Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)

Total Privileged Account Manager

Рудницкий Иван, БАКОТЕК

Инженер по технической поддержке проектов

2

Задача: Управление привилегированными учетными записями • Привилегированные учетные записи существуют везде

Applications

Network Devices

Virtual Platforms

Operating Systems

Databases

3

Задача: Управление привилегированными учетными записями • Привилегированные учетные записи существуют везде

• Службе IT безопасности необходимо вести аудит их использования

ЛогированиеЗапись сессийАудит, контроль

4

Dell TPAM

Privileged Passwords (PPM) Privileged Sessions (PSM)

Privileged Password Management

Privileged SessionManagement

ApplicationPassword

Management

Privileged CommandManagement

5

Total Privilege Access Management (TPAM)

– Комплект продуктов созданный для решения задач по контролю и аудиту привилегированного доступа

– Модульная система дает гибкость в построении решения

– Базовые модули для решения основных задач

– Добавление / изменение дополнительных модулей в будущем

– Поставляется в виде специализированного программно-аппаратного комплекса

6

Privileged Password Manager

Проблемы и задачи

• Супер-пользователи есть в всех IT системах– ОС, сетевые устройства, базы данных,

приложения и пр.

• Они не ассоциируются с определенным пользователем – В отличии от пользовательских учетных

записей

• Супер-пользователи имеют все возможности ДОСТУПА и КОНТРОЛЯ– Полный доступ в систему– Конфигурация внутреннего аудита системы

• Требования по соответствию стандартов– Учетные записи с привилегированными

доступом находятся под пристальным вниманием аудитора

7

Управление привилегированными паролями

Задачи компании TPAM/PPM модуль

Безопасность Встроенная система безопасности • Пароли шифруются • Шифрование диска (AES 256 )• Встроенный аппаратный брандмауэр• ОС урезанная и заточенная под задачу

Контроль изменений Широкие возможности по контролю• По времени (каждые Х дней)• После последнего использования• Форсирование изменений

Интеграция Интеграция с другими системами• Поддержка сильной аутентификации• Active Directory• Ticketing systems

8

Управление привилегированными паролями

Задачи компании TPAM/PPM модуль

Эффективность TPAM Workflow• Веб-консоль• Ролевое управление• Поддержка распределения

полномочий• Уведомления по email• Поддержка мобильных устройств• CLI/API

Простота внедрения и интеграции Установка и настройка за 1 деньГотовое устройствоБезагентная архитектура Интеграция в ADИмпорт данных в CSVВнутренний аудит, SNMP, Syslog

9

Управление привилегированными паролями

Задачи компании TPAM/PPM модуль

Индивидуальная ответственность Реализовано через PPM модуль• Возможность ограничения на

выдачу пароля более чем 1 человеку на 1 момент времени

• Изменение после последнего использования гарантирует уникальный пароль на каждый запрос

• Возможность создания двойной авторизации

10

Workflow – запрос пароля

Отправка запроса

на пароль

Отбор и выбор учетной записи

Enter Date/Time/Duration/Reason Code/Request Reason as

needed

Ticket System

Validation. Mandatory or Optional

Получение пароля

Ввод даты, времени, срока и причины запроса

Опциональное поле для ticketingсистемы.

11

Account Auto Discovery

12

Application Password Management

Проблемы и задачи

• Встроенные пароли в код приложений представляют угрозу безопасности– Учетные данные и пароли известны

программистам

– Back-door учетные записи

• Различные задачи для различных приложений– Постоянное подключение A2A

– Транзакционные подключения А2А

13

Управление паролями приложений

Задачи компании TPAM/PPM модуль

Замена встроенных паролей Поддержка API/CLI C/C++Java.NETPerl

Поддержка “критических” приложений с большим кол-вом транзакций

PAR кэшДополнительный модульКэш-устройство или VMПоддержка централизованной или распределенной архитектурыОбработка более 500 запросов в секунду

14

Privileged Session Manager

Проблемы и задачи

• Соответствие стандартам требует информации о том что было сделано во время сессии:

– Удаленные сессии вендоров

– Аутсорсинговые компании

– Предоставление доступа разработчикам в продуктивную среду

– Доступ пользователей и администраторов к конфиденциальным ресурсам или приложениям

• Доступ к определенным системам требует максимального аудита и контроля

• Необходимость ограничения прямого доступа к определенным ресурсам

15

Управление привилегированными сессиями

Задачи компании TPAM/PPM модуль

Гранулярный контроль доступа Контроль пользователя• Ограничение просмотра ресурсов

в зависимости от роли

Контроль подключений Полный контроль подключений• Двойной контроль на

авторизацию• Ограничение по времени• Уведомление о превышении

времени• Возможности обрыва сессии

Аудит сессии Аудит сессии• Аудит и логирование всех

запросов на соединение• Полный просмотр сессии и ее

видеозапись

16

Как это работает

17

Workflow – запрос сессии

Запрос на соединени

е

Выбор системы и учетной записи

Ввод даты, времени, продолжительности и

причины

Опциональное поле для ticketing

системы.

Как только запрос подтвержден -подключение

18

Workflow – запрос сессии

• Запрос может быть подтвержден вручную или автоматически

• Каждая активность в системе записывается

• Если пользователь превышает лимит времени, система отправляет уведомление

• Активная сессия может быть отключена вручную

Прокси-соединение установлено к подключаемой

системе под выбранной учетной записью

Пользователь подключается и выполняет необходимую работу

19

Workflow – воспроизведение сессий

Записи сессий хранятся локально или могут автоматически

архивироваться. Можно делать поиск по сессиям по дате, системе,

учетной записи, пользователю, номеру запроса и пр.

Выбранная сессия воспроизводится в режиме

видеозаписи.

20

Workflow – воспроизведение сессий

Вся активность в сессии записывается и может быть

воспроизведена. Запись хранится в очень сжатом

формате (не AVI).

Контроль просмотра записи сессии.

21

Типы построения конфигураций

• High Availability

• Распределенный

Вопросы?