- Отсутствует настольное приложение (в разработке).
