Игорь БАЗЕЛЮК, Web Control: «sPACE PAM – это автоматизация и обеспечение безопасного подключения пользователей» 14.01.2025 14:25Операционный директор компании Web Control Игорь БАЗЕЛЮК в интервью NBJ рассказал об основных требованиях заказчиков к РАМ, о функционале и ключевых преимуществах системы sPACE PAM.
NBJ: Как изменились требования заказчиков из финансового сектора к PAM-решениям (Privileged Access Management – система управления привилегированным доступом)?
И. БАЗЕЛЮК: Заказчики из банковской сферы раньше ставили перед нами две задачи. Первая – соблюдение требований ГОСТ Р 57580 Банка России. Наше решение sPACE PAM как раз обеспечивает выполнение пунктов ГОСТ Р 57580, касающихся управления учётными записями и правами (УЗП) и разграничения доступа (РД). Вторая – контроль действий администраторов и внешних подрядчиков при доступе в инфраструктуру банка, что также является одной из функций РАМ-системы.
Однако в последнее время зрелость процессов управления привилегиями у заказчиков выросла, некоторые из них уже давно эксплуатируют РАМ-системы и сейчас ищут для себя более эффективные решения, что приводит к появлению новых требований.
Во-первых, банкам нужен не только контроль действий пользователей, но и безопасное хранение и использование привилегированных учётных данных. Конечно, это стандартная функция любой РАМ, но ранее заказчики не артикулировали такую задачу.
Во-вторых, серьёзной тенденцией становится подключение через РАМ не только ИТ-специалистов, но и бизнес-пользователей (тех, кто работает с чувствительными данными организации). Замечу, что мы изначально выстраивали sPACE PAM так, чтобы она была интуитивно понятна любым категориям пользователей, а не только ИТ-специалистам.
Третья задача, которую нам ставят заказчики, – это минимизация привилегий, то есть предоставление пользователю только тех возможностей, которые ему нужны для решения конкретной задачи. Наша система sPACE PAM построена по принципу нулевых привилегий, а её бизнес-логика реализует подход «Just in Time». Это позволяет предоставлять пользователям только те привилегии, которые им необходимы для выполнения конкретных задач в целевых системах, на определённое время.
NBJ: Это потребности заказчиков, но РАМ, наверное, умеет гораздо больше?
И. БАЗЕЛЮК: Безусловно, на самом деле sPACE РАМ может реализовывать гораздо больше сценариев. Это и автоматизация подключения пользователей, и безопасное использование привилегированных учётных данных. В последнее время мы всё чаще встречаем такие запросы у наших заказчиков.
Автоматизация заключается в том, что при запуске пользователем сеанса подключения для работы с целевой системой sPACE РАМ запускает доверенный инструмент администрирования и выполняет подстановку необходимых привилегированных учётных данных, которые хранятся в РАМ. При этом создаётся безопасный трек подключения, так как используются только доверенные инструменты, привилегированные учётные данные не раскрываются пользователям, а все действия происходят в защищённой среде.
Автоматизация – очень важная вещь, позволяющая пользователям максимально просто и быстро запускать сеансы для работы с целевыми системами и исключить ошибки. При этом все процессы максимально безопасны, предсказуемы и понятны для службы ИБ.
NBJ: Расскажите об основных преимуществах sPACE PAM.
И. БАЗЕЛЮК: Нашей целью является безопасность и удобство работы с системой как администраторов самой системы, так и пользователей, использующих её для доступа к целевым системам.
Первое преимущество, повторюсь, – автоматизация и обеспечение безопасного трека подключения пользователей. Второе – протоколонезависимость и возможность подключения пользователей к любым целевым системам. Третье – использование как централизованного механизма предоставления привилегий, так и децентрализованного, когда пользователи могут сами направить запрос, а подтвердить его могут любые сотрудники, у которых есть роль «согласующего» (например, владельцы целевых систем).
Кроме того, система позволяет задавать индивидуальный режим ротации для каждой привилегированной учётной записи с учётом политики безопасности компании, запускать как интерактивные, так и неинтерактивные сеансы.
Наконец, важным преимуществом нашей системы является мультитенантность. В рамках одной инсталляции мы можем выделить несколько обособленных областей, каждая из которых может иметь своего администратора, содержит своих привилегированных пользователей и обеспечивает подключение к собственным системам. Этот функционал, кстати, был добавлен по запросу одного из наших заказчиков.
Немаловажное значение имеют возможности заложенной в систему микросервисной архитектуры, позволяющие гибко масштабировать систему и оптимизировать её инсталляцию в зависимости от потребностей заказчиков и топологии их инфраструктуры.
NBJ: Если говорить о ваших планах по развитию системы, то какие направления вы для себя выделяете?
И. БАЗЕЛЮК: Главным является дальнейшее расширение функционала запуска сессий под Linux и повышение надёжности системы. Кроме того, мы расширяем возможности нашего API и стремимся обеспечить пользователям привычные для них варианты подключения, но с соблюдением необходимой безопасности.
Помимо этого, в наших планах есть развитие функционала подготовки отчётов непосредственно в интерфейсе системы, дальнейшее развитие мультитенантности и улучшение интерфейса.
NBJ: Для каких клиентов с точки зрения объёмов бизнеса предназначен ваш sPACE РАМ?
И. БАЗЕЛЮК: В настоящее время система обладает необходимым функционалом, который может быть востребован в любой компании, независимо от масштабов бизнеса и её специализации.
Важным направлением является работа с большими компаниями, предъявляющими повышенные требования к надёжности, высокой нагрузочной способности, быстродействию системы и удобству работы с большим количеством сущностей. sPACE РАМ отвечает этим требованиям, и работа с крупными заказчиками является одними из наших основных приоритетов.
NBJ: Для взаимодействия с заказчиками всегда очень большую роль играет служба техподдержки компании. Как у вас с этим обстоят дела?
И. БАЗЕЛЮК: Многие заказчики отмечают высокое качество работы нашей службы техподдержки. Исторически так получилось, что мы начинали работу в конце нулевых как дистрибьютор серьёзных западных решений в области информационной и сетевой безопасности. Мы работали по принципу не просто продать «коробку», а обеспечивали полную техническую поддержку наших решений на всех этапах: на этапе пилота, внедрения и дальнейшей эксплуатации. Этого же принципа мы придерживаемся при работе со sPACE PAM.
NBJ: Следите ли вы за современными тенденциями и на что обращаете внимание?
И. БАЗЕЛЮК: Конечно, мы стараемся быть в курсе мировых тенденций в области РАМ, знакомы с обзорами известных мировых компаний. При этом не можем не замечать, что те современные тренды, о которых сейчас пишут, уже имеются у нас «на борту» и закладывались в нашу систему изначально. Мы создавали нашу систему «с нуля» и использовали накопленный опыт работы с большими западными решениями, дистрибьюторами которых мы являлись. Поэтому sPACE PAM изначально строился с перспективой на будущее, исходя из мировых тенденций. У нас имелась возможность избежать ошибок, которые были в других решениях, и сосредоточиться на том, что считали важным – безопасность, простота подключения и использования системы.
Система построена на основе микросервисной архитектуры, ориентирована на работу не только ИТ-, но и бизнес-пользователей. sPACE PAM позволяет реализовать подход «Just in Time» на уровне всей компании. Сейчас об этом говорят, как о современных тенденциях. Однако мы можем смело утверждать: то, что для некоторых компаний является новым трендом, для нас уже давно стало реальностью.
Беседовала Оксана Дяченко
Материал также опубликован в печатной версии Национального банковского журнала (декабрь 2024)
NBJ: Как изменились требования заказчиков из финансового сектора к PAM-решениям (Privileged Access Management – система управления привилегированным доступом)?
И. БАЗЕЛЮК: Заказчики из банковской сферы раньше ставили перед нами две задачи. Первая – соблюдение требований ГОСТ Р 57580 Банка России. Наше решение sPACE PAM как раз обеспечивает выполнение пунктов ГОСТ Р 57580, касающихся управления учётными записями и правами (УЗП) и разграничения доступа (РД). Вторая – контроль действий администраторов и внешних подрядчиков при доступе в инфраструктуру банка, что также является одной из функций РАМ-системы.
Однако в последнее время зрелость процессов управления привилегиями у заказчиков выросла, некоторые из них уже давно эксплуатируют РАМ-системы и сейчас ищут для себя более эффективные решения, что приводит к появлению новых требований.
Во-первых, банкам нужен не только контроль действий пользователей, но и безопасное хранение и использование привилегированных учётных данных. Конечно, это стандартная функция любой РАМ, но ранее заказчики не артикулировали такую задачу.
Во-вторых, серьёзной тенденцией становится подключение через РАМ не только ИТ-специалистов, но и бизнес-пользователей (тех, кто работает с чувствительными данными организации). Замечу, что мы изначально выстраивали sPACE PAM так, чтобы она была интуитивно понятна любым категориям пользователей, а не только ИТ-специалистам.
Третья задача, которую нам ставят заказчики, – это минимизация привилегий, то есть предоставление пользователю только тех возможностей, которые ему нужны для решения конкретной задачи. Наша система sPACE PAM построена по принципу нулевых привилегий, а её бизнес-логика реализует подход «Just in Time». Это позволяет предоставлять пользователям только те привилегии, которые им необходимы для выполнения конкретных задач в целевых системах, на определённое время.
NBJ: Это потребности заказчиков, но РАМ, наверное, умеет гораздо больше?
И. БАЗЕЛЮК: Безусловно, на самом деле sPACE РАМ может реализовывать гораздо больше сценариев. Это и автоматизация подключения пользователей, и безопасное использование привилегированных учётных данных. В последнее время мы всё чаще встречаем такие запросы у наших заказчиков.
Автоматизация заключается в том, что при запуске пользователем сеанса подключения для работы с целевой системой sPACE РАМ запускает доверенный инструмент администрирования и выполняет подстановку необходимых привилегированных учётных данных, которые хранятся в РАМ. При этом создаётся безопасный трек подключения, так как используются только доверенные инструменты, привилегированные учётные данные не раскрываются пользователям, а все действия происходят в защищённой среде.
Автоматизация – очень важная вещь, позволяющая пользователям максимально просто и быстро запускать сеансы для работы с целевыми системами и исключить ошибки. При этом все процессы максимально безопасны, предсказуемы и понятны для службы ИБ.
NBJ: Расскажите об основных преимуществах sPACE PAM.
И. БАЗЕЛЮК: Нашей целью является безопасность и удобство работы с системой как администраторов самой системы, так и пользователей, использующих её для доступа к целевым системам.
Первое преимущество, повторюсь, – автоматизация и обеспечение безопасного трека подключения пользователей. Второе – протоколонезависимость и возможность подключения пользователей к любым целевым системам. Третье – использование как централизованного механизма предоставления привилегий, так и децентрализованного, когда пользователи могут сами направить запрос, а подтвердить его могут любые сотрудники, у которых есть роль «согласующего» (например, владельцы целевых систем).
Кроме того, система позволяет задавать индивидуальный режим ротации для каждой привилегированной учётной записи с учётом политики безопасности компании, запускать как интерактивные, так и неинтерактивные сеансы.
Наконец, важным преимуществом нашей системы является мультитенантность. В рамках одной инсталляции мы можем выделить несколько обособленных областей, каждая из которых может иметь своего администратора, содержит своих привилегированных пользователей и обеспечивает подключение к собственным системам. Этот функционал, кстати, был добавлен по запросу одного из наших заказчиков.
Немаловажное значение имеют возможности заложенной в систему микросервисной архитектуры, позволяющие гибко масштабировать систему и оптимизировать её инсталляцию в зависимости от потребностей заказчиков и топологии их инфраструктуры.
NBJ: Если говорить о ваших планах по развитию системы, то какие направления вы для себя выделяете?
И. БАЗЕЛЮК: Главным является дальнейшее расширение функционала запуска сессий под Linux и повышение надёжности системы. Кроме того, мы расширяем возможности нашего API и стремимся обеспечить пользователям привычные для них варианты подключения, но с соблюдением необходимой безопасности.
Помимо этого, в наших планах есть развитие функционала подготовки отчётов непосредственно в интерфейсе системы, дальнейшее развитие мультитенантности и улучшение интерфейса.
NBJ: Для каких клиентов с точки зрения объёмов бизнеса предназначен ваш sPACE РАМ?
И. БАЗЕЛЮК: В настоящее время система обладает необходимым функционалом, который может быть востребован в любой компании, независимо от масштабов бизнеса и её специализации.
Важным направлением является работа с большими компаниями, предъявляющими повышенные требования к надёжности, высокой нагрузочной способности, быстродействию системы и удобству работы с большим количеством сущностей. sPACE РАМ отвечает этим требованиям, и работа с крупными заказчиками является одними из наших основных приоритетов.
NBJ: Для взаимодействия с заказчиками всегда очень большую роль играет служба техподдержки компании. Как у вас с этим обстоят дела?
И. БАЗЕЛЮК: Многие заказчики отмечают высокое качество работы нашей службы техподдержки. Исторически так получилось, что мы начинали работу в конце нулевых как дистрибьютор серьёзных западных решений в области информационной и сетевой безопасности. Мы работали по принципу не просто продать «коробку», а обеспечивали полную техническую поддержку наших решений на всех этапах: на этапе пилота, внедрения и дальнейшей эксплуатации. Этого же принципа мы придерживаемся при работе со sPACE PAM.
NBJ: Следите ли вы за современными тенденциями и на что обращаете внимание?
И. БАЗЕЛЮК: Конечно, мы стараемся быть в курсе мировых тенденций в области РАМ, знакомы с обзорами известных мировых компаний. При этом не можем не замечать, что те современные тренды, о которых сейчас пишут, уже имеются у нас «на борту» и закладывались в нашу систему изначально. Мы создавали нашу систему «с нуля» и использовали накопленный опыт работы с большими западными решениями, дистрибьюторами которых мы являлись. Поэтому sPACE PAM изначально строился с перспективой на будущее, исходя из мировых тенденций. У нас имелась возможность избежать ошибок, которые были в других решениях, и сосредоточиться на том, что считали важным – безопасность, простота подключения и использования системы.
Система построена на основе микросервисной архитектуры, ориентирована на работу не только ИТ-, но и бизнес-пользователей. sPACE PAM позволяет реализовать подход «Just in Time» на уровне всей компании. Сейчас об этом говорят, как о современных тенденциях. Однако мы можем смело утверждать: то, что для некоторых компаний является новым трендом, для нас уже давно стало реальностью.
Беседовала Оксана Дяченко
Материал также опубликован в печатной версии Национального банковского журнала (декабрь 2024)