Short intro: here you can find an article about integrated PAM & IGA solution, developed by VDEL Informationstechnik & Consulting Gmbh on top of Oracle Identity Management products...
В этой статье пойдет речь о продукте SUBOP Security (Software United Business Operations Platform Security module) by VDEL, который включает в себя Privileged Accounts Manager (PAM) решение SUPAM и IGA решение на базе Oracle Identity Governance. Попытки интегрировать PAM и IGA не новы, можно вспомнить Oracle Identity Governance и Oracle Privileged Accounts Management (OPAM), а также недавно вышедшую интеграцию Oracle Access Governance и Arcon PAM (https://blogs.oracle.com/cloud-infrastructure/post/arcon-pam-integration-oracle-access-governance). Однако, OPAM уже не развивается и не поддерживается Oracle, а Oracle Access Governance - исключительно облачное решение, недоступное в онпрем варианте. Поэтому место для интеграции IGA в исполнении Oracle и PAM решения (в исполнении VDEL) вакантно.
О компонентах
SUBOP Security - набор продуктов, на основе технологий Oracle Identity Management (Access Management, Identity Governance), ASFU лицензии на которые включены в лицензии на продукт.
SUPAM - PAM решение собственной разработки VDEL, лицензионно дополняет SUBOP Security, но также может быть приобретен отдельно и/или интегрирован с другим IGA решением.
SUPAM IGA Integration module - модуль интеграции SUPAM с Oracle Identity Governance. Лицензионно входит в состав SUPAM.
Об интеграции
Представьте себе крупную финансовую организацию с масштабной инфраструктурой, которая постоянно сталкивается с угрозами безопасности. Привилегированные учетные записи при этом могут являться шлюзом, посредством которого злоумышленники могут получить доступ к конфиденциальным данным и выполнять действия, ведущие к нарушению конфиденциальности, целостности и доступности данных. Поэтому, подобные учетные записи часто являются целью атак, а управление и обеспечение безопасности привилегированных записей является не просто операционной необходимостью, а частью стратегии управления рисками компании.
Поэтому, привилегированные учетные записи должны также подчиняться политикам компании и соответствия требованиям регуляторов, что возможно в интегрированном решении IGA - PAM. И эта интеграция применима не только к финансовому сектору, но и к любой другой отрасли.
В этой статье мы покажем, как интегрированное решение SUPAM и Oracle Identity Governance (SUBOP Security) может помочь компаниям усилить безопасность и упростить соответствие требованиям регуляторов.
Проблемы при управлении привилегированным доступом
Привилегированные учетные записи обычно принадлежат системным администраторам, администраторам баз данных и приложений, и с этим доступом часто возможно выполнять операции с конфиденциальными данными организации. Следовательно, они наиболее важны для злоумышленников и часто являются целью атак. Успешная атака на подобные учетные записи может привести к нарушениями конфиденциальности, целостности и доступности данных. Также, организации вынуждены соответствовать нормативным требованиям стандартов и регуляторов, таких как GDPR, PCI DSS, SOX и прочие, которые требуют управления подобным доступом.
Традиционные методы управления привилегированным доступом подразумевают использование таблиц Excel и ручных процессов, они недостаточно масштабируемы и безопасны и в случае с крупной организацией подвержены ошибкам. Кроме того, организациям необходимо не просто контролировать привилегированный доступ, но и отслеживать его постоянно.
SUPAM и SUBOP Security
SUPAM предназначен для защиты, контроля и мониторинга привилегированных учетных записей. Он предоставляет комплексное решение для управления привилегированным доступом в различных ИТ-средах, помогая гарантировать, что только авторизованные пользователи могут получить доступ к критически важным системам. Однако, хотя SUPAM обеспечивает ключевые требования, предъявляемые к PAM системам, управление привилегированным доступом в масштабе крупной организации автоматизации процессов предоставления доступа и соответствия нормативным требованиям. Именно здесь в игру вступает SUBOP Security.
Интегрированное решение SUPAM и SUBOP Security обеспечивает намного больше, чем просто управление привилегированным доступом. Интеграция автоматизирует процессы предоставления и сертификации доступа, обеспечивает соблюдение политик безопасности и помогает гарантировать, что привилегированный доступ соответствует целям организации в области соответствия требованиям и управления рисками.
Ключевые преимущества интегрированного решения SUPAM и SUBOP Security
Интеграция этих двух продуктов имеет следующие преимущества:
Централизованный контроль доступа: например, в финансовых учреждениях IT-администраторы с трудом управляют сотнями привилегированных учетных записей вручную. Интеграция SUPAM с SUBOP Security предлагает централизованную платформу для управления и контроля этих учетных записей. IT-отделы могут создавать согласованные политики доступа во всех системах, помогая гарантировать, что привилегированным пользователям предоставляется только тот доступ, который им нужен, реализуя “Принцип наименьших полномочий” (Least Possible Privilege).
Автоматизированные проверки доступа и сертификация: ручные проверки доступа являются трудоемкими и подвержены человеческим ошибкам, а их результат зачастую бывает уже неактуальным. Благодаря интеграции SUPAM и SUBOP Security учреждение может автоматизировать процессы проверки доступа и сертификации. Система регулярно проверяет, у кого есть доступ к привилегированным учетным записям, необходимо ли это и соответствует ли политикам компании.
Мониторинг и отчетность в реальном времени: интеграция обеспечивает видимость в реальном времени того, как используются привилегированные учетные записи. Предприятие может отслеживать активность пользователей, обнаруживать необычное поведение и создавать подробные журналы аудита для целей соответствия и отчетности. Этот уровень видимости имеет решающее значение для выявления потенциальных угроз безопасности до того, как они перерастут в серьезные инциденты.
В чем именно SUPAM и SUBOP Security дополняют друг друга
В интегрированном сценарии работы SUBOP Security (Oracle Identity Governance плюс дополнительные модули) отвечает за следующий функционал:
Запрос и согласование доступа администраторов к SUPAM / целевым системам, согласование “break-glass” доступа (в случае возникновения непредвиденной ситуации);
RBAC (Role Based Access Control) - ролевое массовое предоставление доступа, статически или динамически на основе правил;
Политики доступа - к администраторам применяются корпоративные политики доступа и они не являются больше исключением;
Сертификация доступа - проверка неизбыточности полномочий администраторов на периодической основе;
Разделение полномочий (Segregation Of Duties, SOD) - возможно выявлять конфликты доступа, превентивно или детективно;
Предоставление именного доступа к администрируемым серверам через Oracle Identity Connectors;
Предоставление доступа к системе SUPAM;
Сброс пароля, автоматическая генерация безопасных паролей в SUPAM и целевых системах, конечные администраторы не должны знать своих паролей в целевые системы;
Отчетность по предоставленному доступу для обеспечения соответствия требованиям стандартов и регуляторов.
MFA в SUPAM и в целевые системы (СУБД, Linux) при помощи Oracle Access Management.
Область ответственности SUPAM:
Безопасное создание подключений (RDP, SSH, VNC etc), передача окна терминала в браузер;
Запись сессий (видео, текст);
Безопасное хранение записей сессий;
Лицензирование
В интегрированном варианте продукт лицензируется по диапазону пользователей (0 - 5000, 5000 - 10000 etc), заведенных в SUBOP Security. Следующие продукты Oracle полностью лицензированы по ASFU программе вместе с SUBOP Security:
Enterprise Identity Services Suite
Oracle Identity Governance Suite
Oracle Access Management Suite
Oracle Directory Services Suite Plus
Identity Connector Pack
No comments:
Post a Comment