Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.9

Партнер МультиТек Инжиниринг — компания Индид представляет версию 2.9 продукта Indeed Privileged Access Manager (Indeed PAM).

Теперь Indeed PAM можно установить не только на Windows, но и на любой дистрибутив Linux с поддержкой Docker, в том числе сертифицированный ФСТЭК.

В версии 2.9 появился новый компонент – RDP Proxy, разработанный Компанией Индид на основе свободно распространяемого программного обеспечения. Он позволяет контролировать подключения к защищаемым ресурсам по протоколу RDP. В качестве каталога пользователей PAM стало возможным применение службы каталогов FreeIPA, которая также используется для аутентификации пользователей PAM.

Еще одно новшество – возможность создавать группы пользователей на основе групп из внешних каталогов с поддержкой протокола LDAP, таких как Active Directory (AD) и FreeIPA, а также связывать эти группы. В этой статье описываются все новые возможности, реализованные в Indeed PAM 2.9.

ПРОМЫШЛЕННАЯ РЕАЛИЗАЦИЯ RDP PROXY ПОД LINUX

Компонент RDP proxy, появившийся в версии 2.9, может использоваться в целях промышленной эксплуатации решения. Он выполняет следующие основные функции:

• проверка прав доступа пользователей;
• двухфакторная аутентификация пользователей;
• ведение видеозаписи сессий и сохранение снимков экрана;
• теневое копирование файлов, передаваемых в рамках сессий.

В основе RDP proxy лежит ПО с открытым исходным кодом. Для развертывания компонента используется платформа Docker, которая дает следующие преимущества:

• позволяет произвести установку на любой дистрибутив Linux с поддержкой Docker, в том числе сертифицированный ФСТЭК (ALT Linux, Astra Linux Special Edition, «РЕД ОС» и др.);
• избавляет от необходимости приобретать лицензии Microsoft и других поставщиков, что важно для большого количества заказчиков компании, которые проводят мероприятия по импортозамещению и переходят на Linux.

ПОДДЕРЖКА FREEIPA

Осуществляя стратегию импортозамещения, многие заказчики ИНДИД активно переходят с Microsoft Active Directory на другие службы каталогов, поддерживающие работу в операционных системах семейства *nix. В Indeed PAM 2.9 добавлена поддержка службы каталогов FreeIPA, которая теперь может использоваться в качестве каталога пользователей PAM и для аутентификации пользователей PAM.

Доступ к Indeed PAM из разных подсетей

Теперь в момент подключения пользователя к Indeed PAM можно определять сетевое расположение источника подключения и в зависимости от полученных сведений предоставлять различные списки доступных ресурсов. Иначе говоря, новая функция позволяет составлять разные перечни доступных подключений к защищаемым ресурсам для каждого пользователя с учетом того, откуда он подключается к Indeed PAM.

ПЛЕЙБУКИ ANSIBLE И ВЕБ-МАСТЕР СОЗДАНИЯ КОНФИГУРАЦИОННЫХ ФАЙЛОВ

Чтобы упростить установку и конфигурирование компонентов Indeed PAM, ИНДИД разработала:

• плейбуки Ansible, позволяющие автоматизировать подготовку окружения на серверах, включая установку Docker, и развертывание компонентов Indeed PAM;
• веб-конфигуратор с удобным графическим интерфейсом, при помощи которого можно создавать файлы конфигурации компонентов Indeed PAM, что избавляет от необходимости заполнять их в текстовом редакторе вручную.

Эти инструменты помогут сократить трудозатраты на внедрение и обновление Indeed PAM.

ВОЗМОЖНОСТЬ ОТПРАВКИ ОДНОРАЗОВЫХ ПАРОЛЕЙ ПО ЭЛЕКТРОННОЙ ПОЧТЕ

Теперь одноразовые пароли (OTP), применяемые для аутентификации в качестве второго фактора, можно получать на электронную почту. Новая функция позволит компаниям, в которых невозможно использовать приложения для генерации одноразовых паролей на основе времени (TOTP), отправлять OTP на электронные адреса пользователей.

ВЫДАЧА РАЗРЕШЕНИЙ ГРУППАМ ПОЛЬЗОВАТЕЛЕЙ ИЗ LDAP-КАТАЛОГОВ

В Indeed PAM 2.9 можно создавать группы пользователей на основе групп из внешних каталогов с поддержкой LDAP, в частности Active Directory (AD) и FreeIPA, а также связывать эти группы. Новым группам можно выдавать разрешения на доступ к защищаемым ресурсам. Разрешение получают все члены группы, а при выходе из нее оно отзывается. Кроме того, связанные группы периодически синхронизируются: их состав и свойства входящих в них привилегированных пользователей корректируются в зависимости от изменений в LDAP-каталоге.

Оригинал статьи

 

Компания «МультиТек Инжиниринг» является авторизованным партнером компании «ИНДИД» и предлагает проведение пилотных проектов для оценки эффективности решений.