Перейти к содержимому

Решения · PAM

PAM — управление привилегированным доступом

Privileged Access Management — контроль доступа администраторов, DBA и подрядчиков к критичным системам. Бастион вместо прямых SSH/RDP, запись сессий, ротация паролей, just-in-time-доступ. Identigy внедряет PAM на JumpServer — альтернативу CyberArk, Delinea и BeyondTrust для российского контура.

Обсудить PAM-проект

  • PAM

    Privileged Access Management — контроль привилегированного доступа

  • Большинство

    серьёзных взломов связаны с компрометацией привилегированных учёток (отраслевые оценки)

  • 187-ФЗ

    контроль привилегий — требование для субъектов КИИ и банков (ГОСТ Р 57580)

  • 0

    паролей от целевых систем у пользователя — их подставляет бастион

Оценки доли взломов через привилегированные учётные записи — отраслевые (Verizon DBIR, Forrester); приводятся как порядок величины.

О категории

Что такое PAM

PAM (Privileged Access Management) — класс решений для управления привилегированным доступом. Стоит на трёх китах: единая точка входа, управление учётными данными и контроль сессий.

Привилегированный доступ — это доступ с повышенными правами: root на серверах, доменные администраторы, администраторы баз данных, сервисные учётные записи. Через них проходит управление всей критичной инфраструктурой, поэтому именно они — главная цель атак и главный источник внутренних рисков.

PAM ставит между пользователем и целевой системой бастион — шлюз, который контролирует, записывает и ограничивает каждую привилегированную сессию. Пользователь не знает пароль от целевой системы, его действия записаны, а опасные команды блокируются на лету.

PAM — это отдельный контур ИБ, который дополняет управление доступом (IDM/IGA): IDM отвечает на вопрос «у кого какие права», PAM — «как именно используется привилегированный доступ к критичным системам».

Три кита PAM

  1. Единая точка входа (бастион)

    Весь привилегированный доступ к серверам, базам данных, сетевому оборудованию и Kubernetes проходит через один шлюз — бастион-сервер. Прямые SSH/RDP-подключения в обход бастиона закрываются. Это даёт единую точку контроля, аудита и применения политик.

  2. Управление учётными данными

    Пароли и ключи привилегированных учётных записей (root, sa, Administrator, сервисные) хранятся в защищённом хранилище, ротируются по расписанию и подставляются в сессию автоматически — пользователь их не знает и не может скомпрометировать. Just-in-time доступ выдаёт права на время задачи, а не «навсегда».

  3. Запись и контроль сессий

    Все привилегированные сессии записываются (текстовые SSH, графические RDP/VNC, SQL-запросы) и могут быть воспроизведены при расследовании. Опасные команды и запросы блокируются в реальном времени. Это создаёт доказательную базу для регуляторных проверок и форензики.

Зачем нужен

Какие риски закрывает PAM

Без контроля привилегированного доступа критичная инфраструктура держится на доверии к администраторам и подрядчикам. PAM превращает это доверие в контролируемый и доказуемый процесс.

  • Привилегированные учётные записи (root, доменные администраторы, DBA, сервисные аккаунты) — главная цель атак: их компрометация даёт контроль над всей инфраструктурой.
  • Общие пароли и «вечные» доступы администраторов невозможно проконтролировать: непонятно, кто и когда что делал на критичной системе.
  • Внешние подрядчики и аутсорс получают доступ к продакшену — без записи сессий и ограничения команд это неконтролируемый риск.
  • Регуляторы (ФСТЭК, ЦБ РФ, требования КИИ и банковский ГОСТ Р 57580) требуют индивидуальных учётных записей, минимизации привилегий, журналирования и контроля действий администраторов.
  • При инциденте без записи сессий нет доказательной базы: невозможно установить, что именно произошло и кто это сделал.
Сценарии

Когда нужен PAM

Четыре типовых задачи, под которые приходит запрос на PAM. Часто они комбинируются в одном проекте.

Типичные кейсы

  1. Контроль доступа подрядчиков и аутсорса

    Внешние инженеры заходят на критичные системы через бастион — без VPN на корпоративную сеть. Все действия записаны, чувствительные команды блокируются, доступ выдаётся на время работ и автоматически отзывается.

  2. Привилегированный доступ своих администраторов и DBA

    Системные администраторы и администраторы баз данных получают временный доступ под аудитом. Пароли root и sa не известны пользователю — их подставляет бастион. Кто, когда и что делал — видно в записях сессий.

  3. Импортозамещение зарубежных PAM

    Замена CyberArk, Delinea (Thycotic) и BeyondTrust на решение с русскоязычной поддержкой и совместимостью с отечественными ОС. После ухода западных PAM-вендоров с рынка РФ это типовой запрос банков, госсектора и КИИ.

  4. Подготовка к регуляторному аудиту

    Доказательная база для проверок ЦБ РФ, ФСТЭК и внутреннего ИБ-аудита: журналы доступа, записи привилегированных сессий, отчёты по фактическому использованию прав. Контроль привилегированного доступа — обязательная мера для значимых объектов КИИ.

Импортозамещение

Альтернатива CyberArk, Delinea и BeyondTrust

Западные PAM-вендоры ушли с российского рынка. Для КИИ и банков замена зарубежного PAM — регуляторное требование, а не выбор. Разбираем, чем заместить и на что обратить внимание.

  • CyberArk, Delinea (Thycotic) и BeyondTrust — западные PAM-вендоры — свернули работу на российском рынке: прекращены продление лицензий, поддержка и обновления.
  • Для значимых объектов КИИ иностранное ПО запрещено (Указ № 166) — продолжение работы на западном PAM становится регуляторным нарушением.
  • Альтернатива — PAM с русскоязычной поддержкой, совместимостью с отечественными ОС (Astra Linux, Альт Linux, Ред ОС) и возможностью полностью изолированного развёртывания без обращения к внешним сервисам.
  • JumpServer закрывает тот же круг задач, что CyberArk: бастион-доступ, запись сессий, ротация паролей, just-in-time, RBAC — и при этом разворачивается on-premises без зависимости от западной инфраструктуры.
  • Лицензирование JumpServer привязано к числу целевых активов, а не к числу пользователей или сессий, как у CyberArk, — для крупных команд администраторов это принципиально дешевле.

Подробнее об импортозамещении систем управления доступом в целом — на странице «Импортозамещение IDM» .

Наш продукт PAM

Identigy внедряет JumpServer

Из PAM-платформ мы внедряем JumpServer — open-source бастион с коммерческой Enterprise-редакцией: единый доступ к SSH, RDP, VNC, базам данных, Kubernetes и веб-приложениям, запись сессий, MFA, ротация паролей, тонкий RBAC. Совместимость с Astra Linux и интеграция с российской 2FA «Мультифактор» делают его готовым к импортозамещению CyberArk, Delinea и BeyondTrust.

Решение JumpServer PAM
Что делает Identigy

Наша роль в PAM-проекте

Внедрение PAM — это не установка бастиона, а проектирование модели привилегированного доступа, которая выдержит рост инфраструктуры и пройдёт регуляторный аудит. Берём проект под ключ.

Что мы делаем

  1. Аудит привилегированного доступа

    Инвентаризация целевых систем, групп администраторов и подрядчиков, текущих способов доступа (VPN, прямые SSH, legacy-бастион, общие пароли). Карта рисков: где привилегии бесконтрольны и что закрыть в первую очередь.

  2. Проектирование модели доступа

    Ролевая модель привилегированного доступа, политики MFA, правила записи сессий и блокировки команд, регламент ротации паролей. Главное в PAM — модель, которая выдержит рост инфраструктуры и пройдёт регуляторный аудит, а не установка ПО.

  3. Внедрение и миграция на бастион

    Развёртывание PAM-платформы в вашем контуре (включая полностью изолированный), интеграция с AD/LDAP и MFA, перенос пользователей с прямых SSH-доступов и legacy-бастионов. Для импортозамещения — переключение с CyberArk / Delinea / BeyondTrust.

  4. Сопровождение и регуляторная отчётность

    Поддержка по SLA, регулярный пересмотр политик и ротации, подготовка доказательной базы для проверок ЦБ РФ и ФСТЭК. Аудит здоровья инсталляции и развитие модели доступа под новые системы и подрядчиков.

Подход Identigy

Как проходит внедрение

Четыре фазы, по которым идёт PAM-проект независимо от размера контура — от инвентаризации привилегированного доступа до сопровождения и регуляторной отчётности.

Этапы проекта

  1. Discovery и архитектура

    Инвентаризация целевых систем, групп администраторов и подрядчиков. Согласование модели доступа, ролей, политик MFA и записи сессий. Оценка регуляторных требований (КИИ, банковский ГОСТ, ИСПДн).

  2. Пилот

    Развёртывание PAM-платформы на ограниченном сегменте (10–50 целевых активов), проверка интеграций с AD/LDAP и MFA, валидация записи сессий и блокировки опасных команд на реальном трафике.

  3. Промышленное внедрение

    Раскатка на полный контур с кластеризацией и отказоустойчивостью. Миграция пользователей с прямых SSH-доступов и legacy-бастионов; для импортозамещения — переключение с зарубежного PAM.

  4. Передача в эксплуатацию и сопровождение

    Обучение администраторов и L1-поддержки, SLA на инциденты, регулярный пересмотр политик доступа и ротации паролей, подготовка отчётности для регуляторных проверок.

Нужен контроль привилегированного доступа?

Расскажите про вашу инфраструктуру: число целевых систем, состав администраторов и подрядчиков, текущий способ доступа и регуляторные требования. Подберём сценарий PAM и план внедрения — включая импортозамещение зарубежного бастиона.

Обсудить PAM-проект

Или напишите напрямую: info@identigy.ru .

FAQ

Частые вопросы

Что такое PAM-система и зачем она нужна?

PAM (Privileged Access Management) — класс решений для управления привилегированным доступом: системными администраторами, администраторами баз данных, внешними подрядчиками. PAM-система строится вокруг бастион-сервера — шлюза, через который весь привилегированный доступ к серверам, базам данных и сетевому оборудованию проходит централизованно. Это решает три задачи: пользователь не знает пароль от целевой системы (его подставляет бастион); все действия записываются и могут быть воспроизведены при расследовании; опасные команды и SQL-запросы блокируются в реальном времени. Контроль привилегированного доступа — обязательная мера для соответствия требованиям ФСТЭК, ЦБ РФ и для значимых объектов КИИ.

Чем PAM отличается от IDM/IGA?

IDM/IGA управляет жизненным циклом обычных учётных записей всех сотрудников: приём, выдача прав по ролям, согласования, увольнение, сертификация доступа. PAM закрывает узкий, но самый опасный сегмент — привилегированные учётные записи (root, доменные администраторы, DBA, сервисные аккаунты) и контроль того, что с ними делают: запись сессий, ротация паролей, just-in-time доступ, блокировка команд. Это взаимодополняющие классы: IDM отвечает на вопрос «у кого какие права», PAM — «как именно используется привилегированный доступ к критичным системам». В зрелой ИБ-архитектуре нужны оба.

Какая есть альтернатива CyberArk в России?

После ухода CyberArk, Delinea (Thycotic) и BeyondTrust с российского рынка типовая замена — JumpServer: open-source PAM-платформа с коммерческой Enterprise-редакцией. Она закрывает тот же круг задач (бастион-доступ, запись сессий, ротация паролей, just-in-time, RBAC), совместима с отечественными ОС (Astra Linux, Альт Linux, Ред ОС), интегрируется с российской 2FA «Мультифактор» и разворачивается полностью on-premises, в том числе в изолированном контуре. Лицензирование привязано к числу целевых активов, а не пользователей, — для крупных команд администраторов это дешевле CyberArk. Identigy внедряет JumpServer и сопровождает эксплуатацию.

Какой PAM внедряет Identigy?

Identigy внедряет JumpServer — open-source PAM-бастион с коммерческой Enterprise-редакцией. Он подходит для импортозамещения зарубежных PAM (CyberArk, Delinea, BeyondTrust), совместим с отечественными ОС и закрывает требования регуляторов к контролю привилегированного доступа. На странице решения JumpServer — подробности по архитектуре, поддерживаемым системам, редакциям и лицензированию. Мы берём проект под ключ: аудит привилегированного доступа, проектирование модели, внедрение, миграция и сопровождение.

Нужен ли PAM, если у нас уже есть IDM?

Да — это разные контуры. IDM/IGA управляет тем, у кого какие права в бизнес-системах, но не контролирует, что администратор делает на сервере под root или DBA в боевой базе. Именно привилегированные учётные записи — главная цель атак (по отраслевым оценкам, большинство серьёзных взломов идёт через скомпрометированные привилегированные доступы). PAM закрывает этот разрыв: записывает привилегированные сессии, прячет пароли целевых систем от пользователя, ограничивает доступ во времени. Для субъектов КИИ и банков контроль привилегированного доступа — отдельное регуляторное требование, которое IDM не покрывает.