ARinteg.ru
  • Москва
  • Санкт-Петербург
  • Екатеринбург
  • Ереван
  • +7 (495) 221 21 41
  • +7 (812) 407 34 71
  • +7 (343) 247 83 68
  • +374 (60) 28 00 03
facebook home mail site-map

Создание системы управления привилегированными учётными записями

Современное предприятие отличается разнородной ИТ-инфраструктурой, характеризующейся многообразием оборудования, различными базами данных, информационными системами, которые обслуживаются с использованием привилегированных учётных записей (например, Root в ОС Li- nux, Administrator в ОС Microsoft Windows) как внутренними администраторами, так и внешними пользователями. Бесконтрольное использование таких учётных записей, в частности, отсутствие регулярной смены паролей и контроля действий администраторов может привести к инцидентам, связанным со сбоями ОС, средств виртуализации и оборудования, вызванными ошибочными или злонамеренными действиями обслуживающего персонала.

К потенциальным нарушителям можно отнести:

  • Сервисных инженеров и «внедренцев» системных интеграторов;
  • Инженеров служб поддержки;
  • Внешних бизнес-консультантов;
  • Собственных администраторов.

Компания ARinteg оказывает услуги по созданию системы управления привилегированными учетными записями, целью построения которой является минимизация потенциального ущерба в компании Заказчика от злоупотреблений собственных сотрудников, а также третьих лиц, имеющих логический или физический доступ к её информационным системам и оборудованию.

Минимизация ущерба достигается за счёт снижения вероятности несанкци- онированного доступа к информационным системам, неконтролируемого изменения их настроек и обрабатываемой информации, путем применения и реализации парольной политики, а также записи сессий работы пользователей с административными привилегиями.

Данная система строится на базе:

  1. пакета CyberArk Privileged Identity Manager, позволяющего централизованно управлять привилегированными учётными записями организации на протяжении всего их жизненного цикла;
  2. устройства мониторинга активности BalaBit Shell Control Box.
ОПИСАНИЕ РЕШЕНИЯ CyberArk Privileged Account Security Solution

CyberArk Privileged Identity Manager (CyberArk PIM) это обеспечение единой точки входа в систему, исключающей разглашение идентификационной и аутентификационной информации конечным пользователям (администраторам) систем и устройств. CyberArk PIM исключает инсайдерскую деятельность, а также внешнюю хакерскую активность, ведущуюся с использованием высоких привилегий в системе.

Компоненты решения CyberArk PIM:

    • Enterprise Password Vault (EPV) – корпоративное хранилище паролей. EPV предоставляет возможность надежно хранить и автоматически менять пароли и логины, а также сохранять полные записи действий с идентификационными данными привилегированных учётных записей. EPV характеризуется высокой масштабируемостью и интегрируемостью с любыми информационными системами;
    • Application Identity Manager (AIM) – средство управления учётными записями приложений. AIM – это решение для управления логинами и паролями, предназначенными для авторизации в приложениях, скриптах, автоматизирующих работу администратора, и конфигурационных файлах. AIM обеспечивает защиту аутентификационной информации, позволяя хранить, управлять и проводить аудит действий с этими крайне чувствительными данными;
    • Privileged Session Manager (PSM) – инструмент для централизованного управления привилегированными сессиями. PSM позволяет контролировать привилегированный доступ к важным системам и устройствам, обеспечивая мониторинг всех привилегированных сессий, полную видимость всех привилегированных действий и поведения администраторов, а также анализ и оповещения о значимых событиях.
      cyberarc.jpg
      Архитектура CyberArk PIM.

      Результаты:
       
        • Обеспечение надежного контроля доступа обслуживающих организаций к важным информационным системам и оборудованию;
        • Обеспечение аудита действий собственных администраторов и снижение угроз, связанных с действиями внутренних злоумышленников;
        • Минимизация угроз внешних атак, ведущихся с повышением привилегий;
        • Оптимизация процессов администрирования, повышение производительности труда и ответственности ИТ-персонала;
        • Соответствие требованиям PCI DSS, СТО БР ИББС и других стандартов по обязательной регистрации действий привилегированных пользователей.

        cyberarc1.jpg

        Поддерживаемые устройства.


        ОПИСАНИЕ ПРОДУКТА BalaBit Shell Control Box

        ShellControlBox(SCB) — это устройство мониторинга активности, которое контролирует доступ к удаленным серверам, виртуальным рабочим столам или сетевым устройствам и записывает активность пользователей, которые получают доступ к этим системам. Например, оно записывает операции настройки серверов баз данных, которые выполняются системными администраторами. Записанные аудит-трейлы можно воспроизвести как фильм, чтобы просмотреть события в хронологическом порядке. Содержимое аудит- трейлов проиндексировано, что позволяет искать события и автоматически создавать отчеты. SCB особенно хорошо подходит для наблюдения за доступом привилегированных пользователей согласно требованиям регуляторов, например PCI DSS. Это внешнее устройство, которое полностью прозрачно и независимо от клиентов и серверов. Нет необходимости изменять серверные и клиентские приложения; SCB легко интегрируется в существующую инфраструктуру.

        SCB протоколирует весь административный трафик (в том числе изменения конфигурации, выполненные команды и т. д.) в аудит-трейлы. Все данные хранятся в зашифрованных, подписанных файлах с меткой времени, что защищает их от любых модификаций и манипуляций. При возникновении каких-либо проблем (неправильная настройка сервера, манипуляции с базой данных, непредвиденное завершение работы) информация о них сразу же становится доступной в аудит-трейлах, что позволяет легко выяснить причину инцидента. Чтобы защитить конфиденциальную информацию при обмене данными, можно разграничить два направления трафика (от клиента к серверу и от сервера к клиенту) и зашифровать их разными ключами. Таким образом, конфиденциальная информация (например, пароли) отображается только при необходимости.

        balabit.jpg


        ОБЛАСТИ ПРИМЕНЕНИЯ

        Внешние или внутренние аудиты

        Некоторые регуляторные акты (например, PCI DSS, ISO27000, COBIT и т. д.) обязывают компании вести логи доступа к определенным данным. В последнее время такая необходимость возникла в связи с тем, что большие объемы данных бизнеса существуют исключительно в электронной форме, что дает возможность их противоправного использования. Законы и стандарты предписывают внедрение такой системы, которая не позволяет изменять финансовую информацию без записи логов и таким образом защищает интересы инвесторов, кредиторов, клиентов и государства. Кроме того, имеются сложности с соблюдением установленных внутренних политик в отделе ИТ: технически подкованные системные администраторы могут обойти их. Независимое устройство мониторинга активности обеспечивает более высокий уровень контроля в компании, что позволяет не допустить обход политики компании со стороны системных администраторов.

        Мониторинг привилегированных пользователей

        В компании множество неизвестных привилегированных пользователей, например системные администраторы и пользователи с доступом к конфиденциальному содержимому. В особенности это относится к тем компаниям, в которых используются устаревшие ИТ-системы. Системные администраторы — наиболее осведомленные пользователи в среде ИТ. Поэтому чтобы отследить их активность, необходимо точно знать, для чего они используют свои права доступа. Устройство мониторинга активности делает их работу полностью прозрачной и повышает доверие к ним. При этом повышается степень их ответственности, и, что более важно, с них снимаются подозрения в критических ситуациях. Для администраторов это преимущество является наиболее существенным мотивирующим фактором внедрения этого решения в их организациях.

        balabit1.jpg

        Глубокий контроль доступа

        Контроль сторонних партнеров, которые предоставляют ИТ-услуги

        С одной стороны, предоставление ИТ-услуг сторонними подрядчиками — один из наиболее динамичных трендов ИТ-отрасли. Однако с передачей сторонним подрядчикам процессов, имеющих решающее значение для бизнеса, возникают насущные проблемы с конфиденциальностью и безопасностью. В настоящее время у компаний нет возможности иметь надежный источник логов, из которого можно узнать, какие именно операции на их серверах выполнял системный администратор, работающий по договору подряда. С одной стороны, сохранение записей выполненной работы затруднено, а с другой стороны это позволит снять с субподрядчиков ответственность за ошибки или нарушения. Во многих компаниях численность внешних подрядчиков, оказывающих ИТ- услуги, превышает численность штатного персонала. Их активность практически невозможно проконтролировать при помощи стандартных политик, при этом обязательно нужно отслеживать их действия и контролировать их.

        Мониторинг услуг хостинга/ «облачных» услуг

        От поставщиков услуг хостинга/«облачных» услуг (Cloud & hosting Service Providers, MSP), как от партнеров, ожидается предоставление решений по безопасности и мониторингу, специализированных экспертных знаний и ресурсов для организаций всех размеров. Какое бы действие ни выполнял поставщик услуг на серверах клиента, оно может стать поводом для подозрений. Более того, деятельность поставщиков «облачных» услуг все в большей степени регулируется нормами защиты данных, которые устанавливаются различными организациями и стандартами. SCB контролирует привилегированный доступ к «облачным» центрам обработки данных и записывает действия в защищенные от несанкционированных изменений журналы, обеспечивая достоверные доказательства, которые можно использовать для поиска ответственных лиц и соблюдения требований регулирования.

        balabit_most.jpg

        Режим моста

        Поиск и устранение неисправностей и расследование инцидентов в области ИТ

        При возникновении инцидента все хотят знать реальную картину произошедшего. Анализ логов, в которых информация записана в текстовом виде, может быть чрезвычайно трудоемким и потребовать привлечения сторонних экспертов. Возможность легко воссоздать действия, выполненные в определенный интервал времени, позволяет компаниям сократить время расследования и избежать непредвиденных расходов.

        balabit_marsh.jpg

        Режим маршрутизатора

        Контроль в крупной ИТ-инфраструктуре

        На крупных предприятиях со сложной сегментацией сетей могут работать сотни системных администраторов. Зачастую первоначальные попытки установить, кто имел доступ к той или иной информации, вскоре забываются. Через какое-то время руководители понимают, что все системные администраторы имеют или могут иметь неограниченные права доступа ко всем серверам в компании. Такая ситуация, наряду с полным отсутствием ответственности, может стать существенной проблемой для руководства даже в том случае, если на предприятии работает ведущий системный администратор или два ведущих системных администраторов.

        balabit_bast.jpg

        Режим бастиона

        Защита конфиденциальных данных

        Многие компании хранят личные данные, например информацию о выставленных счетах, данные о проведенных платежах и персональную финансовую информацию, и управляют ими. Доступ пользователей к этим данным должен быть записан в логи и храниться в архивированном виде на протяжении нескольких лет. В случае любого несанкционированного доступа и утечки данных репутации компании может быть нанесен существенный урон.

        balabit_neproz.jpg

        Непрозрачные операции

        Управление пользователями VDI

        Предприятия все больше реализуют инфраструктуры виртуализированных рабочих столов. При этом пользователи работают на локальном компьютере, а все приложения, процессы и данные централизованно используются и хранятся на сервере. Однако множество бизнес-приложений, которые выполняются на этих серверах терминалов, не могут обеспечить достаточную запись логов. Это означает, что проконтролировать активность нескольких сотен или тысяч пользователей «тонких» клиентов практически невозможно. SCB может выполнить аудит протоколов, которые используются в популярных приложениях VDI (например, CITRIX XenDesktop, VMware View), позволяя отследить и записать все действия пользователей независимо от используемого приложения.




        ARinteg.ru
        © Все права защищены 2003-2017 г.
        ООО "АРинтег"
        Политика обработки персональных данных
        qrcode
        pci
        abiss
        НП "АБИСС"
        facebook