Документ обсуждает управление привилегированными учетными записями и паролями, включая их аудит и контроль через специализированные программные и аппаратные модули. Подчеркиваются задачи по безопасности, эффективности и индивидуальной ответственности в управлении доступом к системам. Также рассматриваются проблемы, связанные с встраиванием паролей в код приложений и необходимостью ведения аудита сессий для соответствия стандартам.

1. Total Privileged Account Manager
Рудницкий Иван, БАКОТЕК
Инженер по технической поддержке проектов

2. Задача: Управление привилегированными учетными
записями
• Привилегированные учетные записи существуют везде
2
Applications
Network
Devices
Virtual
Platforms
Operating
Systems
Databases

3. Задача: Управление привилегированными учетными
записями
• Привилегированные учетные записи существуют везде
• Службе IT безопасности необходимо вести аудит их
3
использования
Аудит, контроль Запись сессий Логирование

4. Dell TPAM
4
Privileged Passwords (PPM) Privileged Sessions
(PSM)
Privileged Password
Management
Privileged Session
Management
Application
Password
Management
Privileged Command
Management

5. Total Privilege Access Management (TPAM)
5
– Комплект продуктов созданный для решения задач по контролю и аудиту привилегированного
доступа
– Модульная система дает гибкость в построении решения
– Базовые модули для решения основных задач
– Добавление / изменение дополнительных модулей в будущем
– Поставляется в виде специализированного программно-аппаратного комплекса

6. 6
Privileged
Password
Manager
Проблемы и задачи
• Супер-пользователи есть в всех IT системах
– ОС, сетевые устройства, базы данных,
приложения и пр.
• Они не ассоциируются с определенным
пользователем
– В отличии от пользовательских учетных
записей
• Супер-пользователи имеют все возможности
ДОСТУПА и КОНТРОЛЯ
– Полный доступ в систему
– Конфигурация внутреннего аудита системы
• Требования по соответствию стандартов
– Учетные записи с привилегированными
доступом находятся под пристальным
вниманием аудитора

7. Управление привилегированными паролями
7
Задачи компании TPAM/PPM модуль
Безопасность Встроенная система безопасности
• Пароли шифруются
• Шифрование диска (AES 256 )
• Встроенный аппаратный брандмауэр
• ОС урезанная и заточенная под задачу
Контроль изменений Широкие возможности по контролю
• По времени (каждые Х дней)
• После последнего использования
• Форсирование изменений
Интеграция Интеграция с другими системами
• Поддержка сильной аутентификации
• Active Directory
• Ticketing systems

8. Управление привилегированными паролями
8
Задачи компании TPAM/PPM модуль
Эффективность TPAM Workflow
• Веб-консоль
• Ролевое управление
• Поддержка распределения
полномочий
• Уведомления по email
• Поддержка мобильных устройств
• CLI/API
Простота внедрения и интеграции Установка и настройка за 1 день
Готовое устройство
Безагентная архитектура
Интеграция в AD
Импорт данных в CSV
Внутренний аудит, SNMP, Syslog

9. Управление привилегированными паролями
9
Задачи компании TPAM/PPM модуль
Индивидуальная ответственность Реализовано через PPM модуль
• Возможность ограничения на
выдачу пароля более чем 1
человеку на 1 момент времени
• Изменение после последнего
использования гарантирует
уникальный пароль на каждый
запрос
• Возможность создания двойной
авторизации

10. Workflow – запрос пароля
10
Отправка
запроса
на
пароль
Отбор и выбор
учетной
записи
Ввод даты, времени, срока и
Enter
Date/Time/Duration/Reaso
n Code/Request Reason as
needed
Ticket
System
Validation.
Mandatory
or Optional
Получение
пароля
причины запроса
Опциональное поле для ticketing
системы.

11. 11
Account Auto
Discovery

12. 12
Application
Password
Management
Проблемы и задачи
• Встроенные пароли в код
приложений представляют угрозу
безопасности
– Учетные данные и пароли известны
программистам
– Back-door учетные записи
• Различные задачи для различных
приложений
– Постоянное подключение A2A
– Транзакционные подключения А2А

13. Управление паролями приложений
13
Задачи компании TPAM/PPM модуль
Замена встроенных паролей Поддержка API/CLI
C/C++
Java
.NET
Perl
Поддержка “критических” приложений с
большим кол-вом транзакций
PAR кэш
Дополнительный модуль
Кэш-устройство или VM
Поддержка централизованной
или распределенной
архитектуры
Обработка более 500 запросов
в секунду

14. 14
Privileged
Session
Manager
Проблемы и задачи
• Соответствие стандартам требует информации о
том что было сделано во время сессии:
– Удаленные сессии вендоров
– Аутсорсинговые компании
– Предоставление доступа разработчикам в
продуктивную среду
– Доступ пользователей и администраторов к
конфиденциальным ресурсам или
приложениям
• Доступ к определенным системам требует
максимального аудита и контроля
• Необходимость ограничения прямого доступа к
определенным ресурсам

15. Управление привилегированными сессиями
15
Задачи компании TPAM/PPM модуль
Гранулярный контроль доступа Контроль пользователя
• Ограничение просмотра ресурсов
в зависимости от роли
Контроль подключений Полный контроль подключений
• Двойной контроль на
авторизацию
• Ограничение по времени
• Уведомление о превышении
времени
• Возможности обрыва сессии
Аудит сессии Аудит сессии
• Аудит и логирование всех
запросов на соединение
• Полный просмотр сессии и ее
видеозапись

16. Как это работает
16

17. Workflow – запрос сессии
17
Запрос на
соединени
е
Выбор
системы и
учетной
записи
Ввод даты, времени,
продолжительности и
причины
Опциональное
поле для ticketing
системы.
Как только запрос
подтвержден -
подключение

18. Workflow – запрос сессии
• Запрос может быть
18
подтвержден вручную или
автоматически
• Каждая активность в
системе записывается
• Если пользователь
превышает лимит
времени, система
отправляет уведомление
• Активная сессия может
быть отключена вручную
Пользователь подключается и
выполняет необходимую работу
Прокси-соединение
установлено к подключаемой
системе под выбранной
учетной записью

19. Workflow – воспроизведение сессий
19
Записи сессий хранятся локально
или могут автоматически
архивироваться. Можно делать
поиск по сессиям по дате, системе,
учетной записи, пользователю,
номеру запроса и пр.
Выбранная сессия
воспроизводится в режиме
видеозаписи.

20. Workflow – воспроизведение сессий
20
Вся активность в сессии
записывается и может быть
воспроизведена. Запись
хранится в очень сжатом
формате (не AVI).
Контроль просмотра
записи сессии.

21. Типы построения конфигураций
• High Availability
• Распределенный
21

22. Вопросы?