Удаленный доступ
привилегированных
пользователей

Получить решение

Описание решения

Сегодня уже никого не удивить переводом сотрудников на удаленную работу. При этом исходные причины удаленной работы могут быть разные:

  • Сокращение затрат на офис;
  • Работа с сотрудниками из других стран и регионов;
  • Работа сотрудников в период болезни;
  • Удаленная работа в командировке;
  • Удаленные администраторы и подрядчики;
  • И т.д.

Основные риски информационной безопасности при удаленной работе связаны со следующими факторами:

  • Низкий уровень защищенности личного устройства сотрудника;
  • Низкий уровень защищенности сетевого окружения рабочего места сотрудника (независимо, личное это устройство или нет);
  • Подключение к ресурсам со смартфонов и планшетов;
  • В ряде случаев критичным может быть наличие доступа в интернет с рабочей станции сотрудника;
  • Невозможность или высокая сложность применения корпоративных средств защиты на уровне сети (включая выявление аномалий);
  • Открытие доступа извне к критичным ресурсам организации;
  • Изменение архитектуры сетевого взаимодействия, чтобы дать доступ к рабочим ресурсам в краткие сроки, что часто не предусматривает моделирование угроз;
  • По умолчанию, сотрудникам часто выданы чрезмерные полномочия.

При этом, должностные обязанности удалённых сотрудников и способы подключения могут быть абсолютно разные, не говоря уже о том, что, при удаленной работе, часть полномочий может быть временно отозвана.

К примеру, сотрудник из бухгалтерии находится на больничном, но ему необходимо провести некоторый платеж или внести данные в финансовые приложения. Очевидно, что давать ему доступ ко всему его рабочему пространству, - чрезмерно. Логично было бы дать ему временный доступ (на определенное рабочее время) только к финансовому приложению. Он сделает свою работу и потом этот доступ можно отозвать.

Обычно, при организации удаленного доступа в инфраструктуру компании нужно перенастроить сетевое оборудование, VPN-шлюзы и межсетевые экраны. В случае, когда организация удаленного доступа происходит планово, имеется время для моделирования угроз и проработки потенциальных рисков организации такого доступа.

В случае же, когда удаленный доступ предоставляется временно или в условиях спешки (например - когда срочно нужно подключиться к удаленному рабочему столу со стороны администратора), проработка рисков не проводится. Не говоря уже о том, что даже при плановой организации удаленного доступа, полномочия сотрудников редко оптимизируются/корректируются и удаленному сотруднику, фактически, выдаются те же самые права, какие у него были ранее.

Отдельной трудоемкой задачей является организация временного доступа, доступа по расписанию и доступа по согласованию. В особенности, когда все эти правила должны применяться одновременно, к примеру - прямой доступ в рабочее время и доступ по согласованию (после явного одобрения) в нерабочее время для одного и того же сотрудника.

Наличие проблем с оперативным развертыванием и защиты удаленного доступа, в особенности для привилегированных пользователей, создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит существенно улучшить качество имеющегося процесса управления удаленным доступом.

C целью повышение эффективности системы управления доступом в части защиты удаленной работы, необходимо использовать PAM-систему, которая позволяет оперативно предоставить доступ заданным категориям сотрудников

Архитектурно Indeed Privileged Access Manager представляет собой промежуточный сервер (jump-сервер), на который удаленным сотрудникам необходимо явно подключиться для последующей работы. Использование jump-сервера позволит избежать:

  • необходимости настройки сетевого взаимодействия на разных устройствах;
  • установки дополнительного ПО на целевые рабочие станции;
  • корректировки выданных полномочий привилегированным пользователям и рядовым сотрудникам.

В общей сложности, Indeed PAM предоставляет следующие функциональные возможности для предоставления удаленного доступа:

  • Единая точка удаленного подключения;
  • Политики управления доступа по принципу "что явно не разрешено - запрещено";
  • Доступ по времени и согласованию;
  • Двухфакторная аутентификация для дополнительной защиты;
  • Точечные настройки разрешенных целевых ресурсов для каждого пользователя индивидуально;
  • И т.д.

Указанные возможности позволяют оперативно предоставить удаленный доступ практически к ресурсу любого типа для разных групп пользователей, что особенно актуально в непредвиденных и сложных ситуациях.

Единая точка удаленного подключения

Архитектурно PAM система представляет собой выделенную группу серверов, куда подключаются удаленные пользователи для последующей работы с целевыми ресурсами. Причем, интерфейсы для подключения PAM могут находится в демилитаризованной зоне (ДМЗ) корпоративной сети. А интерфейс для администрирования - в ином сегменте сети.

В отличие от сетевого оборудования, межсетевых экранов и Next-Generation Firewall (NGFW) подключение происходит сначала на сервера PAM-системы и только потом на целевой ресурс. Такой способ подключения позволяет вводить дополнительные меры контроля и фиксации событий при удаленной работе. Более того, для последующего подключения к целевому ресурсу пользователь должен быть явно заведен в PAM-систему и ему должны быть назначены права доступа к заранее ограниченному перечню ресурсов

При этом, администрированием PAM-системы занимается администратор информационной безопасности, а не администратор сети, что исключает возможность несанкционированного предоставления удаленного доступа не уполномоченным на это сотрудником.

Подключение происходит либо по протоколу RDP, либо по протоколу SSH. Что позволяет максимально ограничить сетевой трафик для доступа к PAM-системе из вне.

Исходя из изложенного, платформа PAM может использоваться не только для организации планового удаленного доступа пользователей, но и для оперативного развертывания временного удаленного доступа. Включая предоставление доступа для непривилегированных пользователей.

Двухфакторная аутентификация

Платформа Indeed PAM поддерживает "из коробки" 2FA по одноразовым паролям, присылаемым на телефон пользователя. Это позволяет нейтрализовать угрозу кражи пароля, когда сотруднику легально настроен удаленный доступ.

Даже в случае кражи пароля, злоумышленник не сможет подключиться к целевому ресурсу не имея телефона, куда приходят одноразовые пароли. В случае потери телефона - сотрудник это явно заметит, о чем он уведомит администраторов безопасности. После чего отправка одноразовых паролей может быть переключена на другой телефон.

Дополнительное преимущество 2FA направлено против внутренних злоумышленников (инсайдеров). Они, при удаленном подключении, могут украсть информацию или нарушить работу какого-либо сервиса, а потом, после обнаружения, будут утверждать, что у них украли пароли и они тоже "жертвы". В свою очередь, использование 2FA будет служить аргументом против "отказа от авторства" деструктивных действий. Инсайдеру придётся признать, что действия осуществлены именно им, либо с его молчаливого согласия, если был украден телефон, а он не сообщил своевременно об этом администратору безопасности.

Политики управления доступом

Единые политики управления доступом Indeed PAM позволяют избежать необходимость дополнительной настройки различного сетевого оборудования, политик на целевых ресурсов и оперативно предоставить доступ к практически к любому доступному целевому ресурсу для любого привилегированного пользователя из одной консоли.

Кроме непосредственной настройки доступа вида "пользователь-ресурс" политики управления доступом позволяют настроить:

  • Протокол доступа, либо целевое приложение;
  • Разрешенное время доступа;
  • Необходимость согласования при подключении;
  • Параметры контроля и записи сессий;
  • Предоставляемые для подключения привилегированные учетные записи
  • И т.д.

Все указанные настройки осуществляются на одном решении в одной консоли, что выгодно отличает Indeed PAM от других решений управления доступом к целевым ресурсам.

Доступ по расписанию и временный доступ

Программный комплекс Indeed PAM позволяет настраивать доступ к целевым серверам и приложениям по расписанию (к примеру, с 9:00 до 18:00). А также организовывать временный доступ (действующий до определенной даты).

Подобные правила доступа присутствуют и в сетевом оборудовании (правила фильтрации трафика по времени), однако они не позволяют использовать иные механизмы управления доступом и, зачастую, ограничены действием (фильтрация осуществляется на уровне "узел-узел").

С помощью PAM можно настраивать доступ по расписанию и временный доступ с помощью правила вида "пользователь-сервер" или "пользователь-ресурс". А ресурсом может выступать не только целевой сервер, но и целевое приложение.

Присутствует возможность интеграции через API с системой обработки заявок (Service Desk), что позволяет формировать автоматически правила доступа по расписанию.

Доступ по согласованию

Indeed PAM поддерживает механизм согласования доступа администратором или владельцем ресурса.

При использовании сетевого оборудования такой доступ можно организовать только в "ручном режиме" с привлечением дополнительных специалистов. И нет гарантий, что созданные "временные" правила будет отключены после того, как в них отпадет необходимость.

Этот механизм может быть использован, когда привилегированному пользователю нужно оперативно подключиться к критическому ресурсу в неурочное время (к примеру, в случае сбоя). В случае использования PAM сотруднику просто достаточно указать причину подключения, что будет зафиксировано в Журнале событий.

Иная ситуация, которая касается подключения к критическому ресурсу в любое время, но только после явного одобрения. Любые работы должны проводиться на основании соответствующей заявки, однако, расписание подключения сформировать проблематично (к примеру, если подключение возможно только при низкой нагрузке на сервер, а нагрузка - величина динамическая).

Доступ по специализированным протоколам

Посредством серверов доступа Indeed PAM возможно настроить доступ к целевым серверам по различных протоколам удаленного подключения и администрирования.

Indeed PAM "из коробки" поддерживает следующие распространенные протоколы удаленного подключения:

  • RDP (удалённое подключение к рабочему столу);
  • SSH (текстовая консоль);
  • HTTP(веб-интерфейс).

В случае же когда требуется поддержка какого-либо специализированного проприетарного протокола - возможна публикация соответствующего приложения (тонкого клиента) на встроенном терминальном сервере, подключение к этому приложению и последующая работа через него на целевом ресурсе. Что примечательно, возможна публикация устаревших и самописных приложений, а, значит, возможна поддержка соответствующих редки проприетарных протоколов, что практически невозможно в ином случае.

Функциональные возможности Indeed PAM позволяют организовать контролируемые и защищенные удаленные подключения к практически любым категориям целевых ресурсов для любых категорий пользователей.

Терминальный доступ к приложениям

Одним из компонентов Indeed PAM является выделенный сервер доступа на базе терминального сервера Microsoft RDS.

С помощью данного терминального сервера возможна не только поддержка дополнительных проприетарных и редких протоколов удаленной работы, но и непосредственная публикация корпоративных приложений.

Данный функционал может быть полезен, когда требуется удаленная работа с критичными приложениями, не связанными с администрированием и управлением компонентами ИТ-инфраструктуры (финансовые приложения, электронный документооборот). В частности, Indeed PAM позволяет настроить расписание работы с такими приложениями, требовать явного согласования доступа со стороны администратора или иного лица.

Минимизация полномочий

При организации контролируемого и защищенного удаленного доступа посредством Indeed PAM может быть достаточно предоставления сотруднику прав доступа только к определенному приложению, а не ко всей рабочей станции или серверу. Что фактически реализует минимизацию полномочий и позволяет снизить вероятность некорректных и деструктивных действий на целевом сервере.

Это же касается временного доступа, подключений по расписанию или по согласованию, а также контроля вводимых команд. Причем, эти правила могут распространяться только на удаленную работу. А в случае локальной работы сотрудник будет обладать всеми полномочиями.

При использовании функциональных возможностей Indeed PAM можно существенно снизить количество условий, когда необходимо править полномочия учётных записей пользователей в домене или в корпоративном приложении. Что, в свою очередь, позволяет сэкономить время и снизить вероятность ошибок при изменении полномочий.

Поддерживаемые протоколы:

  • RDP;
  • SSH;
  • HTTP(s);

Любые иные проприетарные протоколы с помощью публикации соответствующих приложений.

Дополнительные опции управления доступом:

  • Временный доступ;
  • Доступ по расписанию;
  • Доступ по согласованию;
  • Используемые привилегированные учетные записи для удаленного доступа;
  • Управление доступом к группам ресурсов.

Поддерживаемые каталоги пользователей:

  • Active Directory.
  • Технологии двухфакторной аутентификации:
  • Пароль + TOTP (одноразовый пароль - программный генератор);

Технологии удаленного доступа:

  • RemoteApp (Microsoft Remote Desktop Server);
  • SSH Proxy.

отзывы клиентов

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями

другие решения