Аналитическое агентство Gartner выпустило новый сравнительный анализ Magic Quadrant for Privileged Access Management 2020 (Управление привилегированным доступом). Отчеты агентства Gartner формулируют основной функционал решений конкретного класса, дают максимальный охват рынка и называют преимущества и узкие места продуктов отобранных вендоров, позволяя соотнести свои ключевые потребности с предложениями на рынке и подойти к выбору продукта с позиции разумной достаточности.
В магическом квадранте основные игроки рынка традиционно делятся на 4 категории:
- Лидеры – компании с хорошим функционалом и хорошим заделом на будущее.
- Визионеры – компании, понимающие направление развитие рынка или имеющие потенциал к изменению правил рынка
- Нишевые игроки – компании, которые успешно функционируют на маленьком сегменте
- Претенденты выпускают хороший продукт или могут лидировать в большом сегменте, но не всегда демонстрируют понимание направления рынка.
Как обычно, отчет начинается с прогнозов – к 2024 году 50% организаций внедрят привилегированный доступ на основе модели «just in time», что предполагает предоставление привилегий в нужное время и в нужном объеме и устраняет избыточные привилегии. Такой шаг, по мнению экспертов, приведет к снижению компрометации привилегированный учетных записей на 80%. Кроме того, автоматизация задач, связанных с привилегированным доступом, сократит затраты на обслуживание IaaS и PaaS на 40% и снизит число инцидентов на 70% к этому же сроку.
Эксперты Gartner сформулировали функционал решений управления привилегированным доступом, на который можно ориентироваться при выборе вендора. Следует отметить, что он практически не изменился по сравнению с предыдущим отчетом 2018 года:
- обнаружение, управление и оркестрация привилегированных учетных записей различных систем и приложений;
- контроль доступа к привилегированным учетным записям, включая совместно используемые и аварийные учетные записи;
- рандомизация, управление и безопасное хранение привилегированных учетных данных (паролей, ключей);
- обеспечение единого входа (SSO), чтобы не допустить раскрытие учетных данных;
- контроль, фильтрация и оркестрация привилегированных команд, действий и задач;
- управление и передача учетных данных в приложения, сервисы и устройства без их раскрытия;
- мониторинг привилегированного доступа, сеансов и действий, ведение журнала и анализ.
Большой класс решений Privileged Access Management аналитики Gartner подразделяют на 3 категории:
- PASM (Privilege account and session management)
- PEDM (Privilege account and delegation management)
- Secrets Management
Решения PASM (Privilege account and session management) защищают учетные записи посредством хранения учетных данных в защищенном хранилище и организации доступа к ним. Управление сеансами привилегированного доступа предполагает инжектирование учетных данных без их раскрытия пользователю. PASM-решения могут обеспечивать управление служебными паролями (AAPM – Application-to-application password management).
Решения PEDM раздают привилегии авторизованным пользователям. Такие решения обеспечивают фильтрацию команд, контроль приложений и эскалацию привилегий, т.е. выполнение команд с более высоким уровнем привилегий.
Решения Secrets management обеспечивают управление, хранение и извлечение секретов посредством API или SDK. Управление секретами часто используется в динамических и agile-средах, таких как IaaS, PaaS и контейнерах.
Обязательным условием включения в отчет «Magic Quadrant PAM 2020» является наличие PASM-функционала. В число других критериев для включения в отчет входит наличие определенных возможностей, таких как защищенное хранилище, средства обнаружения привилегированных учетных записей и автоматической ротации секретов, запуск сеанса привилегированного доступа по протоколам SSH, RDP, HTTPS, запись и просмотр сеансов, ролевая модель доступа, интеграция с существующей средой заказчика. Gartner также предъявляет серьезные требования к уровню, росту и географии продаж, числу клиентов и позиционированию. Местоположение компании в квадранте определяется не только качеством продукта, но и уровнем удовлетворенности клиентов, политикой продаж и ценообразования, маркетингом, стратегией, инновационностью и другими факторами.
Из 12 отобранных для анализа вендоров в число лидеров попали следующие компании:
- BeyondTrust
- Centrify
- CyberArk
- Thycotic
По сравнению с прошлым годом в команде лидеров произошли изменения – BeyondTrust, Centrify и CyberArk остались лидерами, к ним добавилась компания Thycotic, перешедшая из команды визионеров, а CA Technologies, бывшая лидером в отчете 2018 года, после поглощения ее компанией Broadcom (Symantec) перешла в число нишевых игроков. В отчет этого года не вошли Fudo Security, Micro Focus и Osirium, что связано не с качеством их продуктов, а с невыполнением требований к росту и числу клиентов.
В решении BeyondTrust представлен функционал как управления сеансами привилегированного доступа, так и эскалации доступа. Эксперты отметили наличие у решений компании уникального функционала - мониторинга целостности файлов для Unix/Linux и Wndows, возможности генерирования отчетности с использованием большого количества предварительно настроенных шаблонов и балансировку нагрузки при кластерном размещении. При выборе PAM-решения следует учесть, что в реализации BeyondTrust Password Safe управление паролем в сторонних решениях реализуется через CLI интерфейс, использующий SSH или Telnet, но не через инструменты SDK. Так же отсутствует SaaS-версия решения. В 2018 году BeyondTrust прошел через процедуру слияния и поглощения, объединив на одной платформе такие признанные решения как BeyondTrust, Liebermann, Bomgar и Avecto. В результате объединения нескольких решений на одной общей платформе управления всеми привилегиями компании претерпела изменение техническая поддержка, и на момент публикации не было данных, чтобы оценить, вернулась ли поддержка к прежнему высокому уровню. Объединение нескольких решений на одной платформе – серьезный и достаточно сложный шаг, однако компания BeyondTrust успешно справилась с ним, предложив рынку новый подход универсального управления всеми привилегиями. Этот подход дает возможность подбирать актуальный на данный момент функционал и дополнять его новым по мере необходимости.
Решение Centrify объединяет возможности PASM и PEDM. Centrify предлагает полноценное SaaS PAM-решение. В отчете отмечен бесплатный сервис Centrify Health Check – однодневная консалтинговая программа оценки зрелости PAM-программы компании и определения следующих шагов. При выборе решения следует учесть, что стоимость решения этого вендора выше среднерыночного, PEDM-функционал не реализован для macOS. Centrify нацелен на использование MS AD, поэтому обнаружение учетных записей эксперты называют слабым и сфокусированным на AD, главным образом.
CyberArk известен в качестве трендсеттера отрасли. В его решениях реализован как PASM функционал, так PEDM и Secrets management. В мае 2020 CyberArk приобрел Idaptive для управления доступом. CyberArk – это полноценное решение, охватывающее различные сценарии использования. Эксперты Gartner обращают внимание потенциальных клиентов на его высокие требования к оборудованию и трудность в установке некоторых его компонентов. При выборе решения следует учесть, что в решении не предусмотрена поддержка Kerberos и групповой политики MS AD для UNIX/Linux.
Решение Thycotic обладает функционалом PASM, PEDM и Secrets management. Эксперты отмечают легкость установки и настройки решения. В 2020 году компания приобрела Onion ID для расширения контроля привилегированного доступа на платформах IaaS, SaaS и для баз данных.
Отчеты аналитиков Gartner – это не призыв к приобретению того или иного решения, это возможность выбрать то, что отвечает потребностям конкретной компании. Для этого не всегда следует ориентироваться на лидеров рынка. Менее крупные вендоры или вендоры, не вошедшие в квадрат лидеров, часто предлагают уникальные возможности. Hitachi, например, реализует подход «just in time» для инжектирования учетных данных в AWS, OneIdentity использует машинное обучения для анализа действий в сеансе, биометрию для анализа клавиатурного почерка и обнаружения несанкционированного доступа. Senhasegure сфокусирована на расширении интеграции с DevOps инструментами и быстро выводит на рынок новый функционал, связанный с управлением Kubernetes и контейнерами.