Журнал "Information Security/ Информационная безопасность" #6, 2021

sPACE – безагентское решение, не требующее установки специального ПО на рабочих станциях пользо- вателей, что облегчает внедрение и минимизирует затраты на масштабирова- ние. Параметры привилегиро- ванных учетных записей пользователям неизвестны и в явном виде не передают- ся. sPACE держит их в своем хранилище в защи- щенном виде. Гибкая ролевая модель обеспечивает доступ к инструментам администри- рования и настройкам системы только в рамках выданных прав и опреде- ленных ролей, позволяя реализовать любые сцена- рии работы с системой. 1. Хранение паролей доступа и обеспечение их полного жиз- ненного цикла. Пароли доступа к ИТ-системам хранятся в систе- ме и неизвестны пользовате- лям, система подставляет их автоматически при подключе- нии сеанса и обеспечивает пол- ный жизненный цикл хранимых учетных записей – назначение, ротацию и отзыв. 2. Автоматизация процесса обеспечения доступа сотрудни- ков и внешних подрядчиков к ИТ-системам компании. Для доступа, в том числе удаленно- го, достаточно рабочей станции с веб-браузером и RDP-клиен- том. При открытии сеанса систе- ма автоматически подставляет хранимые в ней пароли доступа. Доступ предоставляется в защи- щенной среде, строго к целевой системе, для решения конкрет- ной задачи в определенное время. 3. Фиксация всех действий пользователей. Система авто- матически формирует журнал сеансов, делает запись экранов пользователей, записывает лог нажатий клавиатуры и мыши. 4. Аудит действий пользова- телей. Система позволяет про- сматривать и экспортировать записи завершенных сессий, обеспечивает возможность про- смотра текущих сессий в соот- ветствии с принципом "четырех глаз" и их прерывание в случае необходимости – все эти воз- можности позволяют быстро выявить причины инцидентов и отреагировать на них. 5. Внутренний мониторинг системы. sPace обеспечивает контроль состояния модулей системы и своевременное опо- вещение администратора в слу- чае возникновения проблем. 6. Поддержка двухфакторной аутентификации. Система интегрирована с решениями двухфакторной аутентификации Rutoken и Google Authenticator, которые могут применяться в зависимости от пожеланий заказчиков. Безопасность и простота? sPACE – безагентское реше- ние, не требующее установки специального ПО на рабочих станциях пользователей, что облегчает внедрение и мини- мизирует затраты на масшта- бирование. Работа с системой осуществляется через единую точку доступа – веб-портал sPACE с простым и понятным интерфейсом. Для авторизации в sPACE достаточно иметь лич- ную учетную запись, а вот для доступа к целевым системам нужен согласованный наряд- допуск, при наличии которого система запустит сеанс доступа к целевой системе и автомати- чески подставит необходимые для подключения данные. Наряд-допуск – это одно из наших ноу-хау, появившихся в результате решения проблем заказчика. Параметры привилегиро- ванных учетных записей поль- зователям неизвестны и в явном виде не передаются. sPACE держит их в своем хра- нилище в защищенном виде и автоматически осуществ- ляет ротацию на основе заданных правил: до начала сеанса, после завершения сеанса или по заданному рас- писанию. Такая ротация дела- ет пароль бесполезным в слу- чае его компрометации. Гибкая ролевая модель обес- печивает доступ к инструментам администрирования и настрой- кам системы только в рамках выданных прав и определенных ролей, позволяя реализовать любые сценарии работы с системой. Опять же замечу, что ролевая модель также созда- валась на основе обратной связи от наших заказчиков. Быстрота внедрения = простота развертывания + простая интеграция объектов администрирования. Приятный бонус – минимизация затрат на сопровождение и масштабирование системы. В отзывах пользователей PAM часто встречаются жало- бы на ресурсоемкость решений и длительный срок внедрения. Решить эти проблемы нам уда- лось за счет использования микропроцессорной распреде- ленной архитектуры и быстрой интеграции sPACE с ИТ-систе- мами и приложениями заказ- чиков. Подключение к целевым системам осуществляется посредством запуска сценари- ев. Уже сейчас нашим пользо- вателям доступны "из коробки" более 100 сценариев под- ключения. Но важнее всего то, что для их написания не тре- буется много ресурсов. Был случай, когда наш инженер за 30 минут написал сценарий • 37 КОНТРОЛЬ ДОСТУПА www.itsec.ru Реклама

RkJQdWJsaXNoZXIy Mzk4NzYw