Indeed PAM 3.4 упрощает внедрение и расширяет сценарии защиты доступа
Компания «Индид», российский разработчик решений в области защиты айдентити выпустила новую версию Indeed Privileged Access Manager 3.4.
Основные нововведения версии 3.4 направлены на то, чтобы помочь компаниям выстраивать более безопасную, гибкую, удобную и управляемую модель работы с привилегированным доступом. Подробнее об изменениях читайте в статье.
Интеграция с MFA-решениями по протоколу OpenID Connect
Одним из ключевых обновлений в Indeed Privileged Access Manager 3.4 стала поддержка аутентификации через внешний модуль Identity Provider по протоколу OpenID Connect. Для входа в консоль администратора (Management Console) и консоль пользователя (User Console) используется адрес электронной почты пользователя. Это позволяет организациям быстрее встроить продукт в уже существующую SSO- и MFA-инфраструктуру, обеспечить единый пользовательский опыт при входе в разные корпоративные системы и сократить объем дополнительных настроек, снизив нагрузку на администраторов.
Аутентификация по сертификатам X.509
Еще одно важное изменение — возможность аутентификации в консолях Indeed PAM по клиентским сертификатам X.509. Это особенно актуально для организаций, использующих корпоративную PKI-инфраструктуру. Новый механизм позволяет встроить Indeed Privileged Access Manager в действующую модель безопасности без усложнения архитектуры и расширяет выбор доверенных способов входа в систему. В результате организации получают более высокий уровень защиты доступа к критически важным ресурсам и могут развивать систему безопасности на базе уже существующих технологий.
Виджеты «Серверы PAM»
Другие улучшения направлены на повышение удобства при работе с Indeed PAM. В версии 3.4 появился механизм проверки состояний серверов, компонентов и сервисов. Теперь продукт автоматически проверяет доступность ключевых узлов инфраструктуры, а результаты проверок и сообщения об ошибках выводятся на дашборде в новом виджете «Серверы PAM». Администратор получает наглядный инструмент для постоянного мониторинга инсталляции, может быстрее выявлять проблемные серверы и оперативно реагировать на сбои еще до того, как они повлияют на доступ пользователей к критичным ресурсам.
Поддержка Ansible
Отдельное внимание компания «Индид» уделила задачам автоматизации. В частности, расширены возможности интеграции с Ansible, что позволяет безопасно использовать привилегированные учетные данные в плейбуках и других сценариях автоматизации. Теперь команды эксплуатации и DevOps-инженеры могут безопасно использовать привилегированные учетные данные PAM в сценариях автоматизации. Поддерживаются два ключевых варианта: получение паролей и SSH-ключей через Lookup Plugin, а также подключение к целевым ресурсам через SSH Proxy. Такой подход позволяет сохранить удобство автоматизации и соблюдать требования к безопасности: команды эксплуатации и DevOps продолжают работать в привычных инструментах, не вынося корпоративные секреты за пределы Indeed PAM, а служба информационной безопасности сохраняет контроль доступа, аудит действий и прозрачность работы с критичными учетными данными.
Аутентификация Kerberos в RDP Proxy
В Indeed PAM 3.4 также появилась поддержка протокола аутентификации Kerberos в RDP Proxy при подключении к целевым ресурсам. Это особенно актуально для компаний, использующих современные политики безопасности в Windows-инфраструктуре, включая включенный NLA и отключенный NTLM. Новая возможность помогает встроить Indeed PAM в более строгие корпоративные среды без пересмотра действующих требований к безопасности. В результате организации могут сохранить единые стандарты аутентификации и использовать PAM как контролируемую точку доступа к привилегированным ресурсам.
Python SDK для доступа к учетным данным
Развитие также получил программный доступ к учетным данным. В Indeed PAM 3.4 появился Python SDK, который интегрируется в скрипты автоматизации, CI/CD-конвейеры и системы оркестрации, где требуется безопасное получение паролей и SSH-ключей.
Python SDK упрощает включение Indeed PAM в процессы разработки и эксплуатации и снижает необходимость в самописных интеграциях. В результате компании получают более удобный способ использовать привилегированные учетные данные в автоматизации, не жертвуя требованиями к безопасности и централизованному управлению секретами.
Механизм отчетов
В новой версии усовершенствован механизм формирования отчетов по разрешениям, сессиям и событиям. Теперь отчеты создаются в фоновом режиме, поэтому администратору не нужно ждать завершения выгрузки в рабочем окне и откладывать другие задачи.
Готовые отчеты можно скачать в новом разделе «История отчетов» в форматах CSV, XLSX или PDF. Такой подход делает аналитическую работу удобнее, ускоряет подготовку материалов для аудита и помогает администраторам быстрее получать данные для расследования инцидентов и внутренней отчетности.
Гранулированные права для утилиты ConsoleApp
Утилита ConsoleApp теперь поддерживает вход от имени конкретного пользователя Indeed PAM. Это дает возможность применять индивидуальные привилегии, точнее разграничивать права доступа и связывать действия в системе с конкретными сотрудниками. Повышается прозрачность работы с привилегированными операциями и усиливается аудит. При этом вход через сервисную учетную запись остается доступен, поэтому организации могут гибко сочетать персонализированные и сервисные сценарии работы в зависимости от требований внутренней политики безопасности.
Формат логина для SSH-подключений
В Indeed PAM 3.4 администратор PAM может задавать формат логина для локальных и доменных учетных записей при SSH-подключении. Настройка доступна как в разделе конфигурации пользовательских подключений, так и в профиле ресурса, что делает управление подключениями более гибким.
Это особенно актуально для разнородных инфраструктур с различными форматами имен пользователей, например user, DOMAIN\user или UPN. Новая возможность уменьшает количество ошибок при подключении, снижает объем ручных настроек и делает доступ к Linux- и сетевым ресурсам более предсказуемым для пользователей и администраторов.
SSH-подключения без PTY
Появилась возможность выполнять SSH-подключения без выделения псевдотерминала. Это позволяет использовать SSH в неинтерактивном режиме, что особенно важно для сценариев автоматизации, пакетного выполнения команд и интеграции с внешними инструментами.
Кроме того, новая возможность упрощает работу с сетевыми устройствами и другими системами, которые не поддерживают PTY. В результате PAM становится удобнее использовать не только для классического администрирования, но и как часть автоматизированных эксплуатационных процессов.
Сервер доступа в деталях сессий и событий
В деталях сессий и событий Indeed PAM теперь отображается информация о сервере доступа, через который была открыта сессия. Это дает администраторам больше контекста при анализе подключений и помогает быстрее понимать, через какой узел прошел доступ пользователя.
Нововведение особенно полезно для инфраструктур с балансировщиками нагрузки и несколькими серверами доступа. При возникновении ошибок или подозрительной активности администратор может быстрее локализовать проблемный участок конфигурации и сократить время на диагностику и расследование.
«Развивая Indeed PAM, мы уделяем особое внимание тому, чтобы наш продукт был не только надежным инструментом для защиты привилегированного доступа, но и удобным для внедрения в корпоративную среду. Именно поэтому в версии 3.4 мы внесли ряд значимых функциональных обновлений, которые упрощают интеграцию продукта в существующий ИТ-ландшафт, расширяют возможности аутентификации и позволяют безопасно использовать Indeed PAM при разработке и в сценариях автоматизации. В результате заказчики могут быстрее адаптировать систему под свою инфраструктуру, снизить нагрузку на администраторов, сохранить прозрачность работы с привилегированными учетными данными и сохранять полный контроль над доступом к критически важным ресурсам».
Михаил Елычев, руководитель продукта Indeed PAM в компании «Индид».
