Резервные учётные записи
Решения класса Privileged Access Management - это ряд технических, программных и организационных мер, которые защищают привилегированные учётные записи от несанкционированного использования.
Один из механизмов защиты Indeed PAM это изоляция паролей учётных записей доступа в хранилище Indeed PAM Core, их шифрование и изменение по расписанию или требованию на случайные или пользовательские значения.
Хранилище Indeed PAM Core критический элемент в схеме работы Indeed PAM, его повреждение приведет к потере доступа на ресурсык ресурсам, так как значения паролей учётных записей для доступа неизвестны конечным пользователям и администраторам.
Рекомендуется для каждого ресурса выделить резервную учётную запись с правами локального администратора или root(ОС Windows) или с правами на выполнение команды SUDO (ОС *nix). Мера позволит восстановить доступ к ресурсам в случае выхода из строя хранилища данных Indeed PAM Core. Для этих целей назначьте уполномоченного сотрудника, который будет отвечать за сохранность резервных учётных записей и паролей.
Доступ к Indeed PAM
CoreДля обеспечения безопасности компонентов Indeed PAM рекомендуется выполнять установку в соответствии с размещением 2, в этом случае на одном сервере будут установлены компоненты:
- Indeed PAM Core
- Indeed PAM IDPIdP
- Indeed PAM Management Console
- Indeed PAM User Console
- Indeed Log Server
- Microsoft SQL Server
Расположение ключевых компонентов Indeed PAM и хранилища данных на одном сервере позволяет снизить риски неправомерного доступа к ним. Для корректной работы потребуется открыть следующие порты:
| Протокол | Порт | Описание |
|---|
| Входящие и исходящие |
|---|
| TCP/UDP | 53 | DNS |
| TCP/UDP |
TCP 636 LDAPS3269 | /3269 | Microsoft Global Catalog |
Microsoft Global Catalog 88 464 30004000Indeed PAM Core SSLTCP | 30014001/SSL
Indeed PAM Management Console/SSL
Indeed PAM |
Management TCP | 30024002 User Console PAM User Console TCPIndeed PAM IDP
Indeed PAM IDP SSL | TCP | 80
443 | Indeed Log ServerIndeed Log Server SSL