2. Опыт внедрения и использования
SafeInspect
Роман Рашевский
Инженер систем безопасности
ПНИПУ
Пермь 17.11.2016
3. Наличие «персональных» привилегированных учетных
записей
Локальные разделяемые учетные записи на Linux/FreeBSD- и
Windows-серверах вне домена ActiveDirectory
Доступ внешних подрядчиков в нашу инфраструктуру
НАШИ ПРОБЛЕМЫ
4. Резервное хранилище привилегированных учетных записей
Управление (делегирование) разделяемыми учетными
записями
Контроль доступа внешних подрядчиков
ЗАДАЧИ PIM-РЕШЕНИЯ
5. Контроль протоколов SSH, RDP и HTTP(S)
Интеграция с ActiveDirectory
Режим ручного подтверждения сессий (т.н. «четыре глаза»)
ОСНОВНЫЕ ТРЕБОВАНИЯ К PIM-РЕШЕНИЮ
6. Соотношение «цена/качество»
Отечественное решение (сертификация ФСТЭК по НДВ4 – в
ближайшее время)
ПРИЧИНЫ ВЫБОРА SAFEINSPECT
7. Запущен в ноябре 2015 года совместно с компанией
«Астерит»
Развертывание и запуск – 3 дня
Тесное взаимодействие с инженерами разработчика во
время проведения пилотного проекта
ПИЛОТНЫЙ ПРОЕКТ SAFEINSPECT
8. Хранение привилегированных учетных записей
Унификация процесса использования разделяемых учетных
записей внутри организации
Единая точка входа и контроль действий для внешних
подрядчиков
РЕЗУЛЬТАТЫ ЭКСПЛУАТАЦИИ SAFEINSPECT
9. Прозрачный (L2, L3) и непрозрачный («Бастион») режимы
работы
Авторизация по SSH с использованием X.509 сертификатов
Модульная архитектура и легкое масштабирование
ПРЕИМУЩЕСТВА SAFEINSPECT