Критерии выбора системы управления привилегированными учетными записями

Филипп
Либерман

Президент и CEO, Lieberman Software Corporation

Лев
Смородинский

Д.ф.н., менеджер по научному и бизнес-развитию, Lieberman Software Corporation

Архитектура системы РIМ
В первую очередь система PIM должна меняться вместе с многочисленными изменениями, происходящими в сети вашей организации. Такая система должна автоматически выполнять следующие задачи:

• обнаруживать и защищать все до единого аппаратные и программные ресурсы;
• поддерживать не только ведущие приложения и оборудование, но также старые и собственные программы организации;
• автоматически реагировать на происходящие в сети изменения, в том числе частые модификации систем, сетевых устройств, приложений и пользователей, практически не требуя вмешательства персонала и привлечения специалистов со стороны;
• масштабироваться по мере роста вашей сети, удовлетворяя не только нынешние, но и любые будущие потребности;
• работать без установки на компьютеры своих агентов, чтобы не допускать увеличения нагрузки на вычислительные ресурсы и, как следствие, IT-службу.

Пароли привилегированных учетных записей должны храниться в зашифрованном виде в серверной базе данных (БД). От выбора базы данных зависят производительность и надежность системы PIM. Чем более популярна БД, применяемая в системе, тем ниже затраты на ее администрирование: наличие большого практического опыта и исчерпывающей документации упрощает сотрудникам IТ-службы задачи настройки, защиты и поддержки.

Вам нужна система, поддерживающая кластерную и зеркальную конфигурацию, направленную на повышение коэффициента доступности. Архитектура PIM должна предоставлять возможность переключения на резервную базу данных в случае сбоя и иметь минимум компонентов, отказ которых ведет к отказу всей системы: например, в распределенной среде пользователи должны иметь возможность доступа к паролям, даже если сервер с системой PIM выходит из строя.

Система PIM должна позволять экономически эффективное расширение по мере роста организации - от нескольких отделов до глобальной сети. Выбранное приложение должно быть многопоточным, поскольку иначе справиться с задачей оперативного изменения тысяч паролей в большом парке компьютеров будет сложно.

Обнаружение систем, учетных записей и служб
Если система PIM обнаруживает далеко не все привилегированные учетные записи, то это быстро оборачивается возрастанием нагрузки на сотрудников IT-службы и необходимостью привлекать дорогостоящих специалистов со стороны. Привилегированные учетные записи на новом оборудовании и в новых приложениях, старых программах, в виде оставленных разработчиками "черных входов" (back doors), в забытых всеми службах и на любых других IT-ресурсах повышают уязвимость сети перед современными изощренными методами кибершпионажа.

Система PIM должна быть легко адаптируема и уже в стандартной комплектации поддерживать практически весь парк оборудования и ПО организации [2], не требуя заказной индивидуализации и дополнительной сторонней поддержки.

Работая в режиме "настроил и забыл", система PIM должна обнаруживать и затем автоматически отслеживать системы из списков доменных систем, списков сетевых устройств, Active Directory (и других служб каталогов, совместимых с LDAP), заданных диапазонов IP-адресов, CMDB² и других источников.

Управление паролями
"Правильная" система PIM должна поддерживать синхронизацию в реальном времени смены пароля на всех соответствующих ресурсах, тем самым исключая вероятность нарушения функционирования IT-инфраструктуры и блокировки учетных записей, когда вносятся изменения.

Система РIМ должна упрощать задачу смены паролей по расписанию, установленному политикой организации. Задания смены паролей должны быть упорядочены по типу системы (а не учетной записи) и обеспечивать перегенерацию паролей по требованию, а также проводить по расписанию автоматическую проверку учетных записей.

Система PIM должна хранить пароли в зашифрованном виде в серверной базе данных и поддерживать такие методы шифрования, как стандарты AES, FIPS 140-2, а также аппаратные модули безопасности (HSM) на базе PKCS#11.

Управление доступом
Система PIM должна обеспечивать управление доступом на основе ролей, которые задаются в службах каталогов и собственно в системе PIM.

Правила доступа настраиваются в полном соответствии с политикой организации. Они должны обновляться в режиме реального времени всякий раз, когда в службе каталогов происходят изменения, причем в случае подозрительной деятельности система молниеносно оповещает администратора. Необходима также возможность предоставлять сотрудникам немедленный контролируемый доступ к определенной группе серверов.

Аутентификация с помощью служб каталогов
Система PIM должна в режиме реального времени выполнять аутентификацию, обращаясь к доверенным доменам Windows, популярным каталогам на базе известных стандартов, например Oracle Internet Directory и Novell eDirectory, и прочим серверам LDAP и RADIUS.

Многофакторная аутентификация
Вам нужна система PIM, поддерживающая методы многофакторной аутентификации, в том числе:

• отправку одноразового пароля, генерируемого на основе времени (ТОТР - Time-based One-Time Password), по альтернативному каналу, например электронной почте или SMS, с помощью служб OATH; метод обеспечивает организации возможность многофакторной аутентификации без малейших дополнительных затрат;
• стандартную аутентификацию OATH;
• проприетарную аутентификацию (включая RSA SecurlD и YubiKey).

Рабочие процессы
Система PIM должна иметь удобную функцию настройки правил получения (check out) паролей для каждой роли пользователя. Автоматизация рабочих процессов выдачи разрешений экономит время сотрудников IT-службы.

Интеграция со службой поддержки
Интеграция системы PIM со службой поддержки (например, HP Service Manager, ВМС Remedy или Microsoft System Center Service Manager) способствует контролю над тем, чтобы все запросы на получение привилегированных паролей соответствовали поданным на тот момент заявкам о неисправностях, все запрашивающие имели разрешение на запрашиваемый уровень привилегированного доступа и статус заявок обновлялся автоматически с учетом действий, произведенных в системе PIM.

Аудит
Полноценные функции аудита имеют решающее значение для любой системы PIM, поэтому обращайте внимание на поддержку различных методов учета и аудита всех выполняемых ею действий. К ним относятся текстовые журналы (логи) системы, внутренняя база данных, используемая в целях аудита, системные журналы, уведомления по электронной почте, а также интеграция с внешними системами с помощью асинхронных уведомлений (trap) в случае с SNMP, триггеров в случае с Microsoft System Center Operations Manager и т.д.

Оповещение и интеграция
Функция оповещения в системе PIM должна быть полностью настраиваемой. При возникновении событий (например, таких, как смена или получение пароля), уведомления направляются по электронной почте и в систему SIEM³, запускаются специальные программы, отсылаются заявки в службу поддержки и т.п.

Интеграция с системами SIEM
Интеграция системы PIM с системой SIEM (например, HP ArcSight ESM™, RSA enVision™ и Q1 Labs QRadar™) в стандартной комплектации позволяет сопоставлять конкретные лица и процессы, получающие привилегированный доступ с возникающими инцидентами безопасности.

Отчетность
Наличие отдельного хранилища данных в виде дополнительной базы данных на том же сервере, где установлена система PIM, или в виде базы данных на другой машине гарантирует эффективную работу функций отчетности независимо от сложности отчетов и масштабов системы.

Необходимы отчеты, показывающие картину повседневной работы системы, и набор готовых отчетов, документально подтверждающих соблюдение нормативных требований.

Простота внедрения и эксплуатации
Важным этапом в процессе выбора является проверка того, что система PIM будет совместима с парком систем, приложений и устройств вашего предприятия, до покупки системы (Proof of Concept - проверка концепции). Определите, какие возможности ваши сотрудники смогут реализовать своими силами, что потребует помощи со стороны поставщика и что не предоставляется вовсе. Обратите внимание на наличие доступной в Интернете документации и развитого пакета SDK (Software Development Kit - пакет средств разработки программного обеспечения) для решения уникальных задач по получению IT-ресурсами паролей в режиме реального времени.

Литература

1. Ф. Либерман, Л. Смородинский Как обеспечить контроль привилегированных учетных записей, Information Securiity №1, 2013-http://www. itsec. ru/imag/insec-1-2013/42
2. Privileged Identity Management: A Technical Overview, White Paper, Lieberman Software Corporation, 2013 - http://www.liebsoft.com/erpm_ whitepapers.