Журнал "Information Security/ Информационная безопасность" #1, 2023

PAM решает задачу минимизации потенциально- го ущерба, протоколирова- ния действий внешних сотрудников и даже их бло- кировки в случае необходи- мости. При выборе РАМ для обеспечения работы внеш- них пользователей необхо- димо обратить внимание на реализацию принципа мини- мальных привилегий и нали- чие возможности подтвер- ждения каждого сеанса доступа. В некоторых организа- циях число одних только SSH-ключей может исчис- ляться миллионами, поэто- му управление секретами должно осуществляться централизованно. носными программами ИТ- инфраструктуры организации от зараженной или скомпроме- тированной рабочей станции внешнего пользователя. Частично эти проблемы решаются за счет использова- ния VPN, выдачи аппаратных ключей и других методов стро- гой идентификации. Но в силу того, что внешние пользователи находятся за периметром орга- низации, сложно обеспечить необходимый уровень доверия. В этом случае PAM решает задачу минимизации потенци- ального ущерба, протоколиро- вания действий внешних сотрудников и даже их блоки- ровки в случае необходимости. РАМ должна поддерживать принцип минимальных приви- легий и подход just in time (точно в срок), то есть предоставлять доступ только к тем ресурсам, которые необходимы для реше- ния конкретных задач, и в опре- деленное время. Такой функционал отсутству- ет у традиционных систем раз- граничения доступа и IDM, да и в PAM он иногда реализован довольно эпизодически. Это приводит к тому, что доступ внешних сотрудников оказыва- ется практически неограничен- ным, а в ряде случаев сохра- няется и после увольнения сотрудников или завершения контрактов на обслуживание. При выборе РАМ для обес- печения работы внешних поль- зователей необходимо обратить внимание на реализацию прин- ципа минимальных привилегий и наличие возможности под- тверждения каждого сеанса доступа, а также на возмож- ность фиксации действий поль- зователя. Сценарий 3. Используются сложные или распределенные ИТ- системы, состоящие из множества связанных по сети компонентов Такие системы включают множество компонентов: front-, back-, middleware, базы данных, системы обработки больших данных и др. Передача данных между этими компонентами – еще одна распределенная поверхность атаки, так как они зачастую используют унасле- дованные открытые коннекто- ры, hardcode-пароли и фикси- рованные ключи доступа. Осо- бенно опасно, когда интегри- руются ИТ-системы различных компаний. Большинство гром- ких инцидентов компромета- ции ИТ-систем крупных ком- паний связаны с компромета- цией ИТ-систем их поставщи- ков. В этой ситуации возникает необходимость организации доверенной среды межмашин- ного взаимодействия – без- опасного хранения, передачи и контроля секретов, к которым относятся пароли, токены и SSH-ключи машин, контей- неров, приложений, сервисов, скриптов, процессов и конвей- еров DevSecOps. Эта необхо- димость обусловлена тем, что такие секреты предоставляют доступ к конфиденциальным системам, сервисам и инфор- мации. Более того, они могут служить точкой доступа зло- умышленника в ИТ-инфра- структуру компании. В некото- рых организациях число одних только SSH-ключей может исчисляться миллионами, поэтому управление секретами должно осуществляться цент- рализованно. Часто приложения и устрой- ства Интернета вещей постав- ляются со встроенными учет- ными данными, которые легко взламываются хакерами с помощью инструментов скани- рования и простых атак типа словарных. В инструментах DevOps сек- реты часто жестко закодирова- ны в сценариях или файлах, что ставит под угрозу безопас- ность всего процесса автома- тизации. В этой ситуации PAM решает задачу организации доверенной среды обмена секретами и управления полномочиями при взаимодействии машинных сущностей. Если в компании есть мно- гозвенные системы, то при выборе PAM следует обратить внимание на умение ротиро- вать секреты, включая пароли и ключи в унаследованных приложениях, не имеющих соответствующих встроенных инструментов для их замены. Для этого должен присутство- вать механизм описания нестан- дартных сценариев ротации сек- ретов, например возможность исполнения настраиваемых скрипов из PAM с повышенными привилегиями и протоколиро- ванием действий, в идеале с возможностью отката. Сценарий 4. ИТ-системы содержат критическую для бизнеса информацию, а ошибочные или злонамеренные действия пользователя могут повлечь существенный материальный или репутационный ущерб Речь может идти о критиче- ских данных клиентов, финан- совых транзакциях, сделках на фондовой бирже. В данном случае задача заключается в контроле и фик- сации действий бизнес-поль- зователей. Для этого часто используют UAM-системы, обеспечивающие запись дей- ствий пользователей. Решения класса UAM (User Activity Moni- toring) являются агентскими, они требуют установки специ- ального ПО на рабочую стан- цию сотрудника, что не всегда возможно. Проблему можно решить с помощью РАМ, не требующей установки агента и выступающей в роли шлюза доступа к критической ИТ- системе. При этом PAM исполь- зуется в основном для фикса- ции действий пользователя при работе с конкретной целевой системой. Простота и удобство работы становятся в этом случае важ- ными требованиями к РАМ. Необходимо также обращать sPACE PAM имеет встроенную систему нарядов-допусков, позволяющую гранулировать доступ до уровня конкретной задачи в конкретной целевой системе в определенный интервал времени. В системе реализован принцип минимальных привилегий, и пользователи имеют доступ только к разрешенным задачам. Для повышения эффективности работы с системой согласование доступа может быть делегировано на уровень владельцев ИТ-систем. sPACE РАМ использует собственные агенты паролей, которые предоставляют различные режимы ротации паролей, а встроенный механизм создания и запуска сценариев позволяет обеспечить подключение любых целевых систем. • 19 PAM www.itsec.ru