Термины и определения
AD
Active Directory — cлужба каталогов Microsoft, используемая как источник идентификации для аутентификации пользователей и управления учетными записями.
Используется как центральный каталог учетных записей пользователей, групп и компьютеров. Для PAM это источник для LDAP-аутентификации, ротации паролей и shadow users.
IAM
Identity and Access Management — система управления учетными записями пользователей и их доступом к ИТ-инфраструктуре. С помощью IAM выполняются идентификация, аутентификация и авторизация пользователей, а также управление их доступом.
IdM
Identity Management предоставляет контроль над целевыми системами, отдельными учетными записями, их аутентификацией, авторизацией, ролями и привилегиями, а также управляет жизненным циклом учетных записей.
ITSM-система
Система IT Service Management — это программное обеспечение для автоматизации процессов управления ИТ-инфраструктурой в соответствии с методологией ITIL и стандартом ISO 20000. К таким системам относятся SORG, ServiceNow, Jira Service Management или BMS Ramedy.
ITSM в BI.ZONE PAM используется для управления запросами доступа через внешние тикеты. В случае, если к целевой системе нужен экстренный доступ, тикет позволяет войти на ресурс минуя стандартные проверки пароля и сертификата пользователя. После закрытия тикета, доступ отзывается.
LDAP
Lightweight Directory Access Protocol — протокол доступа к каталогам, который определяет, какие приложения взаимодействуют со службами каталогов для поиска, чтения, записи и аутентификации пользователей.
MFA
Multi-Factor Authentication или многофакторная аутентификация — метод безопасности, который требует два или более фактора для подтверждения личности пользователя при входе в систему.
Чаще всего, в качестве первого фактора используется пароль учетной записи, а для второго фактора — одноразовый код (OTP) по смс или код с ограниченным сроком жизни в отдельном приложении.
MS AD DS
Microsoft Active Directory Domain Services — базовая служба AD, сервис каталогов Microsoft для централизованного управления сетевыми ресурсами.
MS AD DS объединяет пользователей, компьютеры и принтеры в иерархическую структуру (домен), обеспечивая единую точку входа для аутентификации, авторизации и применения групповых политик безопасности.
PAM
Privileged Access Management — система управления привилегированным доступом, комплекс решений для контроля и защиты привилегированных учетных записей с расширенными правами в IT-инфраструктуре.
PAM-система управляет доступом администраторов и других пользователей к критически важным объектам системы, отслеживает их действия для обеспечения безопасности и предотвращения утечек данных.
OTP
One Time Password — одноразовый пароль, действующий только в рамках одного сеанса аутентификации. Используется как второй фактор аутентификации пользователей. Это может быть одноразовый код или пароль в смс-сообщении, код с ограниченным сроком действия в отдельном мобильном приложении, например, Google Authentificator.
RDS
Remote Desktop Services — служба удаленных рабочих столов Microsoft. Используется для удаленной работы пользователя с сервером, на котором запущен сервис терминальных подключений.
RDP
Remote Desktop Protocol— протокол удаленного рабочего стола для управления компьютером или сервером. RDP создает зашифрованный канал связи, передает изображение рабочего стола на клиент, позволяет запускать приложения, использовать периферийные устройства удаленного компьютера.
SCP
Secure Copy Protocol — утилита и протокол копирования файлов между компьютерами, использующий в качестве транспорта шифрованный SSH.
SFTP
SSH File Transfer Protocol — безопасный протокол для передачи файлов, который использует шифрование через SSH для защиты данных во время передачи. Он позволяет загружать и скачивать файлы, создавать каталоги, удалять файлы и управлять правами доступа через безопасное соединение.
Shadow user
Пользовательская учетная запись на терминальной ферме, которая используется для запуска приложений, разделения процессов и изоляции сессий пользователей PAM друг от друга.
Каждый shadowuser ассоциирован с каждой учетной записью пользователя и не может использоваться несколькими учетными записями. Для каждого пользователя создается доменная учетная запись на терминальном сервере с ограниченными правами. Например, запуск taskmgr и переключение на другого пользователя, комбинации клавиш ctrl + alt + end, ctrl + esc и так далее.
SLA
SLA или Соглашение об уровне обслуживания — это договор между поставщиком услуг и клиентом, который определяет, какой уровень качества услуг будет предоставлен.
В SLA прописываются измеряемые показатели, например, время безотказной работы, скорость реакции, доступность. Документ определяет права и обязанности сторон, а также меры ответственности, такие как компенсации или штрафы, в случае несоблюдения условий.
SSH
Протокол удаленного доступа для подключения к Linux/Unix через SSH-ключи или сертификаты.
Компрометация
Утрата доверия к тому, что используемые средства аутентификации обеспечивают безопасность информации (идентификацию пользователя, подтверждение авторства)
К событиям, связанным с компрометацией ПУЗ относятся:
разглашение пароля ПУЗ;
несоблюдение требований парольной политики при создании паролей ПУЗ;
случаи несанкционированного использования пароля и ПУЗ;
доступ к конвертам с зарезервированными паролями посторонних лиц;
вирусное заражение и иная компрометация устройств, на которых эксплуатируется защищенное программное хранилище секретов (паролей, ключей и т.д.);
случаи несанкционированного использования криптографических ключей и ПУЗ;
несоблюдение требований кибербезопасности при создании ключевой пары;
несоблюдение требований парольной политики при создании паролей к контейнеру с ключом ПУЗ;
разглашение пароля к контейнеру с ключом ПУЗ;
доступ посторонних лиц к USB-носителям с зарезервированными ключами;
все случаи подозрения на то, что указанные выше события произошли.
Криптографические ключи
Совокупность ключей, принадлежащих пользователю/системе, предназначенная для прямого и обратного криптографического преобразования информации.
Персонифицированная ПУЗ
Привилегированная учетная запись принадлежащая одному администратору.
Полное доменное имя
FQDN — полный адрес устройства или хостинга в системе DNS.
FQDN состоит из нескольких частей и имеет иерархическую структуру, которая определяется системой доменных имен:
<Имя хоста>.<Поддомен>.<Домен второго уровня>.<Домен верхнего уровня>.<Корневой домен>
FQDN уникален, поэтому позволяет однозначно идентифицировать ресурс в глобальной сети.
ПУЗ
Учетная запись, предназначенная для доступа назначенного сотрудника к инфраструктурным элементам ИТ-услуги с привилегиями, необходимыми для выполнения должностных обязанностей.
Все учетные записи, созданные на инфраструктурных элементах ИТ-услуг для доступа сотрудников, являются привилегированными.
К ПУЗ относятся учетные записи, предназначенные для выполнения административных задач на инфраструктуре, а также встроенные учетные записи оборудования/систем с привилегиями для администрирования.
К ПУЗ не относятся учетные записи для запуска сервисов и ПО в автоматизированном режиме и УЗ без возможности интерактивного входа. Такие учетные записи называются ТУЗ — технические учетные записи.
Требования к ПУЗ
Каждая ПУЗ должна иметь владельца.
Групповые ПУЗ допустимы при условии однозначной идентификации лица, использующего ПУЗ в конкретный момент времени и использовании доступа через PAM.
Все ПУЗ должны быть переданы под управление PAM, за исключением административных прикладных учетных записей автоматизированных систем. Управление PAM включает в себя хранение секрета аутентификации и схему предоставления доступа к целевой системе под ПУЗ через PAM.
Допускается эксплуатация оборудования при отсутствии технической возможности передачи ПУЗ под управление PAM. Риски эксплуатации такого оборудования управляются процессом управления рисками кибербезопасности.
Перечень полномочий для каждой ПУЗ должен быть минимально необходимым для выполнения задач.
В исключительных случаях пароли ПУЗ могут резервироваться в конверте в соответствии с определенным порядком или в защищенном программном хранилище паролей.
Сотрудникам сторонних организаций, оказывающим ИТ-услуги, могут быть выделены персонифицированные ПУЗ только на стендах разработки и тестирования, расположенных в выделенных сетевых сегментах и содержащих обезличенные данные
В случае, если для оказания сервисных услуг, сотрудникам сторонних организаций требуется привилегированный доступ, им предоставляется такой доступ под групповой ПУЗ, созданной для соответствующей сторонней организации
Рекомендуется использовать ПУЗ централизованных каталогов LDAP, а не локально созданных на целевых системах.
Для ПУЗ могут применяться следующие способы аутентификации:
парольная аутентификация.
по криптографическому ключу, OTP, Token, сертификат.
с применением аппаратно-программных средств аутентификации, например TM-носитель, смарт-карта, OTP.
по ключевой паре.
Секрет
Набор данных ограниченного размера, к которым предъявляются требования конфиденциальности (пара логин/пароль, сертификат, криптографический ключ и т.д.), в том числе предназначенные для аутентификации сервисов, ИТ-услуг компании и входящих в них программных компонентов.
Сертификат
Открытый ключ формата X.509, подписанный закрытым ключом центра аутентификации (удостоверяющего центра, certificate authority) и подтверждающий принадлежность открытого ключа пользователю, обладающему соответствующим закрытым ключом.
Токен
Токен, аппаратный токен, USB-ключ, криптографический токен — компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца, безопасного удаленного доступа к информационным ресурсам. Как правило, это физическое устройство, используемое для упрощения аутентификации.
ТУЗ
Привилегированные учетные записи для запуска сервисов и ПО в автоматизированном режиме и учетные записи без возможности интерактивного входа.