Любая организация, которая заботится о своей безопасности, старается ограничить права пользователей, уменьшив тем самым возможности для утечки данных или злонамеренного причинения вреда системе. Однако в ИТ-структуре предприятия есть особая «каста неприкасаемых» — системные администраторы, обладающие максимальными правами доступа, действия которых сложно контролировать. Не так давно компания Quest Software выпустила специальные решения, позволяющие осуществлять тщательный мониторинг деятельности даже тех ИТ-специалистов, которым предоставлены максимальные права доступа. О преимуществах и специфике данных решений рассказывает Евгений Гончаренко, менеджер по развитию бизнеса Quest в группе компаний «БАКОТЕК».

PCWeek/UE: Евгений, что собой представляет Quest One Privileged Account Management? Какие преимущества получает заказчик при покупке этих решений?

ЕВГЕНИЙ ГОНЧАРЕНКО: Решение для управления доступом Quest One Privileged Access Management от компании Quest Software — это проверенный временем комплект интегрированных модульных технологий. Он разработан специально для удовлетворения растущих требований к безопасности и соответствию стандартам, связанных с управлением привилегированной идентификацией и контролем привилегированного доступа.

В подобных решениях заинтересован менеджмент компаний, который испытывает необходимость контролировать ИТ-специалистов с привилегированным доступом (чаще всего речь идет о системных администраторах). Проблема в том, что обычно создают только одну учетную запись с максимальными правами доступа (например, root в ОС Linux), но ее используют несколько администраторов. Если служба безопасности компании зафиксировала в системе какие-либо несанкционированные действия, то понять, кто и когда их произвел, достаточно сложно. Именно в таких случаях поможет продукт Quest One Privileged Password Manager, который позволяет с помощью так называемой «тикетной» системы (системы заявок) отправить запрос на выдачу пароля. В зависимости от настроенной политики пароль выдается автоматически либо после подтверждения офицером, отвечающим за безопасность в компании. Но даже в случае позитивного ответа системы администратор может использовать пароль только в течение определенного времени. По истечении этого времени, система меняет пароль, и старый уже не будет действовать. Таким образом, решение Privileged Password Manager гарантирует, что при необходимости обеспечить администраторам доступ с повышенными правами он будет предоставлен согласно установленной политике с выдачей соответствующих разрешений. При этом все действия администраторов можно будет контролировать, а пароль будет изменен сразу же после завершения работы использовавшим его сотрудником.

В свою очередь, с помощью Quest One Privileged Session Manager можно осуществлять мониторинг всех действий в системе, где работает ИТ-администратор. Решение обеспечивает единую точку контроля, с которой менеджер безопасности способен авторизировать соединения, ограничивать доступ к специ-фическим ресурсам, просматривать активные соединения. Фактически это является неким аналогом видеозаписи всех действий ИТ-специалиста во время работы, например, на серверной системе Linux, Windows, Exchange Server и т. д. При этом продукт генерирует предупреждение, если продолжительность сессии превышает заранее установленный временной лимит.

С точки зрения архитектуры решение Quest One Privileged Access Management — это единое устройство, в котором активируется тот или иной продукт в зависимости от купленных лицензий. Его важной особенностью является то, что функционал по разделу полномочий разнесен на аппаратном уровне. Кроме того, поскольку это физическое устройство, исключается возможность взлома со стороны администратора. Ведь если используется виртуальная машина и виртуальное устройство, то администратор может «потушить» эту машину и таким образом снять защиту. А в случае данного решения сервер можно остановить разве что физически, но ведь доступ в серверное помещение получить не так-то легко.

Продукт Quest достаточно прост с точки зрения введения в эксплуатацию. Он обладает интуитивно-понятным интерфейсом, хорошо интегрируется с другими системами, в том числе с Active Directory, SIEM-системами и прочими. Кроме того, вся информация, которую хранит устройство, защищена на уровне аппаратного шифрования, что гарантирует защиту от вторжений и взломов.

PCWeek/UE: Продукт интегрирован с другими решениями Quest или его можно использовать автономно? 

Е.Г.: Компания Quest всегда заявляла, что не производит дорогостоящих решений, якобы покрывающих все проблемы предприятия. Вместо этого компания создает мозаику, в которую можно интегрировать разные инструменты, предназначенные для решения различных задач. В результате заказчик может выбрать именно тот комплект решений, который оптимально ему подходит. При создании данного семейства продуктов вендор придерживался такой же философии. Эти решения могут быть вполне самодостаточными и работать отдельно, в то же время они бесшовно интегрируются с системами мультифакторной идентификации Quest Defender, системой управления пользователями Quest One Identity Manager, системой сбора логов Quest InTrust и т. д.

Стоит отметить, что программно-аппаратный комплекс Quest One Privileged Access Management построен на базе серверов Dell. Не секрет, что Quest и Dell давно связывают партнерские отношения, и после слияния этих компаний интеграция их решений усилится еще более.

PCWeek/UE: Каков диапазон стоимости данных продуктов?

Е.Г.: Продукты достаточно гибко лицензируются, их цена варьируется в зависимости от размера организации или ее требований. Но в среднем их стоимость лежит в той же ценовой категории, что и у «коллег по цеху». 

PCWeek/UE: Сколько времени занимает внедрение продукта?

Е.Г.: Весь процесс инсталляции от включения в розетку до начала использования занимает максимум один день. Ведь в отличие от многих конкурентных продуктов, Quest поставляет свою разработку в виде программно-аппаратного комплекса, представляющего собой готовое решение «под ключ». Заказчику остается только включить его в сеть, произвести базовое конфигурирование и подключить необходимые системы.

PCWeek/UE: Кого вы видите заказчиками таких решений? Крупный корпоративный сектор или СМБ-сегмент?

Е.Г.: Одной из причин покупки такого продукта является требование соответствовать стандартам. Ведь это решение помогает выполнить определенные требования по СУИБ ISO 27001, PCI DSS и т. д. Таким образом, главными потребителями являются финансовые учреждения. Кроме того, как Privileged Session Manager, так и Privileged Password Manager оптимальны для компаний с повышенными требованиями к внутренней безопасности.   

Отмечу также, что подобные инструменты могут быть полезны организациям, прибегающим к ИТ-аутсорсингу, когда часть работы по управлению и администрированию выполняют третьи компании. Поэтому сотрудники службы безопасности хотят иметь инструмент, позволяющий следить за работой специалистов, которые подключаются к корпоративным системам в процессе их обслуживания. Privileged Session Manager дает возможность через веб-портал запрашивать доступ к определенному устройству, серверу или базе данных. После подтверждения пароля ИТ-специалист прямо в веб-портале видит рабочий стол сервера и выполняет все необходимые административные функции. В то же время он заполняет запись с так называемым тегированием для облегченного поиска в дальнейшем.

В целом география заказчиков очень широкая. Мы продвигаем продукты Quest не только в Украине, но и в Латвии, Литве, других странах. Там заметный интерес к этим технологиям проявляют правительственные организации и силовые структуры. В перспективе мы планируем заинтересовать и украинские государственные учреждения, которые испытывают потребность в ограничении доступа к каким-либо системам либо в гранулярном контроле. Но вначале мы хотим «прощупать» рынок. К примеру, наблюдаем интерес к решению среди управляющих подразделений холдинговых компаний, где хранится самая важная информация о различных корпорациях, входящих в группу. Активно интересуются нашими продуктами и финансовые организации.

PCWeek/UE: Как давно начались поставки этих решений в Украину?

Е.Г.: С конца прошлого года решения стали доступны в нашем партнерском канале. А с начала 2012-го мы начали активно развивать это направление. У нас уже есть сертифицированные специалисты по продуктам, которые могут помочь партнерам и клиентам провести тестирование. Кроме того, в лаборатории «Бакотек» имеется тестовое оборудование, на котором проводятся демонстрации.