Contrôle total et suivi de l'utilisation
de comptes privilégiés
Notre logiciel donne à votre entreprise le contrôle de l'utilisation des comptes privilégiés, conserve la confidentialité de tous les mots de passe administratifs et fournit des enregistrements vidéo et texte de sessions privilégiées
Indeed Privileged Access Manager

Le produit Indeed Privileged Access Manager (Indeed PAM) est développé à partir de zéro en tant que système de contrôle d’accès utilisant des comptes privilégiés. Le produit est basé sur les nombreuses années d’expérience d’Indeed dans la création de produits de sécurité des informations.

Privileged Access Manager

Indeed PAM est constitué des modules fonctionnels et logiques suivants.

Stratégies et autorisations

Les stratégies et les autorisations définissent les paramètres suivants d’accès privilégiés:

  • qui a l’accès
  • quels comptes sont autorisés à accéder
  • quelles ressources (serveurs et équipements) sont autorisées à accéder
  • pour combien de temps (de manière permanente/temporaire, pendant les heures de bureau ou à tout moment)
  • quels type d’enregistrements de session doivent être réalisés (enregistrement vidéo et texte, texte uniquement, captures d’écran, etc.)
  • quelles ressources locales (disques, cartes à puce) seront disponibles pour l’utilisateur lors d’une session à distance
  • si l’utilisateur est autorisé à visualiser le mot de passe du compte privilégié

Les stratégies centralisées réduisent les coûts d’administration système et rendent les paramètres et les droits d’accès transparents pour les spécialistes de la sécurité des informations et les auditeurs.

Entrepôt des coordonnées d’accès privilégiées

Les coordonnées d’accès requises (identifiants, mots de passe, clé SSH) sont stockées dans l’entrepôt, auquel seul le serveur Indeed PAM a accès. Le stockage et le transfert des données au / du serveur sont effectués sous forme cryptée à l’aide d’algorithmes de cryptage puissants. L’accès à l’entrepôt est limité et n’est possible que pour le serveur PAM. Pour mettre en œuvre cette approche, une procédure spéciale de « scellement » du serveur est utilisée - le renforcement du serveur de base de données.

Indeed Certificate Manager

Sous-système d’enregistrement de session

Toutes les sessions à accès privilégié sont enregistrées de manière obligatoire et sont stockées dans les archives de Indeed PAM. Les enregistrements sont stockés dans les archives sous forme cryptée. Seules les personnes autorisées par le système PAM peuvent les accéder. Les enregistrements sont conservés dans les formats suivants:

  • L’enregistrement texte est toujours réalisé et enregistre les données suivantes:
      • entrée et sortie de console complète pendant les connexions SSH;
      • tous les processus démarrés, les fenêtres ouvertes et la saisie au clavier pour les connexions RDP.
  • L’enregistrement vidéo est fait pour les connexions RDP et SSH. L’enregistrement vidéo est facultatif. Il est activé par l’administrateur PAM à l’aide du moteur de stratégie. La qualité du vidéo est réglable et peut être différente pour différents comptes. Par exemple, les sessions d’administrateur de domaine peuvent être enregistrées avec une qualité maximale et les sessions d’opérateur avec compression.
  • Les captures d’écran sont également effectuées pour les connexions RDP et SSH. L’enregistrement de captures d’écran n’est pas nécessaire. Il est activé par l’administrateur PAM à l’aide du moteur de stratégie. La fréquence et la qualité des captures d’écran sont définies par les stratégies.

L’affichage des sessions actives est disponible en temps réel avec la possibilité qu’une session soit terminée par l’administrateur PAM.

Journal d'événements

Le serveur de journal est un service dédié à la collecte des événements de Indeed PAM. Ces événements incluent toute l’activité des administrateurs et des utilisateurs de PAM. Le journal enregistre qui et quels paramètres du système ont été modifiés et qui et avec quelles coordonnées d’accès ont établi la connexion aux ressources cibles.

Pour une intégration aisée dans SEIM et une réponse rapide aux incidents, les événements peuvent être transmis via syslog à un serveur de journal tiers.

Console d’administrateur

La console d’administrateur fournit une interface pour la configuration, la gestion et l’audit du fonctionnement du système. Elle est conçue comme une application Web. En utilisant la console, l’administrateur fournit aux utilisateurs un accès aux coordonnées d’accès, définit les stratégies d’accès et affiche les journaux d’événements et les enregistrements de sessions privilégiées. La console permet également aux administrateurs PAM de visualiser les sessions actives à privilèges en temps réel et, si nécessaire, de mettre fin à la session d’un employé. L’accès à la console d’administrateur est effectué à l’aide de l’authentification à deux facteurs.

Outils en libre-service

Pour obtenir un accès privilégié, les employés doivent utiliser deux outils:

  • La console d’utilisateur qui est conçue comme une application Web. Dans la console de l’utilisateur, les employés peuvent afficher les comptes et les ressources disponibles, ainsi que démarrer une session avec privilèges à partir de cette console.
  • Application sur serveur d’accès. En utilisant cette application, les employés obtiennent un accès en contournant la console d’utilisateur. Dans ce cas, l’employé se connecte directement au serveur d’accès, où il lui est proposé de choisir la connexion autorisée.

Dans les deux cas, l’accès des employés est protégé par une authentification à deux facteurs à l’aide du mot de passe à usage unique (One-Time Password, OTP).

Modules d’accès

Les modules d’accès fournissent des mécanismes pour ouvrir et enregistrer des sessions privilégiées.

Serveur d’accès

Le serveur d’accès implémente un modèle centralisé pour l’obtention d’un accès privilégié. L’employé se connecte au serveur d’accès, sur lequel ses droits sont vérifiés et son authentification effectuée au second facteur, après quoi l’employé peut ouvrir une session sur la ressource cible.

Le serveur d’accès est basé sur le serveur Microsoft Remote Desktop Services (RDS), qui possède l’application PAM. Cette application remplit les fonctions suivantes:

  • vérification de droits d’accès de l’utilisateur - s’il est autorisé à accéder à la ressource cible demandée avec le compte demandé ;
  • authentifiacation de l’utilisateur - avant d’ouvrir la session, l’utilisateur doit fournir le deuxième facteur d’authentification ;
  • enregistrement vidéo de session et captures d’écran.

Le logiciel client suivant est utilisé pour ouvrir les sessions sur des systèmes et des applications cibles sur le serveur d’accès:

  • Client Microsoft RDP (mstsc) pour accéder au serveur Windows ;
  • Navigateur pour accéder aux applications Web ;
  • PuTTY de SSH client pour accéder aux systèmes Linux / Unix.

SSH Proxy

Le Proxy SSH est un moyen alternatif d’obtenir l’accès via Indeed PAM aux systèmex Linux/Unix. Cette méthode présente les avantages suivants:

  • vous n’avez pas besoin de Microsoft RDS ;
  • vous pouvez utiliser n’importe quel client SSH ;
  • le client SSH fonctionne localement sur le poste de travail de l’employé.

Le proxy SSH remplit les mêmes fonctions que le serveur d’accès:

  • vérification de droits d’accès de l’utilisateur ;
  • authentifiacation de l’utilisateur ;
  • enregistrement vidéo de session et captures d’écran.

Lorsqu’il utilise le proxy SSH, l’utilisateur établit une connexion depuis son poste de travail utilisant son client SSH. L’employé spécifie l’adresse du proxy SSH en tant que serveur de connexion. Lors de la connexion à un proxy, le deuxième facteur d’authentification est également demandé à l’utilisateur, après quoi une session peut être ouverte sur la ressource cible.

Sous-système de gestion de compte

Lors de l’utilisation de systèmes PAM, les responsables de la sécurité des informations doivent comprendre que, dans l’infrastructure de la société, toutes les enregistrements privilégiés sont enregistrés et l’accès à ces enregistrements est contrôlé et aussie enregistré. Dans le cadre de Indeed PAM, cette tâche est résolue par le sous-système de gestion de comptes. Le sous-système remplit les fonctions suivantes

  • Recherche périodique de nouveaux comptes privilégiés sur les ressources cibles. Cette mesure vous permet de vous protéger d’un administrateur peu scrupuleux qui a créé un compte pour contourner le système PAM.
  • Vérification périodique des mots de passe et des clés SSH des comptes privilégiés. Cette fonctionnalité vous permet de vous assurer que l’entrepôt PAM contient les coordonnées d’accès actuelles et que l’administrateur peu scrupuleux n’a pas réussi à réinitialiser le mot de passe d’un compte pour l’utiliser pour contourner PAM.
  • Changement périodique des mots de passe et des clés SSH. Indeed PAM génère les mots de passe compliqués et aléatoires et les clés SSH pour les coordonnées d’accès privilégiées contrôlées, les protégeant ainsi des accès non autorisés.
  • Réinitialisation du mot de passe du compte après l’avoir affiché à l’utilisateur. L’administrateur PAM peut autoriser les employés à visualiser un mot de passe pour un compte privilégié dans les cas où l’utilisation explicite d’un mot de passe est requise. Une fois que l’employé a reçu le mot de passe, après une période de temps spécifiée, PAM réinitialise le mot de passe à une nouvelle valeur aléatoire.

Pour exécuter ces fonctions, le sous-système de gestion de compte comprend les modules de connexion (connecteurs) pour les systèmes cibles:

  • connecteur à Active Directory ;
  • connecteur à Windows et Windows Server ;
  • connecteur SSH pour se connecter aux systèmes Linux/Unix basés sur différentes distributions.

Caractéristiques principales de Indeed PAM

Protocoles d’accès: RDP, SSH, HTTP(s)

Types de coordonnées d’accès pris en charge: Nom d’utilisateur + mot de passe, Clés SSH

Recherche de comptes privilégiés et gestion du mot de passe: Windows, Linux, Active Directory

Annuaires des utilisateurs pris en charge: Active Directory

Technologie d’authentification à deux facteurs: Mot de passe + TOTP (générateur de logiciel)

Types d’enregistrement de session pris en charge: Journal de texte, Enregistrement vidéo, Captures d’écran

Technologies d’accès à distance: Microsoft RDS, SSH Proxy

EN SAVOIR PLUS
case for your industry

Learn how the implementation of new technologies will help to solve the problems of information security in different industries.

Indeed for industry
NOUVELLES IMPORTANTES