Артықшылықты Пайдаланушыларды басқару (PAM)

PAM ͏- бұл барлық пайдаланушыларды, сондай-ақ кеңейтілген құқықтармен бірге есептік жазбаларды бақылайтын, әсерлерді тіркейтін және инфрақұрылым қауіпсіздігінің бұзылу қаупін азайтатын жүйелердің бір түрі.

Іс жүзінде хостинг оқиғаларының 90% - артықшылықты пайдаланушылардың қол жетімділігіне байланысты: әкімші, қызметтік шот, мердігер, MFA жоқ ұмытылған түбір. Дәл осы жерде PAM ең ауыр тесіктерді жабады. PAM - бұл шоттар мен сессияларды басқарудың бірыңғай жүйесі.

Артықшылықты қол жетімділік дегеніміз не

Артықшылықты пайдаланушылардың қатарына мыналар жатады:

• root Administrator
• Домен әкімшілері
• Жергілікті сервер әкімшілері
• қолданба және ДБ әкімшілері
• пайдаланушылардың сервистік және техникалық шоттары
• іскери пайдаланушылар
• emergency-шоттар (break glass)

Конфигурацияны өзгертуге, ақпаратқа қол жеткізуге немесе қызметтерді тоқтатуға қабілетті кез келген артықшылықты пайдаланушы PAM астында болуы керек.

Неліктен компаниялар мен хостинг клиенттеріне PAM қажет

Кім, қашан, қайда және не үшін кіргенін білу және оны дәлелдей алу.

Pam жоқ типтік мәселелер

• root парольдер мессенджерлерде беріледі
• Әкімшілердің іс әрекеттері жоқ
• Мердігерлер үнемі қол жеткізе алады
• Пайдаланушылардың сервистік есептік жазбалары жылдар бойы айналымсыз өмір сүреді
• Оқиғаларды тергеу мүмкін емес

Хостинг провайдері тұрғысынан тікелей жол:

• тоқтау,
• ағып кету,
• реттегіш бойынша айыппұлдар,
• Тапсырыс берушімен қақтығыстар.

PAM жүйесінің жұмыс принципі

Пайдаланушы құпия сөзді білмейді, бірақ PAM бақылауымен уақытша сессия алады.

Бұл техникалық жағынан қалай көрінеді

• Пайдаланушы тіркелгі деректері қорғалған PAM жадында сақталады
• Пайдаланушы аутентификациядан өтеді (көбінесе MFA-мен)

PAM рұқсат береді:

• уақыт бойынша (JIT)
• рөлі бойынша
• пайдаланушылардың нақты әрекеттерін жүзеге асыру бойынша

Бүкіл сессия:

• жазылады
• логикалық
• тоқтатылуы мүмкін

PAM негізгі функциялары

PAM қалай жұмыс істеуге көмектеседі

• Абсолютті бақылау пайдаланушы әрекеттерінің барлық кірістері мен нәтижелерін қараңыз
• Ашықтық кез келген оқиға минут бойынша түсініледі
• Қауіпсіздік тіпті пайдаланушылардың бұзылған әрекеттерінің нәтижесі шектеулі
• Жайлылық әкімшілер бірыңғай қол жетімділік арқылы жұмыс істейді
• Талаптарға сәйкестігі ISO, PCI DSS, SOC, 152-ФЗ

PAM бақылау, PIM, IAM айырмашылығы неде

Нақты жобаларда артықшылықты Пайдаланушыларды басқару әрқашан толықтырады IAM, оны алмастырудың орнына.

PAM пайдалану бойынша ұсыныстар (тәжірибеден)

• Артықшылықты пайдаланушылардың барлық рұқсаттары үшін міндетті MFA
• Jitтұрақты құқықтардың орнына қол жеткізу
• Тек PAM арқылы парольдер жоқ
• Барлық сессияларды ерекшеліксіз жазу
• Рөлдерді бөлу (admin auditor)
• Кіруден басқа пайдаланушылардың әрекеттерін бақылау

Артықшылықты қол жетімділікті басқару АҚ контурына қалай енеді

PAM әдетте интеграцияланады:

• Active Directory LDAP
• SIEM
• SOC
• VPN және bastion хосттары
• бұлтты платформалар

Хостинг провайдері үшін zero trust архитектурасыныңнегізгі элементі.

Мұндай әрекетті бақылауды қалай таңдауға болады: негізгі критерийлер

Не қарау керек

• Қажетті ОЖ және қызметтерді қолдау
• Сессияларды бекіту (SSH, RDP, DB)
• Артықшылықты пайдаланушылардың икемді саясаты
• Масштабтау
• AD және SIEM-мен біріктіру
• Мердігерлермен жұмыс
• Жергілікті және бұлтты орналастыру

PAM кибершабуылдардан қорғайды ма?

PAM жүйесі емес панацея, бірақ ол ең қауіпті тәуекел класын жабады артықшылықтарды теріс пайдалану.

Он эффективно защищает от:

• ішкі шабуылдаушы
• тіркелгі деректерін бұзу
• сисадмин қателіктері
• рұқсат етілмеген рұқсат

Енгізуден кейінгі нәтиже

Іске асырылғаннан кейін клиенттер әдетте алады:

• Қосымша қорғаныс қабаты
• Пайдаланушы әрекеттерін бақылауды арттыру
• Мөлдір процестер
• Оқиғаларды жылдам тергеу
• Аудиттердегі тыныштық

Тәжірибеден нақты жағдай

Клиент орташа SaaS компаниясы (≈120 сервер: bare metal VM), өзінің DevOps командасы, инфрақұрылымның бір бөлігі сыртқы мердігерлермен қамтамасыз етілген. SSH / RDP кірісі тікелей, тіркелгілер ортақ, парольдер "қажет болған жағдайда" өзгереді.

Мәселе

Бір түнде мониторинг мәліметтер базасына жүктеменің күрт өсуін және қызметтің деградациясын тіркеді. Клиент бізге хостинг провайдері ретінде оқиғаны шұғыл талдауды сұрады.

Не анықталды:

• PostgreSQL конфигурациясына өзгертулер қолмен енгізілді;
• өзгерістерді нақты кім енгізгені белгісіз;

серверге кіру мүмкіндігі болды:

• екі штаттық сисадмин,
• бір DevOps,
• ДБ сүйемелдеу бойынша мердігер;
• SSH журналдары бар, бірақ қандай командалар орындалғанын түсінбестен.

Шын мәнінде, классикалық жағдай: қақтығыс бар, жауапты адам жоқ.

Шешім

• Оқиғадан кейін клиент жүйені кезең-кезеңімен енгізуге келісті.

Олар не істеді:

• PAM bastion арқылы барлық артықшылықты рұқсатты шығарыңыз
• Серверге тікелей SSH/RDP жойылды

Орнатылды:

• Барлық сисадминдер үшін MFA,
• JITжеткізу (30-60 минутқа беріледі),
• барлық SSH және RDP сеанстарын жазу

Пайдаланушы рөлдері бөлінді:

• сисадмин барлық қажетті операцияларды орындайды,
• аудитор журналдар мен жазбаларды қарайды

Мердігерлерге кіру жасалды:

• тек нақты серверлерге,
• тек жұмыс уақытында,
• парольдерді білмеу

Нәтижесі

Іске асырылғаннан кейін екі айдан кейін ұқсас қақтығыс болды қолданба параметрлерінің өзгеруі ішінара тоқтап қалуға әкелді.

Бірақ қазір сурет басқаша көрінді:

• 5 минут ішінде нақты пайдаланушы табылды;
• Privileged Access Management SSH сессиясын толық бекітуге рұқсат берді;

көрінеді:

• қандай командалар орындалды,
• қай уақытта,
• қандай IP,
• қандай келісілген билетпен;
• оқиға 40 минут ішінде шиеленіссіз және жанжалсыз жабылды.

Клиент күтпеген қосымша әсер:

• әкімшілер мөлдірлік туралы біле отырып, мұқият жұмыс істей бастады;
• мердігерлер өндірісте "тәжірибе жасауды" тоқтатты;
• АҚ бойынша сыртқы аудитте пайдаланушыларды бақылау бірден бірнеше ескертулерді жауып тастады.

Жүйе ешқашан "алдын-ала" енгізілмейді, ол бірінші ауыр оқиғадан кейін орнатылады.

Бірақ мұны апатқа дейін жасайтын компаниялар үнемдейді:

• тергеу уақыты,
• бос уақыттағы ақша,
• "кім кінәлі" бөлшектеудегі нервтер.

Жиі сұрақтар