Контакты
Подписка
МЕНЮ
Контакты
Подписка

Критерии выбора системы управления привилегированными учетными записями

Критерии выбора системы управления привилегированными учетными записями

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Критерии выбора системы управления привилегированными учетными записями

В последнее время отмечается рост интереса организаций к автоматизации управления привилегированными учетными записями — "ключами" ко всем информационным активам предприятия. Управляться с растущим числом таких записей в виртуальных средах, на сетевых устройствах, в приложениях и, конечно, на системах вручную больше не представляется возможным [1].
Филипп
Либерман
Президент и CEO, Lieberman Software Corporation
Лев
Смородинский
Д.ф.н., менеджер по научному и бизнес-развитию, Lieberman Software Corporation

Архитектура системы РIМ
В первую очередь система PIM должна меняться вместе с многочисленными изменениями, происходящими в сети вашей организации. Такая система должна автоматически выполнять следующие задачи:

  • обнаруживать и защищать все до единого аппаратные и программные ресурсы;
  • поддерживать не только ведущие приложения и оборудование, но также старые и собственные программы организации;
  • автоматически реагировать на происходящие в сети изменения, в том числе частые модификации систем, сетевых устройств, приложений и пользователей, практически не требуя вмешательства персонала и привлечения специалистов со стороны;
  • масштабироваться по мере роста вашей сети, удовлетворяя не только нынешние, но и любые будущие потребности;
  • работать без установки на компьютеры своих агентов, чтобы не допускать увеличения нагрузки на вычислительные ресурсы и, как следствие, IT-службу.
Эта статья написана, исходя из реальных потребностей организаций всего мира, которые ищут и внедряют программы PIM. Статья описывает ключевые функциональные и технические требования, которые нужно учитывать при выборе системы PIM1.

Пароли привилегированных учетных записей должны храниться в зашифрованном виде в серверной базе данных (БД). От выбора базы данных зависят производительность и надежность системы PIM. Чем более популярна БД, применяемая в системе, тем ниже затраты на ее администрирование: наличие большого практического опыта и исчерпывающей документации упрощает сотрудникам IТ-службы задачи настройки, защиты и поддержки.

Вам нужна система, поддерживающая кластерную и зеркальную конфигурацию, направленную на повышение коэффициента доступности. Архитектура PIM должна предоставлять возможность переключения на резервную базу данных в случае сбоя и иметь минимум компонентов, отказ которых ведет к отказу всей системы: например, в распределенной среде пользователи должны иметь возможность доступа к паролям, даже если сервер с системой PIM выходит из строя.

Система PIM должна позволять экономически эффективное расширение по мере роста организации - от нескольких отделов до глобальной сети. Выбранное приложение должно быть многопоточным, поскольку иначе справиться с задачей оперативного изменения тысяч паролей в большом парке компьютеров будет сложно.

Обнаружение систем, учетных записей и служб
Если система PIM обнаруживает далеко не все привилегированные учетные записи, то это быстро оборачивается возрастанием нагрузки на сотрудников IT-службы и необходимостью привлекать дорогостоящих специалистов со стороны. Привилегированные учетные записи на новом оборудовании и в новых приложениях, старых программах, в виде оставленных разработчиками "черных входов" (back doors), в забытых всеми службах и на любых других IT-ресурсах повышают уязвимость сети перед современными изощренными методами кибершпионажа.

Система PIM должна быть легко адаптируема и уже в стандартной комплектации поддерживать практически весь парк оборудования и ПО организации [2], не требуя заказной индивидуализации и дополнительной сторонней поддержки.

Работая в режиме "настроил и забыл", система PIM должна обнаруживать и затем автоматически отслеживать системы из списков доменных систем, списков сетевых устройств, Active Directory (и других служб каталогов, совместимых с LDAP), заданных диапазонов IP-адресов, CMDB2 и других источников.

Управление паролями
"Правильная" система PIM должна поддерживать синхронизацию в реальном времени смены пароля на всех соответствующих ресурсах, тем самым исключая вероятность нарушения функционирования IT-инфраструктуры и блокировки учетных записей, когда вносятся изменения.

Система РIМ должна упрощать задачу смены паролей по расписанию, установленному политикой организации. Задания смены паролей должны быть упорядочены по типу системы (а не учетной записи) и обеспечивать перегенерацию паролей по требованию, а также проводить по расписанию автоматическую проверку учетных записей.

Система PIM должна хранить пароли в зашифрованном виде в серверной базе данных и поддерживать такие методы шифрования, как стандарты AES, FIPS 140-2, а также аппаратные модули безопасности (HSM) на базе PKCS#11.

Приобретаемое вами система PIM должна иметь стандартную комплектацию, быть полностью настраиваемой и самодостаточной, то есть минимально требовать при эксплуатации вмешательства администратора. Ваша цель - найти такую продуманную систему PIM. которая может быть внедрена за несколько дней при минимальной сторонней поддержке.

Управление доступом
Система PIM должна обеспечивать управление доступом на основе ролей, которые задаются в службах каталогов и собственно в системе PIM.

Правила доступа настраиваются в полном соответствии с политикой организации. Они должны обновляться в режиме реального времени всякий раз, когда в службе каталогов происходят изменения, причем в случае подозрительной деятельности система молниеносно оповещает администратора. Необходима также возможность предоставлять сотрудникам немедленный контролируемый доступ к определенной группе серверов.

Аутентификация с помощью служб каталогов
Система PIM должна в режиме реального времени выполнять аутентификацию, обращаясь к доверенным доменам Windows, популярным каталогам на базе известных стандартов, например Oracle Internet Directory и Novell eDirectory, и прочим серверам LDAP и RADIUS.

Многофакторная аутентификация
Вам нужна система PIM, поддерживающая методы многофакторной аутентификации, в том числе:

  • отправку одноразового пароля, генерируемого на основе времени (ТОТР - Time-based One-Time Password), по альтернативному каналу, например электронной почте или SMS, с помощью служб OATH; метод обеспечивает организации возможность многофакторной аутентификации без малейших дополнительных затрат;
  • стандартную аутентификацию OATH;
  • проприетарную аутентификацию (включая RSA SecurlD и YubiKey).

Рабочие процессы
Система PIM должна иметь удобную функцию настройки правил получения (check out) паролей для каждой роли пользователя. Автоматизация рабочих процессов выдачи разрешений экономит время сотрудников IT-службы.

Интеграция со службой поддержки
Интеграция системы PIM со службой поддержки (например, HP Service Manager, ВМС Remedy или Microsoft System Center Service Manager) способствует контролю над тем, чтобы все запросы на получение привилегированных паролей соответствовали поданным на тот момент заявкам о неисправностях, все запрашивающие имели разрешение на запрашиваемый уровень привилегированного доступа и статус заявок обновлялся автоматически с учетом действий, произведенных в системе PIM.

ЗаключениеАвтоматизированные функции системы должны повысить информационную безопасность вашей организации и эффективность работы IТ-службы. Надежные "ключи" к информационным активам предприятия будут храниться в безопасном месте и выдаваться только уполномоченным сотрудникам на время проведения работ с соответствующей записью в журнале учета. По окончании работы "ключи" и "замки на дверях" будут автоматически меняться, так что потерянный или скопированный "ключ" не позволит злоумышленникам незаметно проникнуть в ваш "дом".

Аудит
Полноценные функции аудита имеют решающее значение для любой системы PIM, поэтому обращайте внимание на поддержку различных методов учета и аудита всех выполняемых ею действий. К ним относятся текстовые журналы (логи) системы, внутренняя база данных, используемая в целях аудита, системные журналы, уведомления по электронной почте, а также интеграция с внешними системами с помощью асинхронных уведомлений (trap) в случае с SNMP, триггеров в случае с Microsoft System Center Operations Manager и т.д.

Оповещение и интеграция
Функция оповещения в системе PIM должна быть полностью настраиваемой. При возникновении событий (например, таких, как смена или получение пароля), уведомления направляются по электронной почте и в систему SIEM3, запускаются специальные программы, отсылаются заявки в службу поддержки и т.п.

Интеграция с системами SIEM
Интеграция системы PIM с системой SIEM (например, HP ArcSight ESM™, RSA enVision™ и Q1 Labs QRadar™) в стандартной комплектации позволяет сопоставлять конкретные лица и процессы, получающие привилегированный доступ с возникающими инцидентами безопасности.

Отчетность
Наличие отдельного хранилища данных в виде дополнительной базы данных на том же сервере, где установлена система PIM, или в виде базы данных на другой машине гарантирует эффективную работу функций отчетности независимо от сложности отчетов и масштабов системы.

Необходимы отчеты, показывающие картину повседневной работы системы, и набор готовых отчетов, документально подтверждающих соблюдение нормативных требований.

Простота внедрения и эксплуатации
Важным этапом в процессе выбора является проверка того, что система PIM будет совместима с парком систем, приложений и устройств вашего предприятия, до покупки системы (Proof of Concept - проверка концепции). Определите, какие возможности ваши сотрудники смогут реализовать своими силами, что потребует помощи со стороны поставщика и что не предоставляется вовсе. Обратите внимание на наличие доступной в Интернете документации и развитого пакета SDK (Software Development Kit - пакет средств разработки программного обеспечения) для решения уникальных задач по получению IT-ресурсами паролей в режиме реального времени.

Литература

  1. Ф. Либерман, Л. Смородинский Как обеспечить контроль привилегированных учетных записей, Information Securiity №1, 2013-http://www. itsec. ru/imag/insec-1-2013/42
  2. Privileged Identity Management: A Technical Overview, White Paper, Lieberman Software Corporation, 2013 - http://www.liebsoft.com/erpm_ whitepapers.
___________________________________________
1 PIM (Privileged Identity Management) – управление привилегированными пользователями, или, как
часто используется, PAM (Privileged Account Management) – управление привилегированными
учетными записями.
2 CMDB (Configuration Management DataBase) – база данных управления конфигурацией.
3 SIEM (Security Information and Event Management) – управление событиями ИБ.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2013
Посещений: 7380

  Автор

Филипп Либерман

Филипп Либерман

Президент и CEO, Lieberman Software Corporation

Всего статей:  2

  Автор

Лев Смородинский

Лев Смородинский

Д.ф.н., менеджер по научному и бизнес-развитию, Lieberman Software Corporation

Всего статей:  2

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций