PAM: Инструмент управления доступом для безопасности и эффективности VDI

Основы организации удаленного доступа

В традиционном офисе сотрудники используют предоставленные компанией ресурсы: рабочие станции, серверы, сетевые хранилища. Все данные хранятся локально и контролируются с помощью корпоративных систем безопасности, в частности DLP, DCAP и других. Однако при удаленной работе ситуация меняется, и при определенных условиях нет возможности обеспечить должный уровень удобства, контроля и безопасности для пользователей вне периметра организации. Здесь на помощь приходит технология VDI.

VDI, или инфраструктура виртуальных рабочих столов (Virtual Desktop Infrastructure), предполагает централизованное хранение всех корпоративных ресурсов на защищенном удаленном сервере. Доступ к этим ресурсам предоставляется через создание для каждого пользователя виртуального рабочего стола. Сотрудник компании может работать в корпоративной среде с любого устройства, подключенного к интернету.

Преимущества VDI:

• Удаленный доступ сотрудников к корпоративным ресурсам при сохранении контроля над ними со стороны организации.
• Централизованное управление виртуальными рабочими столами.
• Удобное администрирование и обслуживание системы: настройка прав доступа, обновление.
• Гибкость доступа пользователей к корпоративным ресурсам с любого устройства.

Однако в такой схеме существует слабое звено: привилегированные пользователи системы VDI, например системные администраторы. Они обладают расширенными правами и доступом к конфиденциальной информации. Без должного контроля они могут представлять серьезную угрозу для компании. Возможные риски включают нарушение корпоративных политик безопасности, злоупотребление полномочиями и другие.

Для минимизации этих рисков применяется система управления привилегированным доступом – PAM (Privileged Access Management).

Привилегированный доступ под особым контролем

PAM обеспечивает мониторинг и управление учетными записями системных администраторов и других пользователей с расширенными правами. Это могут быть руководители компании, ИТ-подрядчики или инженеры-разработчики ПО, которым необходим доступ к системе для совершения определенных настроек.

Основные задачи PAM в инфраструктуре VDI:

• Централизованный контроль и гибкое ограничение доступа привилегированных пользователей.
• Расширенная многофакторная аутентификация и дополнительные слои защиты для пользователей VDI.
• Установка строгих политик доступа на уровне приложений и данных.
• Мониторинг и фиксация всех действий привилегированных пользователей.
• Предотвращение несанкционированного доступа и кражи учетных данных.

Константин Родин руководитель отдела развития продуктов компании «АйТи Бастион».
Фото: «АйТи Бастион»

«Современные системы класса PAM решают намного больше задач, чем просто запись данных из сессий пользователей. На практике сейчас это задачи управления привилегиями, мониторинга и аудита действий пользователей с повышенными привилегиями, управления паролями, обеспечения соответствия требованиям, управления угрозами и инцидентами, а также точечное реагирование на возникающие аномальные поведения пользователей за пределами самого PAM», — отмечает Константин Родин.

Одним из наиболее известных решений класса PAM на российском рынке является платформа контроля действий привилегированных пользователей СКДПУ НТ от компании «АйТи Бастион». Это комплексный продукт, состоящий из нескольких взаимодополняющих компонентов:

• СКДПУ НТ Шлюз доступа (контроль и отслеживание действий привилегированных пользователей в реальном времени);
   
• СКДПУ НТ Мониторинг и аналитика (обработка событий с использованием машинного обучения и детектирования аномального поведения пользователей);
   
• СКДПУ НТ Портал доступа (единый веб-интерфейс для доступа пользователя ко всем разрешенным объектам);
   
• СКДПУ НТ Кабинет оператора (управление выделенными сегментами доступа и делегирование полномочий между подразделениями).

Функции автоматизации предоставления доступов из внешних систем и каталогов PAM-системы подходят для организаций любого масштаба: от небольших компаний до крупных корпораций, в том числе с территориально-распределенными филиалами.

Ключевые преимущества СКДПУ НТ:

• универсальная функциональность для крупного и малого бизнеса;
• расширенный и максимально полный контроль действий пользователей;
• быстрое развертывание «из коробки»;
• гибкость применения в масштабах любых организаций (программно-аппаратный комплекс, виртуальное исполнение или гибридный режим);
• экономия времени на сбор, анализ событий и быстрое реагирование на инциденты;
• интеграционные возможности для создания мультивендорных экосистем.

Решение соответствует политике импортонезависимости: работает на ОС Astra Linux и включено в реестр отечественного ПО Минцифры РФ. PAM-платформа СКДПУ НТ сертифицирована по требованиям ФСТЭК России, что позволяет использовать его на объектах КИИ и в закрытых облачных контурах.

Преимущества и ограничения интеграции PAM c VDI

Интеграция VDI и PAM значительно повышает надежность ИТ-инфраструктуры компании, обеспечивая контролируемый и безопасный доступ пользователей к корпоративным ресурсам. Грамотно настроенные политики PAM позволяют администраторам отслеживать доступ пользователей к информационным системам и данным, минимизировать риски несанкционированного доступа и поддерживать баланс между кибербезопасностью и продуктивностью сотрудников.

Дмитрий Михеев, технический директор компании «АйТи Бастион».
Фото: «АйТи Бастион»

«PAM – ключевой компонент безопасности при использовании виртуальной инфраструктуры рабочих столов, так как он обеспечивает контроль над доступом к критически важным системам и данным. Однако на практике использование PAM-платформ часто сводится только к контролю самих серверов управления и инфраструктуры VDI. Мы достаточно давно определили для себя круг задач при работе с системами VDI. И на текущий момент мы можем смело сказать, что реализовали не один проект, где PAM работает для безопасности доступа самих пользователей VDI к их виртуальным рабочим столам, – и делает это прекрасно», – объясняет Дмитрий Михеев.

Ценность использования стека PAM-VDI возрастает по мере развития российских решений класса PAM и расширения общего числа задач, где необходим эффективный контроль доступа. Перспективным направлением развития систем контроля доступа является интеграция с инструментами автоматизации разработки и DevOps. Команды разработки часто состоят из территориально распределенных сотрудников, работающих в единой облачной или гибридной среде. Улучшенная функциональность PAM-систем позволяет предоставлять им гибкие возможности для работы над проектами, соблюдая корпоративные политики кибербезопасности.

Комплексная защита VDI

В условиях увеличивающихся угроз и рисков, связанных с ними, построение эшелонированной системы защиты становится жизненно важной задачей для компании.

Кибербезопасность виртуальных рабочих мест существенно усиливается с помощью средств управления привилегированным доступом. Это повышает контроль за ИТ-инфраструктурой и доступом к ней, обеспечивает соответствие действий пользователей корпоративным политикам ИБ, позволяет проактивно реагировать на инциденты. Связка VDI-PAM помогает бизнесу сохранить баланс между эффективностью и безопасностью.

Комплексный подход к безопасности VDI требует также защиты на уровне сети, управления доступом, защиты данных и постоянного мониторинга. Внедрение таких механизмов минимизирует риски и обеспечивает надежную защиту виртуальной инфраструктуры рабочих столов.

«Механизмы обеспечения комплексной безопасности обязательно должны включать средства межсетевого экранирования, сегментацию сетей, использование защищенного канала для безопасного удаленного доступа, системы обнаружения и предотвращения вторжений (IDS/IPS), многофакторную аутентификацию, ролевое управление доступом, шифрование данных, мониторинг и аудит активности, а также регулярное обновление и патч-менеджмент. Одним PAM тут не обойтись, но и без него построить эффективный контроль будет крайне сложно», – объясняет Константин Родин.