Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Privileged accounts essentially involve significant information security risks: compromising of privileged access to the system might lead to severe financial and reputational loss of the company. However, the administrative accounts are routinely protected with password authentication, which is obviously disadvantageous: passwords can be mined or passed to another person without proper authorization. Also, passwords have to be changed promptly when an employee is dismissed. Such problems with administrative access pose a significant threat to the company security. It is necessary to use special Privileged Access Management class solutions to eliminate this risk. The first step to the problem solution is implementation of automatic management for passwords of privileged accounts.
Task description
The tasks of password management for privileged accounts can be formulated as follows
Привилегированные учетные записи несут в себе серьезные риски информационной безопасности: компрометация привилегированного доступа может приводить к крупным финансовым и репутационным потерям компании. При этом для административных учетных записей в большинстве случаев применяется парольная аутентификация, имеющая очевидные недостатки: возможность подбора паролей, возможность несанкционированной передачи паролей, необходимость своевременной смены паролей при увольнении сотрудников. Наличие таких проблем в отношении административного доступа создает угрозы безопасности компании, для их устранения необходимо использовать специализированные средства класса Privileged Access Management. Первым шагом в решении проблемы является реализация автоматического управления паролями привилегированных учетных записей.
Описание задачи
Задачи по управлению паролями привилегированных учетных записей можно сформулировать следующим образом:
- Скрытие паролей от сотрудников, то есть возможность выдать административный доступ без раскрытия пароля.
- Автоматическая регулярная смена паролей на случайное значение. Данная мера позволит повысить безопасность и снизить риски использования пароля в явном виде.
- Возможность гранулярно выдавать доступ и отзывать его в любой момент. Должна быть возможность предоставить административный доступ только к явно указанным серверам.
Решение
Для решения перечисленных задач применяется программный комплекс Indeed Privileged Access Manager (Indeed PAM). Комплекс централизованно хранит и управляет привилегированными учетными записями.
Indeed Privileged Access Management обладает следующими характеристиками.
Функции управления паролями
- Предоставление административного доступа (сессии) без раскрытия пароля привилегированной учетной записи
- Регулярная смена паролей привилегированных учетных записей
- Возможность выдать доступ только к определенным ресурсам (серверам)
Поддерживаемые типы учетных записей
- Microsoft Active Directory
- Учетные записи ОС Windows
- Учетные записи ОС Linux (пароли и SSH-ключи)
- Учетные записи для доступа к сетевому оборудованию
Поиск привилегированных учетных записей
В состав Indeed PAM входит модуль, который выполняет поиск привилегированных учетных записей, регистрирует их в системе и предлагает взять их под контроль.
Регулярная автоматическая смена паролей привилегированных учетных записей
Indeed PAM выполняет регулярную смену паролей на случайное значение, исполняя требования как к сложности паролей, так и периодичности их смены.
Ниже приведена общая архитектурная схема Indeed PAM.
| Backtotop | ||||
|---|---|---|---|---|
|