+7 (495) 925-7794
 
Главная / О компании / Новости / 2024: Новые сценарии применения PAM и фокус на удобство пользователей. Обзор магического квадранта Gartner Magic Quadrant for Privileged Access Management

2024: Новые сценарии применения PAM и фокус на удобство пользователей. Обзор магического квадранта Gartner Magic Quadrant for Privileged Access Management

« Назад

2024: Новые сценарии применения PAM и фокус на удобство пользователей. Обзор магического квадранта Gartner Magic Quadrant for Privileged Access Management  09.10.2024 14:15

По мнению аналитиков Gartner, управление привилегиями стало мейнстримом в 2024 году, и из нишевого продукта PAM превратился в большой класс инструментов по управлению привилегиями, который решает широкий спектр задач ИТ и ИБ и охватывает разные типы привилегированных пользователей, чувствительных систем, привилегированных учетных записей. В этом году аналитики Gartner на основе решаемых задач выделяют пять категорий инструментов PAM: управление привилегированными учетными записями и сеансами (PASM); управление повышением и делегированием привилегий (PEDM); управление секретами; управление правами в облачной инфраструктуре (CIEM) и новая категория — управление удаленным привилегированным доступом (RPAM).
 
Дополнительно Gartner выделил новый подкласс инструментов — Just in Time Privilege (JITP), — который при определенных условиях можно рассматривать как альтернативу PAM-системам.
 
Краткий обзор аналитического отчета Gartner Magic Quadrant for Privileged Access Management 2024 специально для TAdviser подготовила компания Web Control.
 
 
Определение/описание рынка
 
Как и в прошлом году, Gartner определяет PAM-системы как инструменты, которые обеспечивают повышенный уровень технологического доступа путем управления и защиты учетных записей, учетных данных и команд, которые используются для администрирования систем и приложений. Инструменты PAM управляют привилегированным доступом как людей, так и машин. Привилегированный доступ несет компаниям большую угрозу, так как позволяет пользователям управлять существующими средствами контроля доступа и даже отключать их, изменять настройки безопасности или вносить изменения, затрагивающие сразу несколько пользователей или систем, а также изменять и удалять данные компании. Таким образом, управление привилегированным доступом является критически важной функцией безопасности для каждой организации, что требует специализированных инструментов — систем управления привилегированным доступом (PAM).
 
PAM-системы способны обнаружить интерактивные и неинтерактивные привилегированные учетные записи и обеспечить их безопасность посредством хранения их в защищенном хранилище и ротации секретов. Они также помогают организовать многофакторную аутентификацию и создают доверенный удаленный доступ для сотрудников и поставщиков. Такие инструменты подставляют учетные данные при установлении сеанса, что позволяет использовать привилегированные записи без раскрытия их пользователям. Часто PAM-системы обеспечивают контроль команд и могут временно повышать привилегии пользователя для выполнения команд в привилегированном контексте. Еще одна немаловажная функция PAM-инструментов — видимость и контроль использования привилегированных учетных записей и команд, а также фиксация действий привилегированных пользователей для последующего аудита. Средства контроля, предоставляемые инструментами PAM, могут реализовать управление привилегиями «точно в срок» (just in time), чтобы обеспечить соблюдение принципа наименьших привилегий.
 
Как и в прошлом году к обязательным возможностям PAM аналитики Gartner относят следующие:
  • централизованное управление и организация привилегированного доступа путем контроля либо доступа к привилегированным учетным записям и учетным данным, либо выполнения привилегированных команд (или того и другого);
  • управление и предоставление привилегированного доступа авторизованным пользователям (например, системным администраторам, операторам и сотрудникам службы поддержки) на временной основе.
 
В дополнение к ним в отчете этого года в числе обязательного функционала появилось хранение и управление учетными данными для привилегированных учетных записей.
 
Помимо перечисленного выше, традиционные PAM умеют обнаруживать привилегированные учетные записи в облачных инфраструктурах, повышать привилегии для выполнения команд в различных операционных системах и обеспечивают аудит для определения кто, когда и где использовал привилегированный доступ. Большинство вендоров из квадранта Gartner предоставляют также управление секретами приложений и служб и управление правами на облачную инфраструктуру.
 
Кто вошел в магический квадрант 2024
 
Рисунок 1: Магический квадрант PAM-решений
 
Магический квадрант этого года практически не отличается от прошлого года, что свидетельствует о том, что рынок PAM сформирован. Netwrix переместился из визионеров к нишевым игрокам, а Saviynt и HashiCorp выбыли из квадранта как не соответствующие теперь экономическим и техническим критериям соответственно.
 
Решения, попавшие в квадрант, должны соответствовать строгим требованиям, которые пересматриваются по мере изменения рынка. В этом году все вендоры должны предоставлять централизованное управление и обеспечение привилегированного доступа, управление и предоставление привилегированного доступа на временной основе, высокодоступное защищенное хранилище учетных данных и управление учетными данными.
 
Помимо функциональных требований эксперты при отборе в магический квадрант 2024 учитывали наличие пользовательского интерфейса для проверки привилегированных учетных данных и запроса доступа. Это является признаком зрелости рынка, когда помимо функционала существенным становится удобство его использования. Особенно важно это для ИТ-персонала, который и является основным пользователем PAM-систем, отсюда и возникает требование к пользовательскому интерфейсу для запроса доступа.
 
Кроме того, как и в прошлом году, инструменты должны поддерживать ролевой доступ, иметь полную документацию и соответствовать требованиям к географии продаж.
 
В каждом отчете эксперты перечисляют вендоров, не вошедших в текущий квадрант, но к которым стоит присмотреться. В этом году их число вошли Bravura Security, Fortinet, HashiCorp, Keeper Security, MicrosoftOkta, Saviynt, senhasegura, StrongDM, Teleport. HashiCorp, например, хорошо известен своим решением управления секретами и хранилищем паролей. В Microsoft, StrongDM и Okta эксперты высоко оценили возможность just in time-повышения привилегий во время сеанса доступа. Платформу Teleport Access Platform аналитики называют альтернативой PAM для облачных и мультиоблачных инфраструктур. Она обеспечивает доступ строго на основе идентификации, создавая виртуальную сетку привилегированного доступа для учетных записей, получающих доступ к SSHKubernetes, веб-приложениям, базам данных, рабочим столам Windows и облачным консолям.
 
Категории PAM-инструментов
 
В отчете прошлого года Gartner к трем категориям — управление сеансами, управление повышением привилегиями и управление секретами — добавил управление правами в облачной инфраструктуре (CIEM). В этом году появилась еще одна категория — управление удаленным привилегированным доступом (RPAM).
 
Управление привилегированными учетными записями и сеансами (PASM)
 
Решения этой категории нацелены на защиту учетных записей. Учетные записи хранятся в хранилище, секреты меняются по заданным правилам. При установлении сеанса привилегированного доступа пароли подставляются, действия пользователей фиксируются. PASM-решения могут также управлять паролями межмашинного взаимодействия (AAPM) и/или предоставлять zero-install-привилегированный доступ, не требующий VPN.
 
Управление повышением и делегированием привилегий (PEDM)
 
Это агентские решения, как правило, которые обеспечивают контроль команд на хосте, контроль приложений и/или повышают привилегии, позволяя запускать определенные команды с более высоким уровнем привилегий. К этой категории не относятся инструменты, которые контролируют команды через фильтрацию протоколов. PEDM-решения могут также предоставлять функции контроля целостности файлов.
 
Управление секретами
 
Решения этой категории нацелены на управления паролями, токенами OAuth, SSH-ключами, секретами межмашинного взаимодействия, которые управляются посредством API и SDK. Для обмена секретами и управления авторизацией между машинами, контейнерами, приложениями, процессами, скриптами, процессами и DevOps устанавливается доверие. Такие решения часто используются в динамичных и agile средах, таких как IaaSPaaS и платформы управления контейнерами.
 
Управление правами в облачной инфраструктуре (CIEM)
 
CIEM-решения помогают снизить риски, связанные с правами доступа к виртуальной инфраструктуре (IaaS). Решения CIEM обычно используют аналитику, машинное обучение (ML) и другие методы для обнаружения аномалий в правах учетных записей, например, накопления привилегий, а также неактивных и ненужных прав. CIEM позволяет предоставлять наименьшие привилегии в облачных инфраструктурах.
 
Управление удаленным привилегированным доступом (RPAM)
 
RPAM-инструменты обеспечивают доступ для удаленных привилегированных пользователей. Они помогают организовывать сеансы доступа, подставляют учетные данные, обеспечивают строгую аутентификацию, что снижает многие риски, связанные с использованием этими пользователями неуправляемых устройств. Такие решения предоставляют средства контроля, мониторинга и записи сеансов, устраняют необходимость в VPN и обеспечивают более безопасный доступ к критическим системам. RPAM совместимы с zero trust-архитектурами, поскольку в них отсутствует доверие к корпоративным сетям и конечным устройствам по умолчанию. Большинство средств RPAM предлагают функции многофакторной аутентификации (MFA).
 
В отчете этого года Gartner отмечает рост популярности нового подкласса инструментов, относящихся к классу PAM — Just in Time Privilege (JITP). По мнению аналитиков, причина роста заключается в стремлении компаний снизить риски, связанные с привилегированным доступом. JITP-инструменты более просты и удобны в использовании, при этом решают проблемы видимости и упорядочивания привилегированного доступа.
 
Эти инструменты относятся к широкому классу PAM-решений, но имеют ряд отличий. Во-первых, они являются агентскими, взаимодействие с ними происходит автоматически. Они не требуют запуска интерфейса PAM-системы, достаточно запустить привилегированный сеанс RDP, HTML или SSH (вместе с MFA-аутентификацией), и инструмент позаботится о повышении привилегий и фиксации действий в соответствии с политикой компании. Во-вторых, такие инструменты ориентированы на разработчиков, инженеров, внутренних ИТ-специалистов. Традиционные PAM-системы требуют интеграции с любым устройством или программным обеспечением, к которому нужен контролируемый привилегированный доступ. JITP-инструменты не требуют интеграции со всеми устройствами из-за более ограниченного круга пользователей, что значительно сокращает время внедрения и освоения.
 
В инструментах этого класса нет хранилища учетных данных и их ротации, потому что в их основе лежит принцип нулевых постоянных привилегий, но свои задачи они выполняют эффективно. Эксперты Gartner не рекомендуют использовать исключительно JITP-инструменты для снижения риска PAM, поскольку не всегда возможно избавиться от постоянных привилегированных учетных записей (локального администратора или root), управление которыми требует традиционных возможностей PAM, таких как хранилище и ротация учетных данных. В качестве примера JITP-решений Gartner приводит Apono, Okta, SSH.com, StrongDM и Teleport.
 
Корпоративные менеджеры паролей (Workforce Password Management, WPM) и PAM
 
Многие вендоры PAM, BeyondTrust и CyberArk, например, начали предлагать своим заказчикам встроенные модули корпоративных менеджеров паролей, которые позволяют безопасно хранить пароли обычных пользователей. Они отличаются от пользовательских менеджеров большей защищенностью и наличием функционала, который ориентирован на корпорации (аудит, отчетность и т.д.).
 
Аналитики Gartner в отчете этого года подчеркивают, что такие инструменты предназначены для защиты паролей, а не привилегий. Они упрощают процесс авторизации в приложениях для всех сотрудников компании путем создания, хранения и извлечения паролей, а также обеспечивают контроль и видимость использования паролей в организации.
 
Тем не менее, они не подходят для управления привилегиями, потому что не справляются со следующими задачами:
  • они не предоставляют возможности обнаружения, отображения и составления отчетов о привилегированных учетных записях в различных системах, приложениях и устройствах;
  • они не могут управлять учетными данными учетных записей служб, таких как неинтерактивные учетные записи, используемые для запуска служб, приложений и скриптов;
  • они не предоставляют возможности повышения привилегий JIT и, как правило, не управляют привилегированными правами;
  • они не позволяют автоматически создавать привилегированный сеанс с использованием таких протоколов, как SSH, RDP или HTTPS, не раскрывая учетные данные пользователю;
  • они не фиксируют действия пользователей и не могут управлять сеансами доступа;
  • они не могут передавать учетные данные программному обеспечению, это значит, что их использование не позволяет исключить доступ к учетным данным в открытом виде в файлах конфигурации или сценариях;
  • в них отсутствует аналитика и отчетность о привилегированных учетных записях и их использовании (например, обнаружение несанкционированного использования привилегированных учетных данных или отчетность о необычной деятельности).
 
Тенденции и прогнозы
 
По оценкам Gartner, доход рынка PAM в 2024 году составит 2,37 млрд долларов, что на 10 % больше, чем в 2023 году, и будет продолжать расти. Рост рынка стимулируют громкие утечки информации, связанные с компрометацией привилегированных учетных данных, злоупотреблением привилегиями, а также пониманием ИБ-руководителей критической необходимости PAM. Кроме того, росту внедрения PAM способствуют нормативные требования, ускоренная миграция в облако, автоматизация DevOps, размывание периметра безопасности предприятия и общее увеличение числа кибератак. Кроме того, от 15 до 25 % клиентов Gartner, которые впервые рассматривают PAM-инструменты для приобретения, утверждают, что делают это, потому что их страховщики кибербезопасности требуют развертывания таких инструментов.
 
Необходимость контроля удаленного доступа поставщиков и внешнего ИТ-персонала также повышает интерес к PAM. Обеспечение привилегированного удаленного доступа с помощью инструментов PAM (а не чистых инструментов удаленного доступа без контроля) является рекомендуемой лучшей практикой для удовлетворения требований регуляторов и снижения рисков безопасности. Растет интерес и к управлению секретами, что привлекает к PAM дополнительных покупателей (для использования в разработке ПО и с облачными сервисами). Малые и средние предприятия (SMB) сталкиваются с теми же проблемами, что и крупные и средние предприятия, хотя и в меньших масштабах, и все больше осознают важность внедрения PAM, поэтому поставщики начинают уделять больше внимания малым и средним компаниям. В связи с этим Gartner отмечает рост облачных PAM-решений.
 
Многие ранние последователи PAM — крупные предприятия — выходят за рамки базовых сценариев использования, таких как контроль действий администраторов или управление привилегированными учетными записями. В ответ поставщики развивают такой функционал, как управление секретами, доступ just in time, обнаружение угроз привилегиям и аудит привилегированных действий, а также управление привилегиями в мультиоблачных средах. Gartner подчеркивает, что все больше поставщиков предлагают опцию SaaS. Многие клиенты нуждаются в защите привилегированного доступа в частной и публичной облачной инфраструктуре, и все представленные в квадранте вендоры предлагают инструменты управления секретами для разработчиков в той или иной степени.
 
Выводы
 
Отчет Gartner показывает, что с формированием рынка конкуренция вендоров сместилась от функционала решения к удобству его использования ИТ-персоналом. Новый подкласс продуктов JITP создает альтернативу в пользу более легкого решения для определенного сегмента рынка, где не требуется полноценный PAM-функционал, однако он не может выступать полноценной заменой PAM-системам.
 
Главная мысль отчета заключается в том, что управление привилегированным доступом стало признанным трендом на рынке с появлением новых сценариев использования и сегодня реализуется как в форме традиционного PAM, так и более простых в использовании решений JITP. Есть вероятность, что PAM-скептики, которые все еще не внедрили у себя PAM, могут подступиться к решению задачи управления привилегиями через JITP. По нашему мнению, в ближайшие годы рынок PAM претерпит существенные изменения в сторону демократизации решений и расширения его использования в новых областях ИТ (DevOpsИИbig dataIoT).