Двухфакторная аутентификация администраторов

Защита доступа к привилегированным сессиям для SSH и RDP подключений

Indeed Privileged Access Manager

Решения класса Privileged Access Management позволяют исключить явное использование паролей привилегированных учетных записей и гранулярно выдавать права администраторам на использование таких паролей на конкретных ресурсах. Другая проблема, которую требуются решить в части предоставления привилегированного доступа - надежная аутентификация администраторов. Перед тем, как администратор получит доступ к сессии с повышенными привилегиями, он должен быть однозначно аутентифицирован. Эту задачу решает двухфакторная аутентификация пользователей PAM.

Описание задачи

В общем виде задачу аутентификации в PAM можно сформулировать следующим образом: необходимо обеспечить возможность мультифакторной аутентификации пользователей перед предоставлением им привилегированного доступа.

Решение

Для решения описанной задачи в программном комплексе Indeed Privileged Access Manager (Indeed PAM) применяется сервер аутентификации. Сервер аутентификации Indeed PAM обладает следующими характеристиками.

Аутентификация пользователей PAM

    • Двухфакторная аутентификация пользователей с применением пароля и OTP (One-Time Password)
    • Возможность интеграции с Indeed Access Manager для делегирования процедуры аутентификации пользователей.

Ниже приведена общая архитектурная схема Indeed PAM для решения задачи аутентификации.

Архитектурная схема  аутентификации Indeed PAM

Решение задачи управления паролями в Indeed PAM обеспечивают следующие модули.

Indeed PAM Server

Центральный компонент инфраструктуры Indeed PAM. Представляет собой web-приложение, работающее на сервере Internet Information Services (IIS). Indeed PAM сервер обеспечивает централизованное управление пользователями системы, учетными данными и политиками доступа.

Сервер аутентификации

Сервер предоставляет другим компонентам решения (консоли пользователя и серверу доступа) сервис двухфакторной аутентификации пользователей. Также сервер аутентификации реализует пользовательский интерфейс аутентификации и регистрации аутентификационных данных.

Сервер доступа

Сервер доступа является центральным звеном в схеме получения привилегированного доступа. Сервер обеспечивает соблюдение политик доступа, открывает административную сессию на целевом ресурсе и ведет текстовую и видео запись сессий.

Консоль пользователя

В консоли пользователя сотрудники могут просмотреть доступные им учетные записи и ресурсы, а также запустить из консоли привилегированную сессию. Консоль пользователя выполнена в виде web-приложения.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»