Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.9
Партнер МультиТек Инжиниринг — компания Индид представляет версию 2.9 продукта Indeed Privileged Access Manager (Indeed PAM).
Теперь Indeed PAM можно установить не только на Windows, но и на любой дистрибутив Linux с поддержкой Docker, в том числе сертифицированный ФСТЭК.
В версии 2.9 появился новый компонент – RDP Proxy, разработанный Компанией Индид на основе свободно распространяемого программного обеспечения. Он позволяет контролировать подключения к защищаемым ресурсам по протоколу RDP. В качестве каталога пользователей PAM стало возможным применение службы каталогов FreeIPA, которая также используется для аутентификации пользователей PAM.
Еще одно новшество – возможность создавать группы пользователей на основе групп из внешних каталогов с поддержкой протокола LDAP, таких как Active Directory (AD) и FreeIPA, а также связывать эти группы. В этой статье описываются все новые возможности, реализованные в Indeed PAM 2.9.
ПРОМЫШЛЕННАЯ РЕАЛИЗАЦИЯ RDP PROXY ПОД LINUX
Компонент RDP proxy, появившийся в версии 2.9, может использоваться в целях промышленной эксплуатации решения. Он выполняет следующие основные функции:
- проверка прав доступа пользователей;
- двухфакторная аутентификация пользователей;
- ведение видеозаписи сессий и сохранение снимков экрана;
- теневое копирование файлов, передаваемых в рамках сессий.
В основе RDP proxy лежит ПО с открытым исходным кодом. Для развертывания компонента используется платформа Docker, которая дает следующие преимущества:
- позволяет произвести установку на любой дистрибутив Linux с поддержкой Docker, в том числе сертифицированный ФСТЭК (ALT Linux, Astra Linux Special Edition, «РЕД ОС» и др.);
- избавляет от необходимости приобретать лицензии Microsoft и других поставщиков, что важно для большого количества заказчиков компании, которые проводят мероприятия по импортозамещению и переходят на Linux.
ПОДДЕРЖКА FREEIPA
Осуществляя стратегию импортозамещения, многие заказчики ИНДИД активно переходят с Microsoft Active Directory на другие службы каталогов, поддерживающие работу в операционных системах семейства *nix. В Indeed PAM 2.9 добавлена поддержка службы каталогов FreeIPA, которая теперь может использоваться в качестве каталога пользователей PAM и для аутентификации пользователей PAM.
Доступ к Indeed PAM из разных подсетей
Теперь в момент подключения пользователя к Indeed PAM можно определять сетевое расположение источника подключения и в зависимости от полученных сведений предоставлять различные списки доступных ресурсов. Иначе говоря, новая функция позволяет составлять разные перечни доступных подключений к защищаемым ресурсам для каждого пользователя с учетом того, откуда он подключается к Indeed PAM.
ПЛЕЙБУКИ ANSIBLE И ВЕБ-МАСТЕР СОЗДАНИЯ КОНФИГУРАЦИОННЫХ ФАЙЛОВ
Чтобы упростить установку и конфигурирование компонентов Indeed PAM, ИНДИД разработала:
- плейбуки Ansible, позволяющие автоматизировать подготовку окружения на серверах, включая установку Docker, и развертывание компонентов Indeed PAM;
- веб-конфигуратор с удобным графическим интерфейсом, при помощи которого можно создавать файлы конфигурации компонентов Indeed PAM, что избавляет от необходимости заполнять их в текстовом редакторе вручную.
Эти инструменты помогут сократить трудозатраты на внедрение и обновление Indeed PAM.
ВОЗМОЖНОСТЬ ОТПРАВКИ ОДНОРАЗОВЫХ ПАРОЛЕЙ ПО ЭЛЕКТРОННОЙ ПОЧТЕ
Теперь одноразовые пароли (OTP), применяемые для аутентификации в качестве второго фактора, можно получать на электронную почту. Новая функция позволит компаниям, в которых невозможно использовать приложения для генерации одноразовых паролей на основе времени (TOTP), отправлять OTP на электронные адреса пользователей.
ВЫДАЧА РАЗРЕШЕНИЙ ГРУППАМ ПОЛЬЗОВАТЕЛЕЙ ИЗ LDAP-КАТАЛОГОВ
В Indeed PAM 2.9 можно создавать группы пользователей на основе групп из внешних каталогов с поддержкой LDAP, в частности Active Directory (AD) и FreeIPA, а также связывать эти группы. Новым группам можно выдавать разрешения на доступ к защищаемым ресурсам. Разрешение получают все члены группы, а при выходе из нее оно отзывается. Кроме того, связанные группы периодически синхронизируются: их состав и свойства входящих в них привилегированных пользователей корректируются в зависимости от изменений в LDAP-каталоге.
Компания «МультиТек Инжиниринг» является авторизованным партнером компании «ИНДИД» и предлагает проведение пилотных проектов для оценки эффективности решений.