Senhasegura – zaawansowany system klasy PAM. Dlaczego warto z niego korzystać?

PAM, czyli Privileged Access Management, to system pozwalający na zarządzanie oraz kontrolę działaniami użytkowników w sieci firmowej. Niestety w większości przedsiębiorstw rzadko spotykany - a szkoda, bo to zaawansowane narzędzie, znacznie ułatwiające pracę administratorów. Na przykładzie oprogramowania Senhasegura sprawdźmy, co oferuje system PAM, a także dowiedzmy się, dlaczego powinniśmy z niego korzystać. Szczególnie w średnich i dużych firmach, które korzystają z usług przedsiębiorstw outsourcingowych.


Jeśli zależy nam na bezpieczeństwie firmowych danych, musimy zadbać o szereg narzędzi, które nam w tym pomogą. Jest to nie lada wyzwanie dla administratorów sieci, którzy muszą na każdym kroku analizować wszystkie działania, by nie paść ofiarą cyberataków. Pomocną rękę wyciąga Senhasegura, czyli system PAM. Jest to znaczne ułatwienie pracy osób z działu IT każdej firmy, gdyż za sprawą tego narzędzia możemy między innymi nadać użytkownikom dostęp do konkretnych systemów lub urządzeń, bez przekazywania haseł. Mało tego, każda sesja zdalna będzie nagrywana. To sprawia, że administrator może kontrolować oraz rozliczać to, co wykonuje firma outsourcingowa w naszej sieci wewnątrzfirmowej.

Privileged Access Management to oczywiście nie tylko bezpieczne „wpuszczanie” wdrożeniowców do naszej sieci firmowej. System tego typu oferuje znacznie więcej możliwości, które pozwalają nam na monitorowanie oraz zarządzanie zasobami w naszej firmie. Przykładowo, praktycznie w każdej zaawansowanej sieci firmowej mamy konta z podwyższonymi uprawnieniami. Użytkownicy mogą mieć dostęp do danych osobowych, konfiguracji poczty czy plików wchodzących w skład firmowego archiwum. Niekiedy dochodzi do sytuacji, że administratorzy przekazują sobie hasła dostępowe, które nie są odnawiane. Finalnie może to powodować ogromne problemy, gdyż osoby niepowołane (np. takie, które zakończyły już pracę dla firmy) nadal będą mieć dostęp do zasobów. PAM jest więc zaawansowanym narzędziem dbającym o bezpieczeństwo systemu informatycznego przedsiębiorstwa. Przede wszystkim, korzystanie z takiego systemu ogranicza dostęp do domeny typu Active Directory zarówno użytkownikom wewnętrznym, jak i wspomnianym wcześniej – firmom outsourcingowym oraz wdrożeniowym.

Senhasegura – zaawansowany system klasy PAM. Dlaczego warto z niego korzystać?

Jak chronić firmę przed niepowołanym dostępem

Pamiętajmy, że nie tylko z zewnątrz może dochodzić do ataków, które mają na celu kradzież danych. Ograniczone zaufanie to absolutnie nic negatywnego. Jeśli chcemy być chronieni przed nieuprawnionym dostępem do sprzętu firmowego, powinniśmy skorzystać z systemu PAM, takiego jak Senhasegura.

Opisywane rozwiązanie oferuje między innymi bardzo wygodny, a co za tym idzie intuicyjny interfejs, który pozwala na proste zarządzanie oraz wdrożenie. Finalnie, nawet najbardziej zaawansowane funkcje będą dostępne bezproblemowo. Oczywiście, prezentowany system PAM cechuje się również szeroko pojętą integracją z usługami katalogowymi, backupami oraz systemami Security Information and Event Management, w skrócie SIEM.

Senhasegura jest dostępna na całym świecie. Dzięki temu łatwo zintegrujemy system z aplikacjami internetowymi, urządzeniami sieciowymi, bazami danych i środowiskami wirtualizacji. Dużym atutem opisywanego systemu jest wsparcie bezagentowego logowania do web-consoli. To sprawia, że przechwycenie poświadczeń będzie praktycznie niemożliwe. Należy wspomnieć również o zaawansowanym filtrze komend, dzięki któremu administrator stworzy na przykład zablokowaną listę poleceń, z których użytkownicy nie będą mogli korzystać. Filtr można połączyć z funkcją bezpieczeństwa, dzięki której admin dowie się o próbie aktywacji polecenia. Finalnie, możemy takiego użytkownika zablokować bądź automatycznie zerwać sesję.

Możliwości systemu Senhasegura

Wspomniane wcześniej funkcje, to tak naprawdę promil tego, co oferuje administratorom Senhasegura. Postaramy się jednak przedstawić chociaż część z nich. Zachęcamy również do umówienia się na sesję zdalną, podczas której eksperci zaprezentują działanie systemu w praktyce oraz opowiedzą o wszystkich możliwościach tego narzędzia.

Senhasegura używając mechanizmu Grup Dostępu, pozwala na określenie, którzy użytkownicy mogą wykorzystywać poszczególne hasła, by finalnie uzyskać zdalny dostęp do urządzenia bądź usługi. Wspomniane zarządzanie poświadczeniami pozwala podnieść poziom ochrony, gwarantuje bezpieczne udostępnianie haseł, a także zapewnia administratorowi kontrolę nad wykorzystaniem poświadczeń. Warto zauważyć, że funkcja ta korzysta z szyfrowania AES 256-bit, SHA 256-bit, RSA 2048-bit i wyższych. Jeśli chodzi o funkcjonalność, uzyskujemy również awaryjny dostęp, który pozwala na natychmiastowy podgląd hasła, jego automatyczną zmianę oraz definiowanie grup, które przygotowane są na potrzeby segregowania dostępu. Senhasegura może zmieniać automatycznie hasła zawsze, gdy sesja z wykorzystaniem jednorazowych poświadczeń będzie zakończona. To znacznie zwiększa bezpieczeństwo, gdyż na przykład firma zewnętrzna, która z takiego hasła korzystała, nie będzie mogła ponownie zalogować się do systemu.

Administratorzy zarządzający siecią firmową, a więc i dostępami do poszczególnych funkcji i systemów, mogą za pomocą Senhasegura zbierać logi, co pozwoli na monitorowanie każdej z sesji logowanych. Mało tego – możemy również nagrywać sesje, które przeprowadzane są za pomocą Senhasegura. Dzięki temu będziemy mogli monitorować niepożądane zachowania, a materiał wideo będzie dowodem w sprawie.

Senhasegura – zaawansowany system klasy PAM. Dlaczego warto z niego korzystać?

Ograniczone zaufanie dla podmiotów zewnętrznych. Senhasegura strażnikiem danych naszej firmy

Przedsiębiorstwa, które korzystają z usług firm outsourcingowych, bądź np. zlecają podmiotom zewnętrznym instalację oprogramowania wewnątrz sieci z wykorzystaniem zdalnego dostępu, muszą pamiętać o ograniczonym zaufaniu. Senhasegura pozwala na kontrolę podmiotów zewnętrznych. Administrator sieci wykorzystując grupy oraz profile dostępu, może w kontrolowany sposób zapewnić dostęp na przykład firmie, która jest dostawcą usług. Oczywiście, wykorzystując system, admin nadaje specjalne uprawnienia, które pozwalają na przykład na wykorzystanie określonych usług w pewnym przedziale czasu. Dzięki temu ma pewność, że na przykład po skończonej pracy kontrahent nie uzyska dostępu do urządzeń naszej firmy. Senhasegura oferuje wielopoziomowy mechanizm przyznawania dostępu, a także specjalny audyt poleceń, który alarmuje administratora w przypadku próby aktywacji nieautoryzowanych konfiguracji. Omawiane alarmy konfigurowane są w ramach sesji SSH, Telnet bądź baz danych. Pozostając przy temacie udzielania dostępu, system pozwala na rozdzielenie hasła na kilku użytkowników. To oznacza, że w pewnych sytuacjach, aby uzyskać dostęp do aplikacji, usługi lub urządzenia, potrzebować będziemy na przykład trzy z pięciu osób mających dostęp do wspomnianego hasła.

Administrator może również na bieżąco monitorować potencjalne zagrożenia, aby za pomocą prezentowanego systemu pozyskać zgłoszenia o podejrzanych działaniach, które są wykorzystywane za pomocą poświadczeń. Użytkownik Senhasegura otrzymuje generowaną na bieżąco listę poleceń oraz zachowań, które system uzna za podejrzane. Narzędzie może również klasyfikować podejrzane działania, aby administrator mógł wyświetlać je w formie graficznej. Mówimy tu między innymi o aktywności SIEM/SYSLOG oraz o identyfikacji ruchu poprzecznego i eskalacji uprawnień. Jeśli nie będziemy chcieli udostępniać haseł użytkownikom, możemy wykorzystać Putty lub RDP. Mowa o sesji monitorowanej, którą administrator będzie mógł na bieżąco analizować.

Wgłębiając się w system PAM Senhasegura możemy również zauważyć, że oferuje on audyty oraz zapewnienie zgodności z regulacjami – GDPR, który jest niezwykle ważny w przypadku kontroli. Co ciekawe, oprogramowanie pozwala nam na utworzenie dedykowanego profilu audytora. Finalnie uzyskujemy przygotowane raporty, aby instytucja nadzorcza lub audytor mógł przeanalizować wygenerowane w sposób przejrzysty zbiory dowodów.

Senhasegura – zaawansowany system klasy PAM. Dlaczego warto z niego korzystać?

Senhasegura to również szereg modułów dodatkowych

Jak widać, producent systemu Senhasegura oferuje administratorom kompletne narzędzie do zapewnienia bezpieczeństwa danych sieci firmowej. Podstawowa funkcjonalność jest już bardzo duża, aczkolwiek możemy dokupić jeszcze jeden z sześciu modułów dodatkowych. Warto omówić je w skrócie, gdyż dzięki nim administratorzy mogą dokładnie zoptymalizować Senhasegura według własnych potrzeb.

Zacznijmy od modułu zarządzania kluczami SSH. Administratorom raczej nie trzeba tłumaczyć, czym jest tego typu klucz. W skrócie, służy on do udzielenia autoryzacji podczas łączenia się komputera z serwerem. Wykorzystując moduł dodatkowo do Senhasegura, uzyskujemy analizę sesji użytkownika, która opiera się o jego zachowanie. Możemy również zidentyfikować podejrzany dostęp, który będzie wykryty na przykład przez nietypowy czas trwania. Jakie korzyści jeszcze uzyskuje administrator? Przede wszystkim scentralizowane zarządzanie kluczami SSH, kontrolę i śledzenie z ich wykorzystaniem, a także blokowanie nieautoryzowanego dostępu do kont uprzywilejowanych.

Kolejnym modułem, jaki oferuje system jest umożliwienie zarządzania cyklem życia cyfrowych certyfikatów. Użytkownik uzyskuje podgląd wszystkich certyfikatów wraz z ich statusem. To ważne, gdyż – co prawda rzadko, ale jednak – pojawiają się sytuacje problematyczne związane z wygasaniem certyfikatu. Jest to poważna „wpadka” szczególnie w przypadku na przykład bardzo dużych sklepów on-line czy portali bankowych. Za sprawą modułu możemy zyskać automatyzację zarządzania cyklem życia każdego certyfikatu, co finalnie pozwala na zredukowanie potencjalnego czasu braku dostępu, który może być spowodowany wygasłym certyfikatem. Pamiętajmy, że jesteśmy tylko ludźmi, dlatego warto korzystać z oprogramowania, które „będzie za nas pamiętać” o tego typu zadaniach.

Równie interesującym modułem jest PEDM – Senhasegura Go „Zarządzanie i ochrona stacji roboczych”. Jak można zauważyć na poniższej grafice, moduł kontroluje eskalację przywilejów na poszczególnych stacjach roboczych, by finalnie umożliwić uruchamianie aplikacji lub zadań, które wymagają uprawnień administracyjnych. Osoba zarządzająca siecią zyskuje segregowany dostęp do wrażliwych danych, a także może izolować środowiska, łączyć zdarzenia, by oczywiście identyfikować potencjalną kradzież danych lub podejrzane zachowania. Każde z połączeń jest w tym przypadku rejestrowane w formie wideo, a także logów. Dzięki czemu podczas przeprowadzania audytu możemy w prosty sposób „dotrzeć” do niebezpiecznych zachowań użytkowników.

DevOps to specjalna metoda tworzenia aplikacji. Cechuje ją komunikacja oraz integracja pomiędzy deweloperami a specjalistami do spraw eksploatacji. Pozwala na osiągnięcie zamierzonych celów celow bezpieczniej oraz szybciej, czyli – skuteczniej. System Senhasegura w przypadku jednego z modułów zapewnia nam zarządzanie poświadczeniami, a także tajemnicami naszej firmy w ramach procesu produkcji. System PAM pozwala nam na zwiększenie bezpieczeństwa w ramach wspomnianych procesów. Producent oprogramowania sugeruje, że dzięki temu modułowi zyskujemy zwiększoną produktywność zespołów, co z kolei pozwala na szybsze wdrożenie tworzonego oprogramowania.

Senhasegura – zaawansowany system klasy PAM. Dlaczego warto z niego korzystać?

Klaster HA i Load Balancer

Podczas przeglądania dodatkowych modułów dla systemu Senhasegura PAM możemy trafić na Load Balancer. Jest to rozwiązanie, które monitoruje różne aspekty klastra, czyli grupy komputerów wewnątrzfirmowych, które współpracują ze sobą. Może funkcjonować jako tak zwany load balancer, dzięki czemu kieruje ruch danych do jego wszystkich elementów. Możemy więc rozdzielać żądania, co pozwala na równoważenie obciążenia, a także zmaksymalizowanie przepustowości łącza. Finalnie, sieć jest zoptymalizowana pod kątem pojemności wykorzystania zasobów. Nawet wtedy, gdy pojawiają się błędy w systemie. Administrator może dodatkowo zyskać krótszy czas rozwiązywania problemów.

Czym jest wspomniany klaster? Tak zwany klastering odnosi się do architektury systemu. Dzięki niemu łączymy dwa rozwiązania. Pierwsze – High Availability, drugie – Contingency. HA, czyli tłumacząc wysoka dostępność pozwala na działanie dwóch bądź większej ilości instancji, które są połączone bazą danych.

Dlaczego warto korzystać z klastra HA? Jego zastosowanie pozwala na łączenie backupu online z awaryjnym jego odzyskiwaniem. Każda firma korzysta z Internetu, choćby za pośrednictwem VoIP czy systemów CRM. Posługiwanie się klastrem High Availability pozwala na podzielenie pracy pomiędzy kilka instancji, by zapewnić bezpieczeństwo. Jeśli jeden z nich przestanie działać, pozostałe nadal mogą pracować. Z kolei Disaster Recovery, jak sama nazwa mówi, pozwala na odzyskanie utraconej infrastruktury w krótkim czasie. Docieramy do Load Balancing, który również z nazwy sugeruje równoważenie obciążenia. Funkcja rozdziela zadania, aby zapewnić użytkownikom najlepszą optymalizację. Narzędzie to jest skonstruowane tak, aby rozkładać zadania na maszyny, które w danym momencie są najmniej obciążone.

Co zyskuje administrator? Przede wszystkim wydajność i bardzo ważną, szczególnie w dużych firmach, skalowalność. Współdzielenie obciążenia na poszczególne maszyny sprawia, że możemy rozbudowywać system w miarę rozwoju przedsiębiorstwa, na przykład w okresie tak zwanego szczytu biznesowego.

Senhasegura – zaawansowany system klasy PAM. Dlaczego warto z niego korzystać?

Podsumowanie

Przedstawione w tym artykule rozwiązanie PAM, które przygotowano w 2011 roku (by dwa lata później uzyskać nazwę Senhasegura) jest dziś jednym z najbardziej zaawansowanych narzędzi, które sprawia, że sieć komputerowa wewnątrz firmy może być odpowiednio zabezpieczona przed nieautoryzowanym dostępem. Dzięki temu kradzież danych oraz cennych informacji firmowych jest wręcz niemożliwa. Senhasegura będzie doceniana przede wszystkim przez administratorów sieci, serwerów i baz danych. Jakość tego rozwiązania mogą potwierdzić standardy takie jak między innymi ISO 27001, HIPAA czy Sarbanes-Exley.