Удаленный доступ
администраторов
к корпоративным ресурсам

Решение на основе Indeed PAM организует управляемый удаленный доступ к корпоративным ресурсам

Запланировать демонстрацию

Описание решения

Сегодня уже никого не удивить переводом сотрудников на удаленную работу. При этом исходные причины удаленной работы могут быть разные:

  • Сокращение затрат на офис
  • Работа с сотрудниками из других стран и регионов
  • Работа сотрудников в период болезни
  • Удаленная работа в командировке
  • Удаленные администраторы и подрядчики
  • И т.д.

Основные риски информационной безопасности при удаленной работе связаны со следующими факторами:

  • Низкий уровень защищенности личного устройства сотрудника
  • Низкий уровень защищенности сетевого окружения рабочего места сотрудника (независимо, личное это устройство или нет)
  • Неконтролируемые подключения к ресурсам со смартфонов и планшетов
  • Рабочие станции, обслуживающих критичные процессы, имеют прямой доступ в интернет
  • Невозможность или высокая сложность применения корпоративных средств защиты на уровне сети (включая выявление аномалий)
  • Открытие доступа извне к критичным ресурсам организации
  • Изменение архитектуры сетевого взаимодействия для предоставления доступа к рабочим ресурсам в краткие сроки, что часто не предусматривает моделирование угроз
  • Чрезмерные полномочия, выдаваемые сотрудникам

Должностные обязанности удалённых сотрудников и способы подключения могут быть абсолютно разные, при этом , часть полномочий может быть временно отозвана.

К примеру, сотрудник из бухгалтерии находится на больничном, но ему необходимо провести транзакцию или внести данные в финансовые приложения. Нет необходимости давать ему доступ ко всему рабочему пространству. (на определенный срок ) только к финансовому приложению. Он сделает свою работу , после чего доступ можно будет отозвать.

Обычно при организации удаленного доступа в инфраструктуре компании нужно перенастроить сетевое оборудование, VPN-шлюзы и межсетевые экраны. Если организация удаленного доступа происходит планово, имеется время для моделирования угроз и проработки потенциальных рисков организации такого доступа.

В случае, когда удаленный доступ предоставляется временно или в условиях спешки (например, нужно срочно подключиться к удаленному рабочему столу со стороны администратора), проработка рисков не проводится. Даже при плановой организации удаленного доступа полномочия сотрудников редко оптимизируются/корректируются.

Отдельной задачей является организация временного доступа, доступа по расписанию и доступа по согласованию. Ситуация усложняется, когда все эти правила должны применяться одновременно, например, прямой доступ в рабочее время и доступ по согласованию (после явного одобрения) в нерабочее время для одного и того же сотрудника.

Наличие проблем с оперативным развертыванием и защитой удаленного доступа, в особенности для привилегированных пользователей, создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит существенно улучшить качество имеющегося процесса управления удаленным доступом.

В целях повышения эффективности системы управления доступом в части защиты удаленной работы необходимо использовать PAM-систему, которая позволяет оперативно предоставить доступ заданным категориям сотрудников.

Архитектурно Indeed Privileged Access Manager представляет собой промежуточный сервер (jump-сервер), на который удаленным сотрудникам необходимо явно подключиться для последующей работы. Использование jump-сервера позволит избежать:

  • необходимости настройки сетевого взаимодействия на разных устройствах
  • установки дополнительного ПО на целевые рабочие станции
  • корректировки выданных полномочий привилегированным пользователям и рядовым сотрудникам

В общей сложности, Indeed PAM предоставляет следующие функциональные возможности для предоставления удаленного доступа:

  • Единая точка удаленного подключения
  • Политики управления доступа по принципу "что явно не разрешено - запрещено"
  • Доступ по времени и согласованию
  • Двухфакторная аутентификация для дополнительной защиты
  • Точечные настройки разрешенных целевых ресурсов для каждого пользователя индивидуально
  • И т.д.

Указанные возможности позволяют оперативно предоставить удаленный доступ практически к ресурсу любого типа для разных групп пользователей, что особенно актуально в непредвиденных и сложных ситуациях.

удаленный доступ привилегированных пользователей

Единая точка удаленного подключения

Архитектурно PAM система представляет собой выделенную группу серверов, куда подключаются удаленные пользователи для последующей работы с целевыми ресурсами. Причем интерфейсы для подключения PAM могут находится в демилитаризованной зоне (ДМЗ) корпоративной сети, а интерфейс для администрирования - в ином сегменте сети.

В отличие от сетевого оборудования, межсетевых экранов и Next-Generation Firewall (NGFW), подключение происходит сначала на сервера PAM-системы и только потом на целевой ресурс. Такой способ подключения позволяет вводить дополнительные меры контроля и фиксации событий при удаленной работе. Более того, для последующего подключения к целевому ресурсу пользователь должен быть явно заведен в PAM-систему и иметь права доступа к заранее ограниченному перечню ресурсов

При этом управлением PAM-системой занимается офицер информационной безопасности, а не администратор сети, что исключает возможность несанкционированного предоставления удаленного доступа не уполномоченным на это сотрудником.

Подключение происходит либо по протоколу RDP, либо по протоколу SSH. Что позволяет максимально ограничить сетевой трафик для доступа к PAM-системе извне.

Платформа PAM может использоваться не только для организации планового удаленного доступа пользователей, но и для оперативного развертывания временного удаленного доступа. Включая предоставление доступа для непривилегированных пользователей.

Двухфакторная аутентификация

Платформа Indeed PAM поддерживает "из коробки" 2FA по одноразовым паролям, присылаемым на телефон пользователя. Это позволяет нейтрализовать угрозу кражи пароля, когда сотруднику легально настроен удаленный доступ.

Даже в случае кражи пароля злоумышленник не сможет подключиться к целевому ресурсу, не имея телефона, куда приходят одноразовые пароли. Сотрудник заметит потерю телефона и уведомит об этом администратора безопасности, после чего отправка одноразовых паролей может быть переключена на другой телефон.

Дополнительное преимущество 2FA направлено против внутренних злоумышленников (инсайдеров). При удаленном подключении злоумышленник может украсть информацию или нарушить работу сервиса, притворившись жертвой после обнаружения. А использование 2FA будет служить аргументом против “отказа от авторства” деструктивных действий. Инсайдеру придётся признать, что действия осуществлены им, либо с его молчаливого согласия (если был украден телефон, а он своевременно не сообщил об этом администратору безопасности).

Политики управления доступом

Единые политики управления доступом Indeed PAM позволяют избежать необходимости дополнительной настройки различного сетевого оборудования или целевых ресурсов. Они позволяют оперативно предоставить доступ к практически к любому доступному ресурсу для любого привилегированного пользователя из одной консоли.

Кроме непосредственной настройки доступа вида "пользователь-ресурс" политики управления доступом позволяют настроить:

  • Протокол доступа, либо целевое приложение;
  • Разрешенное время доступа;
  • Необходимость согласования при подключении;
  • Параметры контроля и записи сессий;
  • Предоставляемые для подключения привилегированные учетные записи
  • И т.д.

Все указанные настройки осуществляются на одном решении в одной консоли, что выгодно отличает Indeed PAM от других решений управления доступом к целевым ресурсам.

Доступ по расписанию и временный доступ

Программный комплекс Indeed PAM позволяет настраивать доступ к целевым серверам и приложениям по расписанию (к примеру, с 9:00 до 18:00). А также организовывать временный доступ (действующий до определенной даты).

Подобные правила доступа присутствуют и в сетевом оборудовании (правила фильтрации трафика по времени), однако они не позволяют использовать иные механизмы управления доступом и, зачастую, ограничены действием (фильтрация осуществляется на уровне "узел-узел").

С помощью PAM можно настраивать доступ по расписанию, а также временный доступ с помощью правила вида “пользователь-сервер” или “пользователь-ресурс”. ресурсом может выступать не только целевой сервер, но и целевое приложение.

Присутствует возможность интеграции через API с системой обработки заявок (Service Desk), что позволяет автоматически формировать правила доступа по расписанию.

Доступ по согласованию

Indeed PAM поддерживает механизм согласования доступа администратором или владельцем ресурса.

При использовании сетевого оборудования такой доступ можно организовать только в “ручном режиме” с привлечением дополнительных специалистов. Нет гарантий, что созданные “временные” правила будут отключены по истечении необходимости.

Этот механизм может быть использован, когда привилегированному пользователю нужно оперативно подключиться к критическому ресурсу в неурочное время (к примеру, в случае сбоя). В случае использования PAM сотруднику достаточно указать причину подключения, что будет зафиксировано в Журнале событий.

Иная ситуация касается подключения к критическому ресурсу в любое время, но только после явного одобрения. Любые работы должны проводиться на основании соответствующей заявки, однако расписание подключения сформировать проблематично (например , если подключение возможно только при низкой нагрузке на сервер, а нагрузка - величина динамическая).

Доступ по специализированным протоколам

Посредством серверов доступа Indeed PAM возможно настроить доступ к целевым серверам по различных протоколам удаленного подключения и администрирования.

Indeed PAM "из коробки" поддерживает следующие распространенные протоколы удаленного подключения:

  • RDP (удалённое подключение к рабочему столу);
  • SSH (текстовая консоль);
  • HTTP(веб-интерфейс).

Если требуется поддержка какого-либо специализированного проприетарного протокола , возможна публикация соответствующего приложения (тонкого клиента) на встроенном терминальном сервере, подключение к этому приложению и последующая работа через него на целевом ресурсе. Примечательно, что можно опубликовать устаревшие и самописные приложения, а значит возможна поддержка соответствующих редких проприетарных протоколов, что практически неосуществимо в ином случае.

Функциональные возможности Indeed PAM позволяют организовать контролируемые и защищенные удаленные подключения к практически любым категориям целевых ресурсов для любых категорий пользователей.

Терминальный доступ к приложениям

Одним из компонентов Indeed PAM является выделенный сервер доступа на базе терминального сервера Microsoft RDS.

С помощью данного терминального сервера возможна не только поддержка дополнительных проприетарных и редких протоколов удаленной работы, но и непосредственная публикация корпоративных приложений.

Данный функционал может быть полезен, когда требуется удаленная работа с критичными приложениями, не связанными с администрированием и управлением компонентами ИТ-инфраструктуры (финансовые приложения, электронный документооборот). Indeed PAM позволяет настроить расписание работы с такими приложениями, требовать явного согласования доступа со стороны администратора или иного лица.

Минимизация полномочий

При организации контролируемого и защищенного удаленного доступа посредством Indeed PAM может быть достаточно предоставления сотруднику прав доступа только к определенному приложению, а не ко всей рабочей станции или серверу. Это реализует минимизацию полномочий и позволяет снизить вероятность некорректных и деструктивных действий на целевом сервере.

То же касается временного доступа, подключений по расписанию или по согласованию, а также контроля вводимых команд. эти правила могут распространяться только на удаленную работу. Работая локально, сотрудник будет обладать всеми полномочиями.

При использовании функциональных возможностей Indeed PAM можно существенно снизить количество условий, когда необходимо править полномочия учётных записей пользователей в домене или в корпоративном приложении. Это позволяет сэкономить время и снизить вероятность ошибок при изменении полномочий.

Поддерживаемые протоколы:

  • RDP;
  • SSH;
  • HTTP(s);

Любые иные проприетарные протоколы с помощью публикации соответствующих приложений.

Дополнительные опции управления доступом:

  • Временный доступ;
  • Доступ по расписанию;
  • Доступ по согласованию;
  • Используемые привилегированные учетные записи для удаленного доступа;
  • Управление доступом к группам ресурсов.

Поддерживаемые каталоги пользователей:

  • Active Directory.
  • Технологии двухфакторной аутентификации:
  • Пароль + TOTP (одноразовый пароль - программный генератор);

Технологии удаленного доступа:

  • RemoteApp (Microsoft Remote Desktop Server);
  • SSH Proxy.

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Павел Голубничий

Эксперт по продукту Indeed PAM

Дмитрий Игнатьев

Эксперт по продукту Indeed PAM

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями

другие решения