PAM / IDM / IGA / MFA

Платформа Indeed Access Manager (Indeed AM) позволяет построить систему централизованного управления доступом пользователей к информационным ресурсам компании. Поддерживаются различные технологии усиленной и многофакторной аутентификации. С помощью механизмов интеграции можно подключать разнообразные целевые приложения. Indeed AM помогает сократить расходы на сопровождение инфраструктуры и сделать работу пользователей более эффективной.

Indeed AM относится к специализированному классу решений, который объединяет в себе следующие функциональные модули:

— Authentication Management
— Multi-Factoring Authentication Provider (MFA-Provider)
— Enterprise Single Sign-On
— Web Single Sign-On
— Out of band (Mobile) Authentication

Indeed AM представляет собой программно-аппаратный комплекс, реализующий централизованные политики управления аутентификацией, технологию единой аутентификации во всех корпоративных сервисах и различные сценарии усиленной и многофакторной аутентификации.

Поддерживаемые каталоги пользователей:
— Active Directory
— СУБД (SQL)

Поддерживаемые целевые ресурсы:
— Рабочие места с ОС Microsoft Windows
— Microsoft Remote Desktop Server
— Microsoft Internet Information Services
— Настольные приложения Windows
— Веб-приложения
— VPN-серверы
— Серверы приложений
— Виртуальные рабочие столы (VDI)

Поддерживаемые механизмы интеграции с целевыми приложениями:
— RADIUS
— ADFS
— SAML
— OpenID Connect
— OAuth 2.0
— Kerberos
— Enterprise Single Sign-On

Поддерживаемые технологии аутентификации:
— Биометрия: отпечатки пальцев, рисунок вен ладони, геометрия лица (двухмерное и трехмерное изображение)
— Аппаратные устройства: бесконтактные карты, USB-токены, iButton, RFID-карты
— Одноразовые пароли: приложения TOTP/HOTP, брелоки OTP, доставка одноразовых паролей с помощью SMS, Telegram и электронной почты
— Приложение для push-аутентификации (Indeed Key)

Поддержка съемных аппаратных носителей ключевой информации:
— Рутокен компании «Актив»
— eToken, ID Prime и iKey компании Thales Group (в прошлом SafeNet и Gemalto)
— ESMART компании ISBC
— JaCarta компании «Аладдин Р.Д.»

Поддержка интеграции с техническими средствами:
— Средства защиты рабочих станций: Secret Net Studio
— Средства управления полномочиям и учетными записями: Solar inRights, 1IDM, КУБ, Microsoft FIM, IBM Tivoli Identity Manager
— Средства управления инфраструктурой открытых ключей: Indeed Certificate Manager
— Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM
— Средства контроля и управления доступом: «Бастион», «Орион», 7 печатей.

INDEED Privileged Access Manager (PAM) управляет доступом привилегированных пользователей к ИТ-системам компании.

Как INDEED PAM защищает привилегированный доступ

Защита учетных записей:
- авторизация привилегированных пользователей надежно защищена двухфакторной аутентификацией с использованием мобильного приложения TOTP или серверов RADIUS;
- пароли привилегированных учетных записей, включая пароли локальных администраторов, ротируются автоматически по заданному расписанию. Учетные данные хранятся в отдельном хранилище в зашифрованном виде и не раскрываются пользователям;
- пароли служебных учетных записей хранятся и используются в неявном виде с помощью Application-to-Application Password Manager (AAPM);

Контроль действий администраторов:
- администратор PAM управляет правами привилегированного доступа к целевым ресурсам через единую консоль;
- при необходимости можно запретить привилегированному пользователю вводить команды (SSH) и передавать файлы на ресурс (SSH, RDP);
- для сквозной аутентификации на целевом ресурсе администраторы используют единую учетную запись, хранящуюся в защищенной базе. При этом пароль не разглашается, а в журнале событий фиксируется, кто именно получал доступ под этой учетной записью;

Расследование инцидентов:
- все привилегированный пользовательские сессии записываются. При этом фиксируются дополнительные данные, которые могут помочь при расследовании;
- события и прочие артефакты привилегированных сессий логируются в централизованное хранилище. Они на зависит от работы локальных ресурсов, с которыми взаимодействует пользователь.

Indeed PAM соответствует политике ZERO TRUST
Политика Zero Trust (“нулевое доверие”) подразумевает отсутствие доверия кому-либо внутри и за пределами сети. Принцип работы Indeed PAM и возможности решения позволяют управлять привилегированным доступом в соответствии с этой политикой.

Пассворк упрощает совместную работу с корпоративными паролями. Все данные безопасно хранятся на вашем сервере, а сотрудники быстро находят нужные пароли. Администратор управляет правами пользователей, отслеживает все действия и изменения.

Устанавливается на сервер вашей компании
Все данные хранятся на сервере вашей компании и шифруются алгоритмом ГОСТ или AES-256 по вашему выбору. Пассворк работает на PHP и MongoDB, поддерживает установку на Windows Server и Linux с Docker или без него.

Пассворк подходит для компаний любого размера.

Для госкомпаний:
 — Входит в единый реестр Российского ПО
 — Лицензии ФСТЭК России на ТЗКИ и СЗКИ
 — Поддержка ГОСТ шифрования
 — Участие в закупках по 44 и 223 ФЗ
 — Сертифицированный партнер Astra Linux, РЕД Софт и ОС «Атлант»
 — Простой и понятный интерфейс

Для бизнеса:
 — Интеграция с Active Directory / LDAP
 — Авторизация через SSO
 — API для интеграции с инфраструктурой компании
 — Управление правами пользователей с помощью ролей
 — Установка в несколько филиалов компании
 — Оперативная русскоязычная техническая поддержка

Для ИТ-отделов:
 — Разграничение прав администрирования
 — Настройка кластеризации и отказоустойчивого решения
 — Хранение папок и паролей в виде дерева
 — Гибкий импорт и экспорт данных
 — История изменений паролей и настроек
 — Аудит безопасности паролей

Основные возможности

Аудит безопасности паролей:
— Оповещения о старых, слабых и скомпрометированных паролях
— Тонкая настройка прав доступа для папок и сейфов
— Групповое управление правами пользователей с помощью ролей
— История всех действий и изменений

Удобная совместная работа:
— Приглашайте сотрудников в общие папки и сейфы
— Разграничение прав администрирования
— Настройте интеграцию с AD / LDAP
— Индивидуальные настройки для отдельных пользователей и ролей

Безопасное хранение корпоративных паролей:
— Храните пароли в удобном структурированном виде
— Используйте поиск, теги, цветовые метки для быстрого доступа
— Совершайте простой импорт и экспорт ваших паролей
— Меняйте тему оформления

Современная IGA-система IDM, предоставляющая эффективные решения для управления учетными записями и расследования инцидентов ИБ, связанных с правами доступа.

Ключевые преимущества

Зрелая технологическая платформа
— Необходимая функциональность доступна «из коробки»
— Адаптивная бизнес-логика и BPMN-моделирование процессов управления доступом

Высокая производительность и широкие возможности масштабирования
— Подключение 200 000+ пользователей, десятки управляемых систем и автоматизированных процессов. Подтверждено нагрузочными тестами
— Кастомизация под нужны организации и развитие системы без потери настроек

Простое использование и удобная эксплуатация
— Интуитивно понятные визуальные средства настройки системы: управление процессами, правилами разделения обязанностей, рисками, ролями и каталогами, маршрутами согласования и другими объектами
— Использование прогрессивного фреймворка для организации оптимальной работы пользовательского интерфейса и настройки его работы на любых устройствах

Экспертиза продуктовой команды
— В центре экспертизы по консалтингу и внедрению 150+ квалифицированных специалистов с более чем 15-летним опытом реализации проектов
— Профессиональная поддержка, обеспечивающая быстрое решение возникающих вопросов и постоянное обновление технологической базы до последних версий

Защищенность и стабильность платформы
— Процесс безопасной разработки и анализа кода сокращает риски потенциальных взломов и инцидентов
— Система работает на импортонезависимых компонентах.

Центр управления жизненным циклом учетных записей и правами доступа в информационных системах организации.

Какие задачи решает Avanpost IDM?

User Administration and Provisioning (UAP) — автоматизация управления доступом и жизненным циклом учетных записей пользователей:
— Создание, блокировка, разблокировка и удаление учетных записей на основании кадровых событий и заявок;
— Ролевая модель позволяет определить учетные записи и права доступа, предоставляемые по умолчанию или по запросу для разных групп пользователей, определяемых на основании значений атрибутов;
— Гибкая настройка автоматической обработки кадровых событий для различных групп работников;
— При изменении атрибутов пользователей доступы пользователя могут изменяться как автоматически, так и с подтверждением;
— Быстрая синхронизация изменений свойств из источников данных в учетные записи пользователей;
— Возможность кастомизации бизнес-процессов обработки кадровых событий;

Identity and Access Governance (IAG) — комплекс и автоматизация процессов сокращения рисков:
— Позволяет получить информацию о текущем доступе пользователя, произвести ретроспективный анализ;
— Оценка рисков компрометации учетных записей и злонамеренных действий сотрудников;
— Компенсация рисков и конфликтов;
— Выявление несанкционированных изменений прав доступа и атрибутов с возможностью определения реакции;
— Сертификация доступов: первичная и в процессе жизненного цикла;
— Правила разграничения полномочий (SOD) для контроля совмещения критичных функций пользователем;
— Плановый пересмотр и пересмотр доступов по событиям

MULTIFACTOR — система двухфакторной аутентификации и контроля доступа для любого удаленного подключения: RDP, VPN, VDI, SSH и других. В реестре российского ПО за номером 7046.

Multifactor — система многофакторной аутентификации для сайтов, Linux серверов, Windows серверов, систем виртуализации и облаков, Exchange, VPN, VDI и множества корпоративных приложений. Легко встраивается в любой процесс и проверяет подлинность ваших пользователей, используя наиболее современные и безопасные способы аутентификации.

Возможности

— Разные способы аутентификации
Мобильное приложение, Telegram, биометрия, одноразовый код — вы выбираете доступные способы, а ваши пользователи используют наиболее удобные из доступных.

— Личный кабинет администратора
В личном кабинете можно управлять пользователями, настройками, объектами доступа и способами аутентификации.

— Политика и журнал доступа
Multifactor предоставляет возможность гибкой настройки политики доступа ваших пользователей, основанную на ролях, а все успешные и неуспешные попытки доступа будут записаны в журнал, доступный в личном кабинете администратора.

С помощью Multifactor вы можете:
— Усилить безопасность ваших данных
— Узнать, кто, когда и откуда пользуется доступом
— Узнать, кто использует доступ несанкционированно, в том числе из бывших сотрудников
— Повысить лояльность ваших пользователей
— Защитить процессы входа, смены пароля, восстановления доступа и прочих значимых действий
— Подключаться к рабочему месту по отпечатку пальца с вашего ноутбука.

sPACE — безагентское российское решение для управления, контроля и аудита привилегированного доступа, полностью исключающее компрометацию привилегированных учетных записей, в том числе технических.

sPACE полностью поддерживает работу через Интернет, не требуя установки VPN, быстро разворачивается практически в любой инфраструктуре. Гибкая ролевая модель позволяет реализовать различные сценарии запроса, согласования и обеспечения доступа, он-лайн контроля текущих и аудита завершенных сессий.

sPACE может быть использован как вспомогательный PAM для реализации комплексных сценариев.

Основные возможности

— Управление жизненным циклом паролей: хранение паролей в защищенном хранилище, ротация паролей (по расписанию, перед сеансом, после сеанса)
— Автоматизация доступа: подключение к целевым системам без ввода учетных данных пользователями, обеспечение доступа с минимальными привилегиями точно в срок («least privilege just in time»), целевой персонифицированный доступ в рамках разрешенных параметров
— Управление привилегиями: запрос и согласование доступа, гибкое повышение и понижение привилегий
— Доступ на основе ролей: гибкая реализация ролевых политик, доступ к инструментам системы и объектам администрирования в зависимости от выданных прав
— Широкий спектр целевых систем администрирования: более 100 доступно «из коробки», быстрая интеграция новых объектов администрирования
— Удаленный доступ: запуск сеансов RDP, SSH, Web
— Он-лайн аудит сессий: просмотр текущих сеансов в режиме «4 глаза», экстренное прерывание сеансов (в случае необходимости)
— Аудит завершенных сессий: полная запись того, «кто», «что» и «когда» сделал (журнал сессий, запись экранов, нажатия клавиатуры и мыши); выгрузка записей сессий
— Двухфакторная аутентификация (OTP, RuToken)

Сервис многофакторной аутентификации МТС RED MFA помогает защитить данные корпоративных учетных записей, настроить прозрачный мониторинг удаленных подключений, а также снизить затраты на поддержку и устранение проблем доступа.

Сервис поддерживает 6+ способов аутентификации и 5+ сценариев использования.

— Дополнительная защита паролей
— Мониторинг удаленных подключений
— Единый вход в корпоративные системы

МТС RED MFA помогает:
— соответствовать требованиям и рекомендациям регуляторов;
— обеспечить единый вход в корпоративные системы (SSO);
— предотвратить компрометацию данных и защититься от сетевых атак;
— настроить прозрачный контроль над удаленными подключениями через журнал событий и кабинет администратора.

Преимущества

1. Минимизирует нагрузку на вычислительные мощности, обеспечивает высокую доступность и отказоустойчивость благодаря облачной модели поставки.

2. Интегрируется со сторонними решениями через API.

3. Поддерживает полный жизненный цикл токенов OTP.

4. Обеспечивает удобное управление удаленными подключениями в малых и крупных организациях.

5. Помогает соблюдать принципы модели нулевого доверия (Zero Trust), чтобы свести к минимуму вероятность взлома.

Что получают компании, выбирающие Bearpass? — Централизованное защищенное хранение Пароли хранятся централизованно и защищены алгоритмами шифрования стандарта AES-256. Без специальных прав доступ к паролям невозможен.

— Защита от скринкаста и брутфорса
Пароли защищены от случайной демонстрации на экране и взлома методом перебора паролей.

— Мониторинг Даркнета
Регулярный мониторинг пароли на компрометацию и присутствие в базе «слитых» паролей. Проверка осуществляется безопасно — без пересылки паролей по открытым каналам.

— Настраиваемые политики безопасности
Требования к сложности паролей можно настроить отдельно не только для каждой папки, но и для каждой парольной записи.

— Двухфакторная 2FA-авторизация
Возможность подключения двухфакторной авторизации для приложений с поддержкой TOTP (например, Google Authenticator).

— Генератор паролей
Настраиваемый генератор паролей избавит пользователей от необходимости придумывать пароли самостоятельно или использовать одни и те же пароли для разных служб.


Почему выбирают BearPass?

— Радикальная безопасность
Безопасность — основа нашего бизнеса. Ключевой функционал продукта, обеспечивающий защиту, обновляется бесплатно. Оплату мы берем за функции, повышающие удобство.

— Open Source
Продукт разработан на технологиях с открытым исходным кодом. Вы можете провести его аудит и убедиться в его надежности и безопасности.

— В реестре российского ПО
BearPass — российский продукт, включенный в Реестр российского ПО и подходящий для программ импортозамещения и закупок по 44 и 223 ФЗ.


BearPass совместим с большинством российских и зарубежных корпоративных решений.

Контур.ID — двухфакторная аутентификация для защиты учетных записей сотрудников.

Преимущества Контур.ID:
— Проверенный производитель
Создаем программное обеспечение для бизнеса с 1988 года. Мы сами опробовали Контур.ID более чем на 5 000 пользователях — сотрудниках нашей компании, прежде чем вывести продукт на рынок.
— Экономическая эффективность
Стоимость подключения двухфакторной аутентификации Контур.ID в несколько раз ниже последствий утечки данных.
— Поддержка разработчиков
Помощь инженеров-экспертов внедрения и сопровождение в масштабировании решения на всем пути.
— Удобство использования
Наше решение удобное и понятное, для установки вам не потребуются большие ресурсы внедрения.

Возможности Контур.ID:
— Сценарии использования двухфакторной аутентификации:
Защита подключений через VPN/Межсетевые экраны с поддержкой RADIUS-протокола, подключение к удаленным рабочим столам через шлюз (RDG), ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, Outlook Web Access (OWA).
Способы аутентификации:

• Push-уведомления
• Звонки
• OTP-коды

— Удобный и функциональный кабинет администратора для настройки конфигураций и управления пользователями, с журналом событий.
— Собственное мобильное приложение Контур Коннект для подтверждения второго фактора.
— Надежная и удобная система регистрации пользователей по номеру телефона и почте, подключение 2-ого фактора по группам
— Способы автоматического добавления пользователей с помощью синхронизации с AD
— Масштабирование по количеству пользователей без увеличения серверных ресурсов заказчика