В данной статье пойдет речь об инструментах PAM. Читатели узнают больше о популярных программах, их особенных чертах и полезных свойствах.
Введение
Инструменты PAM помогают организациям обеспечить безопасный привилегированный доступ к критически важным активам и соответствовать требованиям, управляя и контролируя привилегированные учетные записи. Они включают в себя функции, которые позволяют руководителям отдела безопасности и рисков:
- обнаруживать привилегированные учетные записи в системах, приложениях и на устройствах для последующего управления;
- осуществлять автоматическое рандомизирование, управление и хранение паролей и других данных для учетных записей администраторов, служб и приложений;
- контролировать доступ к привилегированным учетным записям, включая общие учетные записи и учетные записи типа «firecall»;
- изолировать, отслеживать, записывать и проверять сеансы привилегированного доступа, команды и выполняемые действия.
Популярные инструменты PAM
JumpCloud
JumpCloud – это платформа с открытой директорией для безопасного, беспрепятственного доступа к ресурсам. Миссия JumpCloud заключается в том, чтобы предоставить простой и безопасный доступ к корпоративным ресурсам с любого устройства и из любой точки мира. Платформа директорий JumpCloud предоставляет возможность осуществлять операции по обеспечению безопасности. Она также позволяет разработчикам использовать единое облачное решение для контроля и управления удостоверениями сотрудников, их устройствами, а также придерживаться принципов «Zero Trust». JumpCloud имеет огромную базу пользователей, включающую в себя более 100 000 организаций, с более чем 3000 клиентами, среди которых Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance и Foursquare. JumpCloud поддерживается BlackRock, General Atlantic, OpenView и Foundry Group.
Ping Identity
Ping Identity (NYSE: PING) обеспечивает безопасность идентификации в больших компаниях с помощью интеллектуальной платформы идентификации, что включает в себя огромные возможности такие, как единый вход (SSO), многофакторную аутентификацию (MFA), директории и не только. Ping помогает предприятиям сбалансировать безопасность и вид пользовательского интерфейса для сотрудников, клиентов и партнеров с различными вариантами развертывания в облаке, включая идентификацию как услугу (IDaaS) и контейнерное программное обеспечение. Ping подойдет как отдельным ИТ-специалистам, так и целым командам разработчиков.
Foxpass
Foxpass предлагает простую идентификацию инфраструктуры для корпоративного уровня и предоставляет контроль за доступом для компаний любого уровня. Облачные или локальные решения для управления ключами LDAP, RADIUS и SSH гарантируют, что сотрудники будут иметь доступ только к сетям, VPN и серверам, необходимым для них (и только в течение указанного периода времени). Foxpass интегрируется с существующими продуктами (такими как Google Apps, Office365, Okta, Bitium) для обеспечения бесперебойной работы.
HashiCorp Vault
HashiCorp Vault позволяет организациям надежно защитить, хранить и жестко контролировать доступ к токенам, паролям, сертификатам и ключам шифрования для защиты секретов и других конфиденциальных данных в нескольких облаках. Vault централизованно управляет и обеспечивает доступ к секретам и системам на основе надежного источника приложений и идентификаторов пользователей. Функции инструмента позволяют группам безопасности контролировать предоставляемые удостоверения для разных групп. Кроме того, Vault обеспечивает репликацию в нескольких центрах обработки данных и аварийное восстановление утерянной информации, что позволяет поддерживать непрерывную и гибкую доставку приложений.
Centrify Zero Trust Privilege
Centrify пересматривает устаревший подход к управлению привилегированным доступом (PAM), предоставляя облачные привилегии типа «Zero Trust» для обеспечения доступа к инфраструктуре, DevOps, облаку, контейнерам, большим данным. По мере исчезновения традиционных сетевых периметров, организации должны отказаться от старой модели «Доверяй, но проверяй», которая опиралась на четко выверенные стандарты. «Zero Trust» требует подхода «Никогда не доверяй, всегда проверяй, давай наименьшие привилегии» к предоставлению привилегированного доступа внутри или снаружи сети. Centrify Zero Trust Privilege помогает предоставить доступ с наименьшими привилегиями на основе проверки того, кто запрашивает доступ, контекста запроса и риска среды доступа. Предоставляя доступ с наименьшими привилегиями, Centrify минимизирует поверхность атаки, улучшает видимость во время аудита и проверяет соответствия требованиям, а также снижает риски и затраты современного гибридного предприятия.
Организации могут рассмотреть возможность подхода к управлению привилегированным доступом путем внедрения исключительно хранилищ паролей. Centrify Zero Trust Privilege сочетает в себе хранение паролей с безопасной передачей идентификационных данных, многофакторную аутентификацию и «достаточные» привилегии, обеспечивая при этом удаленный доступ и мониторинг всех привилегированных сеансов. Признанное в отрасли решение Centrify выходит за рамки простого хранения паролей, чтобы объединить основные принципы привилегий типа «Zero Trust». Более половины корпораций из списка Fortune 100, крупнейшие финансовые учреждения в мире, разведывательные агентства и компании, занимающиеся разработкой важнейшей инфраструктуры, доверяют Centrify. Они использует его, чтобы предотвратить основную причину нарушений – злоупотребление привилегированными учетными данными. Организации обращаются к использованию Centrify Zero Trust Privilege, чтобы:
- получить безопасный доступ;
- пресечь нарушения;
- расширить возможности корпоративных операций;
- повысить уровень доверия к их бизнесу;
- обеспечить безопасность голосования.
Основанная в 2004 году Tom Kemp, Adam Au и Paul Moore, компания Centrify финансируется более чем 5000 клиентами и поддерживается ведущей частной инвестиционной компанией Thoma Bravo.
Thycotic Secret Server
Thycotic упрощает управление привилегированным доступом (PAM). Secret Server позволяет легко обнаруживать, контролировать, изменять и проверять привилегированные учетные записи любой организации. Это единственное полнофункциональное решение PAM, доступное для работы как локально, так и в облаке. Отмеченное многими наградами программное обеспечение Thycotic предоставляет группам безопасности и ИТ-служб гибкость для защиты и управления всеми типами привилегий, защищая учетные записи администраторов, службы, приложения и пользователей Root от кибератак. В отличие от традиционных, сложных решений PAM, Secret Server работает надежным образом, начиная с быстрого развертывания и предоставляя прямой контроль за операциями. Secret Server позволяет организациям:
- повысить уровень безопасности;
- защитить привилегированные учетные записи;
- усилить защиту от атак и повысить устойчивость к другим причинам сбоев;
- минимизировать сложность и поддерживать производительность приложений.
Secret Server является быстрым в развертывании и простым в использовании, освобождая ИТ-команды от лишних забот. Thycotic обеспечивает доступ к привилегированным учетным записям для более чем 12 500 организаций по всему миру, включая предприятия из списка Fortune 500, и развернут в крупнейших сетях в мире.
ManageEngine Password Manager Pro
Password Manager Pro представляет собой комплексное решение для контроля, управления, мониторинга и аудита всего жизненного цикла привилегированного доступа. В одном пакете есть четыре решения: управление привилегированными учетными записями, управление удаленным доступом, управление привилегированными сеансами и управление сертификатами SSL. Password Manager Pro объединяет все существующие привилегированные учетные записи в централизованное хранилище в зашифрованном виде. Он применяет эффективные методы управления паролями и защищает привилегированные учетные записи. Это помогает снизить риски безопасности, связанные с привилегированным доступом, и предотвратить любые нарушения безопасности и проблемы с соблюдением требований.
- Управление привилегированными учетными записями – используется передовой подход для эффективного управления привилегированными учетными записями, которые формируют периметр безопасности вокруг критически важных серверов данных и других ИТ-активов в среде, независимо от того, используют ли они аутентификацию на основе пароля или ключа, в том числе для операционных систем, баз данных, серверов, приложений, облачных платформ и сетевых устройств.
- Управление удаленным доступом – можно установить централизованный контроль путей доступа и понять, как пользователи подключаются к целевым системам. Специалисты смогут обеспечить максимальную безопасность во всех привилегированных подключениях с помощью возможностей входа в систему одним щелчком мыши вместо обмена учетными данными в открытом виде. Туннельные соединения идут через шлюз зашифрованного канала, который не требует прямого подключения между пользовательским устройством и удаленным хостом.
- Управление привилегированными сеансами – специалисты будут в курсе того, что пользователи делают со своим привилегированным доступом, и смогут предотвратить его опасное использование. Расширенный мониторинг позволяет проверить, остаются ли пользователи — сотрудники и третьи стороны — в пределах предоставленной им области.
- Управление сертификатами SSL – специалисты получают полную видимость и контроль над средой SSL. Теперь не будет рисков, связанных с истечением срока действия сертификатов, использованием устаревших алгоритмов хеширования и слабых наборов шифров, которые пагубно влияют на уровень доверия клиентов.
Akeyless Vault
Платформа Akeyless Vault – это унифицированное решение на основе SaaS, которое позволяет организациям эффективно и безопасно внедрять DevOps, осуществлять облачные преобразования и выступать с инициативой по предоставлению доступа «Zero Trust». Она также обеспечивает сквозную унифицированную платформу для управления и защиты всех типов секретов при полном контроле доступа. Akeyless Vault дает возможность охватить все варианты получения доступа в гибридных, многооблачных и устаревших средах. Платформа обеспечивает полную прозрачность использования секретов и предоставляет детальную аналитику того, что имеет решающее значение для соблюдения различных правил безопасности и поддержания контроля безопасности.
- можно автоматизировать просмотр секретов с помощью инструментов DevOps и в облачных платформах, используя защищенное хранилище для учетных данных, токенов, API-ключей и паролей;
- безопасный удаленный доступ дает возможность защитить инфраструктуру приложения, если включить единую аутентификацию и временные разрешения на доступ;
- компании смогут защитить свои конфиденциальные данные, применяя передовые службы шифрования и токенизации на уровне приложений.
strongDM
strongDM готов предоставить сотрудникам доступ к системам, которые отвечают за управление бизнесом. Он объединяет в себе аутентификацию, авторизацию, сетевое взаимодействие и обеспечивает беспрепятственное управление доступом во всем стеке компании таким образом, как это необходимо администраторам. strongDM обеспечит безопасность секретов, а также сможет сделать операции настолько гибкими и автоматизированными, насколько это нужно.
UserLock
UserLock обеспечивает сотрудников локальными удостоверениями для получения безопасного доступа к корпоративным сетям и нескольким облачным приложениям, где они могут работать. Можно включить многофакторную аутентификацию (MFA) для входа в систему Windows, использовать удаленный рабочий стол (RDP & RD Gateway), IIS и VPN-подключения. Специалисты способны объединить MFA с SSO для безопасного и беспрепятственного доступа к Microsoft 365 и другим ведущим облачным приложениям. Есть возможность добавить контекстные ограничения получения доступа и необходимой информации в режиме реального времени при входе в систему.
Ekran System
Ekran System – это универсальная платформа для защиты от внутренних угроз, помогающая бизнесу в мониторинге сотрудников, контроле субподрядчиков, выполнении PAM и других задач по соответствию требованиям. Платформа обеспечивает мониторинг, запись и аудит всех действий пользователей на критически важных конечных точках, данных и конфигурациях. В основном это происходит в формате индексированных видеозаписей. Возможности обнаружения реализованы в комплексной системе оповещения, которая выявляет аномалии, помечает рискованные действия и обеспечивает весь необходимый контекст для адекватного реагирования на них.
Для предотвращения внутренних угроз платформа включает в себя наборы инструментов как для ручного, так и для автоматического реагирования на инциденты, такие как предупреждение пользователя, прекращение активности, оповещение, блокировка USB-устройств и пользователей. Ekran System предоставляет клиентам простые в использовании решения для управления доступом, такие как двухфакторная аутентификация, одноразовые пароли, управление привилегированными учетными записями и сеансами (PASM), интеграция с системой продажи билетов. Они были разработаны для того, чтобы вывести привилегированный контроль деятельности на новый уровень. Платформа имеет гибкую систему лицензирования, что дает возможность задействовать комплексное решение для построения своей стратегии безопасности в рамках имеющегося бюджета.
Micro Focus NetIQ Privileged Account Manager
Micro Focus NetIQ Privileged Account Manager (PAM) облегчает получение административного доступа к сложной гибридной инфраструктуре. Специалисты смогут узнать все о привилегированных удостоверениях, а также о том, какие зависимости существуют, чтобы эффективно упростить структуру имеющихся привилегий. Затем они внедрят средства управления доступом на основе идентификации с помощью автоматизации процессов, чтобы политики последовательно и постоянно применялись во всех системах, а пользователи имели доступ, достаточный для выполнения их задач. Всю привилегированную активность и несанкционированные изменения возможно постоянно контролировать, чтобы обеспечить соответствие требованиям на протяжении всего жизненного цикла идентификации. Micro Focus позволяет снизить риски и облегчить управление привилегированным доступом в любой организации.
System Frontier
System Frontier – это как прокси-сервер в плане предоставления привилегий администратора. Инструмент позволяет сотрудникам ИТ-службы компании предоставлять разрешения на управление системами и выполнение задач автоматизации. Используя веб-консоль в режиме реального времени, сотрудники службы поддержки, разработчики, поставщики или любой другой персонал службы поддержки могут безопасно управлять серверами, рабочими станциями, сетевыми устройствами, учетными записями пользователей и всем, что имеет API, без использования агентов или других сложных пользовательских интерфейсов.
CloudEnv
CloudEnv дает возможность поддерживать синхронизацию и версирование ENV vars с командой (без Git). Инструмент имеет простой интерфейс командной строки – пользователь может начать работу за считанные секунды. Надежные IP-адреса позволяют просматривать запросы по электронной почте, прежде чем разрешить новому IP-адресу получить доступ к секретам фирмы.
Devolutions Server
Devolutions Server (DVLS) позволяет управлять привилегированными учетными записями и сеансами с помощью безопасного решения, которое может быть развернуто локально. При использовании DVLS в сочетании с диспетчером удаленных рабочих столов он становится единым окном любого ИТ-отдела, объединяя хранилище паролей и учетных данных с надежным и эффективным решением для управления удаленными подключениями. При использовании того же бэкэнда веб-интерфейс DVLA предлагает конечным пользователям упрощенное решение для управления их паролями.
Imperva File Security
Специалисты могут защитить конфиденциальные файлы от киберпреступников и злонамеренных инсайдеров. Есть возможность предотвратить кражу файлов и обезопасить себя от вымогателей, безопасно обмениваясь файлами друг с другом.
Saviynt
Saviynt обеспечивает интеллектуальное управление доступом к удостоверениям; контроль облачных, гибридных и локальных ИТ-инфраструктур для ускорения цифровой трансформации предприятия. Данная платформа интегрируется с ведущими приложениями IaaS, PaaS и SaaS, включая AWS, Azure, Oracle EBS, SAP HANA, SAP, Office 365, Salesforce, Workday. Инструмент для расширенной аналитики рисков IGA 2.0 получил награду Trust Award и был назван Gartner «лидером отрасли». Платформа включает в себя следующие функции: Identity Governance and Administration (IGA), Data Access Governance (DAG), IaaS Governance, Segregation of Duties (SoD), Consumer Identity and Access Mgmt (CIAM), Cloud PAM, Cloud Security, Hybrid IT.
Smallstep Single Sign-on SSH
Smallstep SSH обеспечивает осуществление сквозного рабочего процесса, который объединяет в себе современных поставщиков удостоверений (OKTA, Azure AD,…) с краткосрочными сертификатами SSH. Пользователи входят в систему поставщика удостоверений личности через OAuth и получают сертификат SSH на день. Он хранится в памяти, и они используют его для подключения по SSH к хостам. Это устраняет необходимость сбора, отправки и ротации открытых ключей SSH для всех пользователей и хостов. Поскольку инструмент синхронизируется с поставщиком удостоверений, весь доступ к серверу немедленно отменяется, когда пользователи удаляются из поставщика. Таким образом, можно автоматизировать доступ и расширить единый вход в SSH, чтобы сделать ключи SSH эфемерными.
Xton Access Manager
XTAM – это программное обеспечение для управления привилегированными учетными записями, которое включает в себя веб-хранилище паролей с возможностью их ротации, обнаружения, контроля доступа к рабочему процессу, входа в систему с высоким уровнем доверия, записи сеансов и нажатий клавиш с мгновенным воспроизведением; полного контроля журнала, повышенной автоматизации сценариев, оповещений и обширной аналитикой. XTAM интегрируется с AD/LDAP, SIEM, поставщиками многофакторной аутентификации и системами продажи билетов. Это масштабируемое решение без агентов для локальных, гибридных и облачных развертываний.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.