Обновление Indeed Privileged Access Manager (Indeed PAM) – версия 2.3

В новой версии Indeed Privileged Access Manager мы продолжили наращивать функциональность решения. В Indeed PAM добавлены важные функции по контролю доступа, расширены возможности по управлению сессиями пользователей, а также улучшен пользовательский опыт в ряде сценариев. Подробнее об этих и других дополнениях в Indeed PAM версии 2.3 читайте ниже.

Разрешенные и запрещенные команды SSH

В версии 2.3 появилась возможность настраивать списки разрешенных и запрещенных команд для выполнения в сессиях SSH. Данная функция позволяет использовать проактивную защиту и снизить риск несанкционированных изменений в информационных системах. Администратор в настройках политик PAM задает, какие команды считать разрешенными, а какие — запрещенными. 

Администратору доступны оба варианта конфигурации списков:

  1. Запретить все, разрешить только некоторые команды.
  2. Разрешить все, запретить только некоторые команды.

Для запрещенных команд можно задать желаемое поведение:

  1. Завершить сессию.
  2. Прервать выполнение команды без завершения сессии.

Также администратор PAM может получать почтовое уведомление в случае ввода запрещенной команды.

Подтверждение открытия сессии администратором РАМ

Для работы подрядчиков или сотрудников компании в системах, жизненно важных для бизнеса могут потребоваться подключения к инфраструктуре компании, в которых администратор PAM должен подтверждать (одобрять) открытие каждой сессии. В Indeed PAM 2.3 добавлена опция “Открытие сессии требует подтверждения администратором PAM”. При включении этой опции ресурс будет доступен пользователю только после получения разрешения администратора на это подключение.

Запросы сессий

Все запросы на подключение собраны в новом разделе в консоли управления. В нем администратор может просмотреть все запросы, чтобы подтвердить или отклонить их. Кроме этого, администратор PAM может получать почтовое уведомление каждый раз, когда появляется подключение, требующее подтверждения.

Подключение через SSH Proxy напрямую к конечному ресурсу

В SSH Proxy добавлен новый режим подключения: теперь в строке подключения можно сразу указать имя ресурса и учетной записи, которые нужно использовать для открытия сессии. Это позволяет сразу открывать сессию, пропуская экран выбора подключения. Пример такой строки подключения:


ssh [user-name]#[resource]#[account-name]#[reason]@[proxy-address]


ssh Victor.Osipov#192.168.1.34#root#”Сервисноеобслуживание”@IPAMSSHProxy.indeed-id.local,


где:

Victor.Osipov — имя пользователя PAM,
192.168.1.34 — адрес ресурса, куда необходимо выполнить подключение,
root — имя учетной записи, от имени которой нужно подключаться на конечный ресурс,
Причина подключения,
IPAMSSHProxy.indeed-id.local — адреса Indeed PAM SSH Proxy.

Работа с несколькими коллекциями приложений RDS

Indeed Privileged Access Manager версии 2.3 умеет работать с несколькими коллекциями Remote Desktop Services, при этом имя коллекции теперь можно указать в настройках политики. Эта функция позволяет использовать одну инсталляцию PAM для нескольких филиалов или сегментов сети компании: для каждого филиала или сегмента разворачиваются собственные сервера RDS с отдельной коллекцией. В зависимости от учетной записи подключение перенаправляется на соответствующие сервера (коллекцию). Таким образом, для оптимизации трафика, подключение пользователей можно обеспечить через ближайшие (локальные) сервера (пользователи сегмента 1 подключаются к серверам сегмента 1 и т.п.).

Более одной политики сессий для пользовательских УЗ

В новой версии программного комплекса можно использовать разные политики для случая подключений под пользовательской учетной записью. Теперь можно разделить настройки записей сессий в зависимости от категории пользователей, например, включить только снятие скриншотов для рядовых пользователей и полную видеозапись для администраторов.

Фиксированные IP адреса пользователя в данных сессии

В свойствах сессии теперь сохраняется IP адрес ПК, с которого происходило подключение пользователя к серверу PAM. Также доступен поиск по этому адресу в репозитории сессий. Это дает дополнительный инструмент контроля и расследования инцидентов администраторами PAM.

Фильтрация сессий по IP пользователя

Отображение адреса подключения в консоли пользователя и SSH Proxy

Для удобства пользователей в списке доступных для подключения ресурсов в консоли и SSH Proxy теперь выводится адрес, который будет использован для доступа к ресурсу. Теперь пользователи смогут быстро сориентироваться и выбрать нужный ресурс для работы.

Адрес подключения в Indeed PAM User Console
Адрес подключения в Indeed PAM SSH Proxy

Фильтр по типу сервисного подключения на странице ресурсов

Для удобного поиска по ресурсам в консоль администратора PAM на странице ресурсов добавлен фильтр по типу сервисного подключения. Это облегчает поиск нужных ресурсов, например, так можно легко найти подключения к СУБД или веб конфигуратору сетевого оборудования.


Читайте также о внедрении Indeed PAM в СТС Медиа.

Читайте также