Как обеспечить доступ к критически важным системам при сбое PAM

PAM управляет секретами и доступами. Если выходит из строя Vault или вся инфраструктура PAM, есть риск потерять доступ к критическим системам. Чтобы этого избежать, заранее подготовьте резервные привилегированные учетные записи (ПУЗ) и резервную инсталляцию (stand-in).

Резервные привилегированные учетные записи

Подготовка

Для каждой критической системы создайте отдельную резервную ПУЗ. Эти учетные записи не должны использоваться в повседневной работе.

Пароль для учетных записей должен соответствовать корпоративной политике безопасности, с учетом сложности пароля, количества символов и периода ротации.

Хранение паролей

Хранение паролей возможно в двух вариантах:

  • физическое или цифровое хранение в защищенной среде.

  • распределенное хранение секрета.

Физическое или цифровое хранение в защищенной среде

При физическом хранении пароль записывается, запечатывается в конверт и хранится в сейфе с контролем доступа. Мы рекомендуем двухуровневый контроль, например, доступ по ключам или картам двух сотрудников.

Для цифрового хранения используйте сертифицированный цифровой сейф с MFA и журналированием доступа. Доступ к сейфу должен быть только у доверенных лиц по утвержденной процедуре.

Распределенное хранение секрета

При распределенном хранении, пароль делится на несколько частей. Для восстановления требуется собрать минимум N из M фрагментов.

Владельцы фрагментов назначаются приказом организации и проходят инструктаж по условиям хранения и запрету несанкционированного доступа.

Резервная (Stand-In) инфраструктура

Stand-In инсталляция позволяет быстро восстановить работу PAM при сбое.

В состав инсталляции входят:

  • реплицированные схемы pam и pam_kc с ключевыми данными системы

  • реплика хранилища Vault, которая синхронизируется в режиме near-real-time.

Порядок активации Stand-in инфраструктуры должен быть описан в отдельном регламенте. Активация должна быть разрешена только после подтверждения сбоя основной PAM-системы и по решению уполномоченного лица.

При активации должна быть предусмотрена защита от одновременного использования основной и резервной инсталляции.

Процедуры действий

Если отказал Vault

  1. Зафиксируйте факт отказа Vault и уведомите ответственных.

  2. Чтобы исключить несанкционированные подключения, откройте сетевой доступ к целевым системам только доверенным администраторам.

  3. Используйте резервные ПУЗ строго по утвержденной процедуре (если Stand-In недоступен). Доступ должен предоставляться только тем сотрудникам, кому необходимо попасть на целевую систему в период сбоя.

  4. После восстановления работы Vault сменить пароли резервных учетных записей и вернуть управление доступом в PAM.

Если недоступен PAM

  1. Подтвердите недоступность РАМ и проверьте состояние Vault.

  2. Если Vault доступен:

    1. Извлеките секрет или выпустите приватный ключ с ограниченным TTL.

    2. Передайте его уполномоченному лицу на время инцидента.

  3. После восстановления PAM:

    1. Проведите ротацию секретов.

    2. Отзовите выданные ключи.