Перейти к содержимому

Решения · PAM

JumpServer — управление привилегированным доступом

Open-source PAM-платформа с коммерческой Enterprise-редакцией: единый бастион для SSH, RDP, VNC, баз данных, Kubernetes и веб-приложений. Запись сессий, MFA, ротация паролей, тонкий RBAC. Identigy внедряет JumpServer и сопровождает эксплуатацию.

Оставить заявку
О продукте

Что такое JumpServer

Платформа управления привилегированным доступом с долгой open-source-историей и зрелым коммерческим контуром.

JumpServer — open-source PAM-платформа, заменяющая «классический» бастион-хост и закрывающая полный цикл управления привилегированным доступом: от подключения и аутентификации до записи и аудита сессий. Используется в более чем 500 000 инсталляций по всему миру; среди ключевых пользователей — крупные финансовые группы, производственные компании и телеком.

Платформа развивается как open-source ядро плюс коммерческая Enterprise-редакция с расширенными функциями и поддержкой вендора. На российском рынке JumpServer особенно интересен как импортозамещение для зарубежных PAM-продуктов — благодаря совместимости с отечественными ОС, русскоязычной поддержке и интеграции с локальной 2FA.

Identigy выступает интегратором JumpServer: мы проектируем модель доступа, разворачиваем платформу в вашем контуре, переносим пользователей с legacy-решений и сопровождаем эксплуатацию.

Редакции

Community и Enterprise

Выбор редакции определяется не функциональным минимумом, а требованиями к поддержке, отказоустойчивости и регуляторной отчётности.

Community Edition

Open-source. Стартовые проекты, пилоты, небольшие команды

  • Бесплатная open-source-версия
  • До 5 000 целевых систем
  • Базовый набор PAM-функций
  • Поддержка платная, опционально
  • Без ограничений на число пользователей и одновременных сессий

Подходит для пилота

Корпоративный выбор

Enterprise Edition

Продакшен корпоративных контуров с регуляторными требованиями

  • Тиры на 50 / 500 / 5 000 и неограниченное число активов
  • X-Pack: расширенные функции — RADIUS, киоск-режим, расширенные роли, нативные клиенты
  • Кластеризация, гео-репликация и балансировка нагрузки
  • Расширенные коннекторы к базам данных
  • Поддержка вендора включена в подписку

Для корпоративного контура

Лицензирование Enterprise и стоимость определяются количеством целевых активов, а не числом пользователей или одновременных сессий. После discovery мы готовим коммерческое предложение под ваш контур.

Возможности

Что умеет JumpServer

Полный цикл управления привилегированным доступом, сгруппированный по четырём областям.

Доступ к ресурсам

  • Веб-консоль и нативные клиенты без установки агентов на целевые системы
  • SSH, SFTP, Telnet, RDP, VNC, RemoteApp, HTTP/HTTPS — единый бастион для всех протоколов
  • Подключение к базам данных через тот же контур: MySQL, PostgreSQL, Oracle, MS SQL, MariaDB, MongoDB, Redis, ClickHouse, DB2
  • Прозрачный доступ к Kubernetes API и веб-интерфейсам корпоративных приложений

Контроль и аудит сессий

  • Запись всех сессий: текстовые SSH/Telnet, графические RDP/VNC, БД-запросы
  • Real-time мониторинг активных сессий с возможностью принудительного завершения
  • Фильтрация и блокировка опасных команд (SSH) и SQL-запросов на лету
  • Контроль передачи файлов, буфера обмена и направления трафика

Учётные записи и привилегии

  • Автоматическое обнаружение учётных записей на целевых системах
  • Хранение, ротация и подстановка паролей без раскрытия их пользователю
  • Just-in-time доступ — права выдаются на время, а не «навсегда»
  • Доступ по заявкам с многоступенчатым согласованием и тикетами

Аутентификация и интеграция

  • Многофакторная аутентификация: TOTP, HOTP, RADIUS, интеграция с «Мультифактор» (РФ)
  • Подключение к Active Directory и LDAP, синхронизация пользователей и групп
  • SSO через SAML 2.0, OAuth 2.0, OpenID Connect
  • RBAC: тонкая ролевая модель с разграничением по проектам, организациям и активам
  • REST API для интеграции в существующие процессы и CI/CD
  • Встроенные шаблоны Ansible-плейбуков для типовых операций
Поддерживаемые целевые системы

К чему подключается JumpServer

Один бастион вместо набора инструментов под каждый тип ресурса.

Типы активов и протоколов

  1. Операционные системы

    Linux (включая Astra Linux, Альт Linux, РЕД ОС, RHEL-совместимые), Windows Server.

  2. Базы данных

    MySQL, PostgreSQL, MariaDB, Oracle, Microsoft SQL Server, ClickHouse, MongoDB, Redis, DB2, Dameng.

  3. Контейнерные платформы

    Доступ к Kubernetes API через бастион с тонкой ролевой моделью и аудитом kubectl-команд.

  4. Веб-приложения и RemoteApp

    HTTP/HTTPS-доступ к админ-панелям, BPM- и ERP-системам. Поддержка Microsoft RemoteApp.

  5. Файловые операции

    SFTP с контролем направления передачи, объёмов и расширений файлов.

  6. Сетевое оборудование

    SSH/Telnet-доступ к маршрутизаторам, коммутаторам и L2/L3-устройствам с записью сессии.

Архитектура

Из чего состоит платформа

Модульная архитектура — отдельные компоненты под каждый класс протоколов. Это позволяет горизонтально масштабировать только те части, которые реально нагружены.

Core

Ядро управления: учётные записи, политики, RBAC, аудит.

Koko

Шлюз протоколов SSH / SFTP / Telnet и работа с командной строкой через веб.

Lion

Графический шлюз RDP / VNC через браузер.

Magnus

Шлюз для подключения к базам данных и аудита SQL-запросов.

Chen

Веб-доступ к веб-интерфейсам и RemoteApp.

Razor

Поддержка нативных клиентов RDP/SSH (в Enterprise).

Развёртывание — на Linux, в том числе в кластере с балансировкой нагрузки и гео-репликацией для Enterprise. Возможна полностью изолированная инсталляция без выхода в интернет.

Сценарии

Когда нужен JumpServer

Четыре типичных задачи, под которые приходит запрос. Часто они комбинируются в одном проекте.

Типичные кейсы

  1. Контроль доступа подрядчиков и аутсорса

    Внешние инженеры заходят через бастион, без VPN на корпоративную сеть. Все действия записаны, чувствительные команды блокируются.

  2. Привилегированный доступ для своих администраторов

    Системные администраторы и DBA получают временный доступ под аудитом. Пароли root и sa не известны пользователю — их подставляет бастион.

  3. Импортозамещение зарубежных PAM

    Замена CyberArk, Delinea (Thycotic), BeyondTrust на решение с русскоязычной поддержкой и совместимостью с отечественными ОС.

  4. Подготовка к регуляторным аудитам

    Доказательная база для проверок ЦБ РФ, ФСТЭК и внутреннего ИБ-аудита: журналы, записи сессий, отчёты по фактическому использованию доступа.

Российская специфика

Почему подходит для российского контура

JumpServer закрывает требования крупных российских заказчиков к локализации, отечественным ОС и независимости от западной инфраструктуры.

  • Совместимость с Astra Linux, Альт Linux, РЕД ОС и другими отечественными дистрибутивами Linux
  • Интеграция с российской системой 2FA «Мультифактор»
  • Русскоязычные интерфейс и техническая документация
  • Возможность развёртывания в полностью изолированном контуре, без обращения к внешним сервисам
  • Позиционирование как альтернатива и аналог CyberArk, Delinea и BeyondTrust для импортозамещения
Подход Identigy

Как мы внедряем JumpServer

Внедрение PAM — это не только установка ПО. Главное — модель доступа, которая выживает при росте инфраструктуры и проходит регуляторный аудит.

Этапы проекта

  1. Discovery и архитектура

    Инвентаризация целевых систем, групп администраторов и подрядчиков. Согласование модели доступа, ролей, политик MFA и записи сессий.

  2. Пилот

    Развёртывание Community или ограниченной Enterprise-инсталляции, подключение пилотного сегмента (10–50 активов), валидация интеграций с AD/LDAP и MFA.

  3. Промышленное внедрение

    Раскатка на полный контур с кластеризацией и гео-репликацией для Enterprise. Миграция пользователей с legacy-бастионов и прямых SSH-доступов.

  4. Передача в эксплуатацию и сопровождение

    Обучение администраторов и L1-поддержки, SLA на инциденты, регулярный пересмотр политик и ротации паролей.

Что дальше

Смежные услуги и решения

Куда обычно смотрят дальше — соседние практики и платформы той же инженерной команды.

Цена

Лицензирование по количеству активов

Community Edition — бесплатно (до 5 000 активов). Enterprise Edition лицензируется по тирам — 50, 500, 5 000 и неограниченное число активов. Пользователи, одновременные сессии и узлы кластера не ограничены ни в одной из редакций.

После короткого discovery (инвентаризация целевых систем, число администраторов, требования к отказоустойчивости) мы готовим коммерческое предложение в течение одного-двух рабочих дней.

Прямой контакт по проекту: info@identigy.ru .

Что включает запрос

  • Число и состав целевых активов (серверы, БД, K8s)
  • Сколько у вас администраторов и внешних подрядчиков
  • Текущая модель доступа: VPN, прямые SSH, legacy-бастион
  • Требования к MFA и интеграции с AD/LDAP/SAML
  • Кластеризация и гео-репликация — нужны или нет
Запросить расчёт
FAQ

Частые вопросы

Чем JumpServer отличается от CyberArk?

JumpServer — open-source PAM-платформа с коммерческой Enterprise-редакцией. В отличие от CyberArk, он не требует лицензирования по числу пользователей или сессий: стоимость определяется количеством целевых активов. JumpServer покрывает тот же круг задач — бастион-доступ, запись сессий, ротацию паролей, just-in-time-доступ — и при этом разворачивается on-premises без зависимости от западной инфраструктуры. Для российского рынка дополнительное преимущество: совместимость с отечественными ОС (Astra Linux, Альт Linux, РЕД ОС) и интеграция с российской 2FA «Мультифактор».

Как лицензируется JumpServer и от чего зависит стоимость?

Community Edition — полностью бесплатна (до 5 000 активов, без ограничений по пользователям и сессиям). Enterprise Edition лицензируется по тирам: 50, 500, 5 000 и неограниченное число целевых активов (серверов, баз данных, сетевых устройств, Kubernetes-кластеров). Число администраторов, подрядчиков и одновременных сессий не влияет на стоимость. Дополнительно — опциональный X-Pack для расширенных функций Enterprise. После короткой инвентаризации вашего контура Identigy готовит коммерческое предложение в течение одного-двух рабочих дней.

Что такое PAM и зачем нужен бастион-сервер?

PAM (Privileged Access Management) — класс решений для управления привилегированным доступом: системными администраторами, DBA, внешними подрядчиками. Бастион-сервер — это шлюз, через который весь привилегированный доступ к серверам, базам данных и сетевым устройствам проходит централизованно. Это решает три задачи: (1) пользователь не знает пароль от целевой системы — бастион подставляет его сам; (2) все действия записываются и могут быть воспроизведены при расследовании инцидента; (3) опасные команды и SQL-запросы блокируются в реальном времени. PAM-бастион — обязательный контроль для соответствия требованиям ФСТЭК, ЦБ РФ и внутреннего ИБ-аудита.

Как проходит внедрение JumpServer?

Внедрение состоит из четырёх этапов. Сначала — Discovery: инвентаризация целевых систем, групп администраторов и подрядчиков, согласование модели доступа и политик MFA. Затем — Пилот: развёртывание на ограниченном сегменте (10–50 активов), проверка интеграций с AD/LDAP и 2FA. После — Промышленное внедрение: раскатка на полный контур, миграция пользователей с legacy-бастионов и прямых SSH-доступов. Финал — передача в эксплуатацию: обучение команды, SLA на инциденты, регулярный пересмотр политик ротации паролей. Identigy берёт на себя все четыре этапа — от Discovery до передачи в эксплуатацию.