BeyondTrust PRA bezpieczny i funkcjonalny system dostępu zdalnego

BeyondTrust
by Tomasz Smug
Bezpieczny system dostępu zdalnego

Outsourcing IT w zakresie zarządzania aplikacjami i systemami serwerowymi jest dziś bardzo powszechny. Takie podejście zapewnia efektywne funkcjonowanie działów IT. Natomiast wymaga ono tworzenia i utrzymania tuneli VPN. Jak też rodzi pewne komplikacje związane z monitorowaniem działań kontraktorów na zasobach, często krytycznych dla firmy, czy organizacji. Działy bezpieczeństwa lub IT bez implementacji dodatkowych systemów, nie są w stanie odpowiedzieć na pytanie, co dokładnie dzieje się w trakcie sesji kontraktorów na krytycznych zasobach. Co więcej często współpraca z kontraktorem w trakcie sesji jest prowadzona za pomocą różnych narzędzi, nierzadko opartych o chmurę, co do których można mieć zastrzeżenia dotyczące ich bezpieczeństwa. Oczywiście są systemy typu PAM, dzięki którym ten problem można rozwiązać. Natomiast prawie zawsze wiąże się to, ze złożonym procesem planowania i wdrożenia takiego systemu. Co więcej systemy PAM są systemami zorientowanymi głównie na bezpieczeństwo i aspekty funkcjonalne są implementowane w ograniczonej postaci. Przykładem jest tu możliwość współpracy działu IT razem z kontraktorem w trakcie wspólnej sesji. Taka funkcjonalność z perspektywy pracowników IT jest bardzo przydatna, a w systemach PAM praktycznie nie występuje.

Czy istnieją na rynku rozwiązania podnoszące poziom bezpieczeństwa i możliwość monitorowania i rejestracji sesji kontraktorów?

Jednocześnie zapewniając szybką i prostą implementację oraz możliwość kolaboracji? Cechy te w 100% wypełnia system BeyondTrust PRA (Privileged Remote Access). Rozwiązanie to zostało specjalnie zaprojektowany na potrzeby dostępu zdalnego z sieci zewnętrznej do wewnętrznych zasobów serwerowych firmy, bądź organizacji.

Bezpieczeństwo i funkcjonalność

W systemie PRA położono duży nacisk jednocześnie na jego bezpieczeństwo i funkcjonalność. Rozwiązanie korzysta z gotowego i zabezpieczonego appliance’a producenta z możliwością jego szybkiej i prostej implementacji do DMZ. Dzięki temu nie ma potrzeby tworzenia i utrzymywania tuneli VPN dla firm zewnętrznych. Całość komponentów systemu znajduje się wewnątrz własnej infrastruktury użytkownika. Co zapewnia pełną kontrolę nad nagraniami sesji oraz kontrolę nad przepływem komunikacji sieciowej. Konta kontraktorów są tworzone lokalnie na systemie PRA lub synchronizowane z Active Directory. Kontraktorzy łączą się bezpośrednio z appliancem PRA, gdzie stosowane są dla ich kont polityki kontroli dostępu. Zestaw wykorzystywanych portów został ograniczony do minimum, komunikacja między komponentami systemu jest szyfrowana TLS i oparta o jeden port 443.

Kontrola dostępu

Kontrola dostępu dla firm zewnętrznych może być konfigurowana w granularny sposób na poziomie pojedynczych kont kontraktorów lub grup użytkowników, dla których przyznawane są uprawnienia dostępowe do grup hostów. Jest też szereg dodatkowych uprawnień, ograniczających kontraktora w trakcie sesji np. kopiowanie plików, wykonywanie poleceń ssh, synchronizowanie schowka maszyny kontraktora i lokalnego serwera itp.

Magazyn haseł

Dodatkowo w systemie zaimplementowano wbudowany magazyn haseł. Dzięki niemu możemy przypisywać kontraktorom uprawnienia do użytkowania kont uprzywilejowanych. Dzięki takiemu podejściu kontraktorzy, będą mogli logować się do przeznaczonych dla nich systemów kontami administracyjnymi bez konieczności wydawania im w sposób jawny haseł do tych kont.

Nagrywanie sesji oraz analityka

Oczywiście system PRA zapewnia możliwość nagrywania oraz szczegółowy audyt log, z sesji łącznie z wyszukiwaniem po ciągach znaków np. nazwy uruchamianego oprogramowania, czy wpisywanych poleceń w konsoli, co zapewnia szybką i prostą weryfikację prac firm zewnętrznych. Oprócz analizy danych archiwalnych zyskujemy, także możliwość bieżącego monitorowania wszystkich sesji kontraktora i w razie naruszenia zasad bezpieczeństwa ich wymuszone przejęcie od kontraktora.

Aktywna współpraca z kontraktorem

I na koniec to czego często brakuje w rozbudowanych systemach PAM, czyli możliwość kolaboracji. Za pomocą narzędzia PRA mamy możliwość, aktywnej współpracy razem z kontraktorem w trakcie sesji graficznej, zyskujemy możliwość współdzielenia pulpitu z klikaniem i pisaniem na klawiaturze oraz wbudowany czat.

Dzięki wszystkim powyższym funkcjom otrzymujemy kompletny system zapewniający możliwość podłączenia kontraktorów do wewnętrznych systemów w firmie, czy organizacji. System PRA jest jednocześnie bezpieczny i funkcjonalny i to równie istotne prosty w implementacji oraz dalszym administrowaniu.

Zapraszamy do zapoznania się z możliwościami systemu BeyondTrust Privileged Remote Access na stronie: https://emspartner.pl/rozwiazania/rejestracja-sesji/beyondtrust-privileged-remote-access/

O autorze

Tomasz Smug

Od 13 lat związany z branżą IT. Zajmował się planowaniem radiowym sieci WiFi, systemami zabezpieczenia technicznego takimi jak dozór wizyjny czy kontrola dostępu. Przez wiele lat pracował jako architekt systemów sieciowych zarówno części pasywnej jak np. infrastruktura światłowodowa oraz części związanej ze sprzętem sieciowym. Przez ponad dziesięć lat brał czynny udział w procesach normalizacji okablowania sieciowego. W EMS Partner zajmuje stanowisko PAM System Engineer i zajmuje się technicznymi aspektami zarządzania dostępem uprzywilejowanym. Posiada certyfikaty: BeyondeTrust Retina CS L2 & L3, BeyondeTrust PowerBroker Password Safe L2 & L3. Po pracy miłośnik gier planszowych i prac ogródkowych.

ZAPISZ SIĘ
DO NEWSLETTERA

EMS Partner Sp. z o.o.
ul. Szyperska 14, 61-754 Poznań
tel.: +48 61 624 85 89
info@emspartner.pl

BeyondTrust Distribution Center
Jesteśmy dystrybutorem BeyondTrust na Europę Środkowo-Wschodnią