Верхнее

Privileged Access Management

PIM, PUM, PAM!

Привычна ситуация, когда для иностранного термина в области информационной безопасности нет общепринятого русского перевода и приходится использовать англоязычные понятия/аббревиатуры, а вот с контролем (действий) привилегированных пользователей нет чёткости и в западных источниках.

Пожалуй, самый распространённые сокращения — те, что вынесены в заголовок этого поста:

  • PIM — Privileged Identity Management;
  • PUM — Privileged User Management;
  • PAM — Privileged Account/Access Management.

Мне (как и Gartner) больше импонирует Privileged Access Management, а вот портал Anti-Malware этой весной делал обзор PUM. Обзор хороший, но чуть уже устаревший и, на мой взгляд, не до конца полный в части представленных на российском рынке решений.

Так, например, решение Xceedium после покупки компанией CA Technologies стало частью бандла CA Privileged Access Manager Bundle.

Покопавшись в архивах памяти и своей персональной базе знаний Evernote, к рассмотренным в обзоре коллег продуктам добавил ещё несколько. Все они собраны вот в этом разделе Каталога СрЗИ: Контроль привилегированных пользователей.

Сначала чуть подробнее коснусь решений по контролю привилегированных пользователей c сертификатами ФСТЭК. Всё же, такая сертификация — это определённая инвестиция вендора в российский рынок и, чаще всего, демонстрация намерений активно им заниматься.

Самый ранний из действующих сертификатов ФСТЭК у решения Программный комплекс управления привилегированными учетными записями и привилегированными сессиями Cyber-Ark Privileged Identity Management and Session Management Suite 8.0. Сертификат получен в ноябре 2014 года, схема сертификации — серия (т.е. можно сертифицировать любое количество изделий в зависимости от потребностей клиентов), правда, сертификат выдан только на ТУ (технические условия), без проверки на НДВ. Но, есть и ещё одна ложка дёгтя — с момента сертификации вышло уже не одно обновление, актуальная версия и вовсе 9.x (даже называется решение сейчас чуть иначе — CyberArk Privileged Account Security), так что желающие использовать сертифицированный продукт CyberArk обречены работать с прошлой версией ПО.

В феврале 2015 года был получен сертификат на Программный комплекс Система контроля действий поставщиков ИТ-услуг, под которым, если верить пресс-релизам, скрывается вот такой зверь:

СКДПУ разработана российской компанией «АйТи БАСТИОН» и создана с использованием исходного кода французской компании Wallix, ОАО «НПО РусБИТех», производителя защищенной операционной системы специального назначения Astra Linux Special Edition, и собственных разработок компании «АйТи БАСТИОН».

Помимо сертификации на ТУ, у СКДУ есть и НДВ (по 4 уровню), но сертифицировано только 500 экземпляров, что, в зависимости от схемы лицензирования и архитектуры решения, может означать как потенциал в 500 проектов, так и лишь один проект, где задействованы все 500 экземпляров. Впрочем, раз процедура сертификации была однажды пройдена, можно ведь и повторить её ещё раз.

Третий из решений этого класса продукт с сертификатом ФСТЭК — это Программно-технический комплекс «Shell Control Box» от Balabit. Тоже ТУ и тоже НДВ4, но экземпляров поменьше — только 300. Зато тут не чисто программное решение, а программно-техническое, что как-то логичнее вяжется с сертификацией ограниченного числа экземпляров.

Из остальных представленных на российском рынке PAM-решений о планах сертификации мне известно только для продукта SafeInspect. В апреле этого года были обещаны: ТУ, НДВ4 и даже СВТ5. Пока ждём. Само решение позиционируется как отечественное, а в качестве прародителя по некоторым данным имеет CryptoAuditor от финской SSH Communication Security.

Про решения от IBM (Security Privileged Identity Manager) и Centrify (Centrify Server Suite) раньше особо слышать не приходилось, но в Каталог СрЗИ всё же добавил их, тем более, что и русские описания какие-никакие, но найти удалось.

Lieberman Software (Enterprise Random Password Manager) были замечены среди участников InfoSecurity Russia, Форума АЗИ и Уральского форума ИБ банков, так что на российском рынке они явно представлены.

С решением ObserveIT в своё время довелось познакомиться достаточно близко, успешные проекты в России у них есть — точно знаю.

Что же касается заключительного решения в этой категории — Wheel Fudo PAM от Wheel Systems, то на российском рынке оно продвигается силами компании Дефсис под своим более коротким вариантом названия: FUDO.

Общее число решений такого класса, конечно, существенно больше. Например, Forrester в отчёте Privileged Identity Management, Q3 2016 ещё называет: BeyondTrust, Bomgar, Dell, ManageEngine, Thycotic. Однако, вопрос их представленности на российском рынке остаётся открытым.

, , , , , , , , , , , , , , , , , , ,

2 Responses to PIM, PUM, PAM!

  1. Николай 08.12.2016 at 12:39 #

    А про Zecurion PAM что-то известно? Они недавно провели онлайн-семинар, но там только скриншоты пока…

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

%d такие блоггеры, как: