SOFFID PAM

Введение Потребность в привилегированных учетных записях характерна для большинства информационных систем. Эти учетные записи необходимы для выполнения запланированных задач настройки и обслуживания, а также для выполнения таких задач, как восстановление аппаратного или программного сбоя или восстановление резервной копии. Именно из-за необходимости использования этих учетных записей незапланированным образом управление ими должно сочетать безопасность, процедуры и гибкость. Для эффективного управления этими учетными записями продукт Soffid имеет необходимые инструменты для:

• Определения учетных записей
• Классификации их по уровню риска и схеме использования
• Распространения и назначения ответственными пользователей.
• Автоматической и плановой смены паролей
• Процесса доставки паролей авторизованным пользователям
• Автоматической инъекции паролей

Типы счетов Soffid управляет тремя типами учетных записей:

• Учетная запись пользователя. Они назначаются одному пользователю, который несет полную ответственность за управление ими.
• Общие учетные записи. Их могут использовать более одного человека. Soffid позволяет нескольким людям использовать эту учетную запись одновременно.
• Особо привилегированные учетные записи. Их могут использовать больше, чем один человек, но инструмент гарантирует, что только один человек может использовать учетную запись в любое время.

Классификация учетной записи как особо привилегированной позволяет всегда идентифицировать, кто внес какие-либо изменения в систему, потому что, зная момент, когда произошло изменение, мы можем однозначно определить, кто обладал учетными данными в любое время. Механизмы интеграции Soffid интегрируется с управляемыми системами с двух позиций:

• С точки зрения сервера, управления учетными записями и разрешениями целевой системы.
• С точки зрения клиента автоматизация доступа и входа в систему.

С точки зрения сервера, Soffid будет подключаться к целевой системе для сбора существующих учетных записей, создания новых или отключения старых. Кроме того, вы можете изменить пароли по запросу владельцев учетной записи. Подключение к управляемым системам можно осуществить двумя способами: с локальным агентом или без него. Безагентное соединение настраивается проще и быстрее, при этом оно не требует установки программного обеспечения в управляемых системах. Однако у безопасности этого механизма есть некоторые недостатки: должна быть создана привилегированная учетная запись, чтобы инструмент мог удаленно подключаться для управления остальными привилегированными учетными записями. Если пароль для этой учетной записи деактивирован или утерян, ни одной из системных учетных записей невозможно будет управлять. Протоколы связи Windows или SSH в случае Linux не предлагают 100% эффективных механизмов аутентификации и шифрования. По этой причине, когда требования к безопасности высоки, агенты должны быть установлены на каждом из управляемых узлов, что повышает безопасность системы в целом. С точки зрения безопасности и аутентификации, связь между главным синхронизирующим сервером и синхронизирующим сервером управляемого узла осуществляется с использованием взаимной аутентификации и шифрования TLS.