Любая организация, которая заботится о своей безопасности, старается ограничить права пользователей, уменьшив тем самым возможности для утечки данных или злонамеренного причинения вреда системе. Однако в ИТ-структуре предприятия есть особая «каста неприкасаемых» — системные администраторы, обладающие максимальными правами доступа, действия которых сложно контролировать. Не так давно компания Quest Software выпустила специальные решения, позволяющие осуществлять тщательный мониторинг деятельности даже тех ИТ-специалистов, которым предоставлены максимальные права доступа. О преимуществах и специфике данных решений рассказывает Евгений Гончаренко, менеджер по развитию бизнеса Quest в группе компаний «БАКОТЕК».
PCWeek/UE: Евгений, что собой представляет Quest One Privileged Account Management? Какие преимущества получает заказчик при покупке этих решений?
ЕВГЕНИЙ ГОНЧАРЕНКО: Решение для управления доступом Quest One Privileged Access Management от компании Quest Software — это проверенный временем комплект интегрированных модульных технологий. Он разработан специально для удовлетворения растущих требований к безопасности и соответствию стандартам, связанных с управлением привилегированной идентификацией и контролем привилегированного доступа.
В подобных решениях заинтересован менеджмент компаний, который испытывает необходимость контролировать ИТ-специалистов с привилегированным доступом (чаще всего речь идет о системных администраторах). Проблема в том, что обычно создают только одну учетную запись с максимальными правами доступа (например, root в ОС Linux), но ее используют несколько администраторов. Если служба безопасности компании зафиксировала в системе какие-либо несанкционированные действия, то понять, кто и когда их произвел, достаточно сложно. Именно в таких случаях поможет продукт Quest One Privileged Password Manager, который позволяет с помощью так называемой «тикетной» системы (системы заявок) отправить запрос на выдачу пароля. В зависимости от настроенной политики пароль выдается автоматически либо после подтверждения офицером, отвечающим за безопасность в компании. Но даже в случае позитивного ответа системы администратор может использовать пароль только в течение определенного времени. По истечении этого времени, система меняет пароль, и старый уже не будет действовать. Таким образом, решение Privileged Password Manager гарантирует, что при необходимости обеспечить администраторам доступ с повышенными правами он будет предоставлен согласно установленной политике с выдачей соответствующих разрешений. При этом все действия администраторов можно будет контролировать, а пароль будет изменен сразу же после завершения работы использовавшим его сотрудником.
В свою очередь, с помощью Quest One Privileged Session Manager можно осуществлять мониторинг всех действий в системе, где работает ИТ-администратор. Решение обеспечивает единую точку контроля, с которой менеджер безопасности способен авторизировать соединения, ограничивать доступ к специ-фическим ресурсам, просматривать активные соединения. Фактически это является неким аналогом видеозаписи всех действий ИТ-специалиста во время работы, например, на серверной системе Linux, Windows, Exchange Server и т. д. При этом продукт генерирует предупреждение, если продолжительность сессии превышает заранее установленный временной лимит.
С точки зрения архитектуры решение Quest One Privileged Access Management — это единое устройство, в котором активируется тот или иной продукт в зависимости от купленных лицензий. Его важной особенностью является то, что функционал по разделу полномочий разнесен на аппаратном уровне. Кроме того, поскольку это физическое устройство, исключается возможность взлома со стороны администратора. Ведь если используется виртуальная машина и виртуальное устройство, то администратор может «потушить» эту машину и таким образом снять защиту. А в случае данного решения сервер можно остановить разве что физически, но ведь доступ в серверное помещение получить не так-то легко.
PCWeek/UE: Продукт интегрирован с другими решениями Quest или его можно использовать автономно?
Стоит отметить, что программно-аппаратный комплекс Quest One Privileged Access Management построен на базе серверов Dell. Не секрет, что Quest и Dell давно связывают партнерские отношения, и после слияния этих компаний интеграция их решений усилится еще более.
Е.Г.: Продукты достаточно гибко лицензируются, их цена варьируется в зависимости от размера организации или ее требований. Но в среднем их стоимость лежит в той же ценовой категории, что и у «коллег по цеху».
Е.Г.: Весь процесс инсталляции от включения в розетку до начала использования занимает максимум один день. Ведь в отличие от многих конкурентных продуктов, Quest поставляет свою разработку в виде программно-аппаратного комплекса, представляющего собой готовое решение «под ключ». Заказчику остается только включить его в сеть, произвести базовое конфигурирование и подключить необходимые системы.
Е.Г.: Одной из причин покупки такого продукта является требование соответствовать стандартам. Ведь это решение помогает выполнить определенные требования по СУИБ ISO 27001, PCI DSS и т. д. Таким образом, главными потребителями являются финансовые учреждения. Кроме того, как Privileged Session Manager, так и Privileged Password Manager оптимальны для компаний с повышенными требованиями к внутренней безопасности.
В целом география заказчиков очень широкая. Мы продвигаем продукты Quest не только в Украине, но и в Латвии, Литве, других странах. Там заметный интерес к этим технологиям проявляют правительственные организации и силовые структуры. В перспективе мы планируем заинтересовать и украинские государственные учреждения, которые испытывают потребность в ограничении доступа к каким-либо системам либо в гранулярном контроле. Но вначале мы хотим «прощупать» рынок. К примеру, наблюдаем интерес к решению среди управляющих подразделений холдинговых компаний, где хранится самая важная информация о различных корпорациях, входящих в группу. Активно интересуются нашими продуктами и финансовые организации.
PCWeek/UE: Как давно начались поставки этих решений в Украину?