Мы создаем технологии доверия и обеспечиваем правильный доступ к важному

Если говорить об удаленных друг от друга сетях, то в таком случае Синоникс устанавливается не на границе связываемых сетей, а в рамках защищаемого контура (все-таки наша задача – защитить именно его), в остальном правила эксплуатации те же. Выделяем двух специалистов по настройке, просим их договориться между собой о правилах передачи трафика, ждем пока оба Узла (А и В) будут настроены. И в конце наслаждаемся результатом.

Система функционирует в отказоустойчивом и катастрофоустойчивом режиме. Реализуется это дополнительным Шлюзом (или несколькими), балансировкой между ними (в режиме Active-Active или Active-Passive) и репликацией политик доступов между ними. Таким образом, если падает один Шлюз – пользователи перенаправляются на следующий.

Однако если Шлюз в инфраструктуре один, и он отказал по той или иной причине, – возможность доступа сохраняется. Мы встаём не в физический, а в логический разрыв, поэтому можно использовать аварийный вариант: пустить наиболее критических пользователей напрямую к ключевым ресурсам на время восстановительных работ, чтобы падение Шлюза не повлекло за собой простоя бизнеса. Это не потребует серьёзных изменений с точки зрения инфраструктуры.

Физический контроль доступа к устройству, как и контроль соединения патчкордов, должен осуществляться в рамках физической безопасности объекта, например, доступа к стойке, где размещается "Синоникс". Кроме того, наш шлюз обеспечивает возможность отправки во внешние SIEM-системы сообщений безопасности о фактах соединений, передачи и других событий и аудита устройства.

Не будем лукавить — необходимость соответствовать требованиям регуляторов стала одним из первых импульсов для развития PAM-решений у нас в стране. Вот, к примеру, краткий список документов, пункты которых "закрывает" СКДПУ НТ: ФЗ-187, Приказы ФСТЭК России №239, №235, Приказы ФСТЭК России № 31, № 17, № 21, Указ Президента РФ от 01.05.2022 №250.

Но это не только «бумажное» закрытие требований. Это реальный инструмент, который может облегчить задачу контроля доступа к важным для бизнеса системам и объектам КИИ.

Изначально все сводилось к контролю того, «кто пришел» и «что сделал». Но сейчас с помощью СКДПУ НТ уже решается намного больше совершенно разноплановых задач. Например, такие:
- безопасный стык сетей,
- экономия на АРМ для компании при удаленной работе,
- учет рабочего времени сотрудников на удалёнке,
- снижение стоимости аутсорса,
- выявление компрометации УЗ сотрудников,
- легальный доступ к инфраструктуре без anydesk и т.д., и т.п.

Как же мы решаем эту проблему? Мы действуем так же, как поступаем и с любым проходящим через «Синоникс» пакетом: просто пересобираем его. При этом трафик между сетью и Узлами А и B «Синоникса» проходит по протоколу TCP, а при передаче с одной платы на Ядро и с Ядра на другую плату - по UDP в режиме одностороннего потока. При таком порядке передачи данных может быть гарантирована однонаправленность.

В системе существует несколько вариантов реагирования на инциденты.

Первый (самый банальный и простой) – уведомление администратора о возникновении самого инцидента. После этого администратор в рамках своих компетенций и трудовых обязанностей определяет, какие меры для локализации и устранения инцидента применить.

Второй – это обогащение информацией об инциденте таких систем как SOAR и IRP, что позволяет не только своевременно зафиксировать инцидент, но и обеспечить реагирование средствами этих систем.

Третий вариант – индивидуальные средства реагирования, скрипты и механизмы, реализуемые администраторами ИБ. Индивидуальные средства реагирования срабатывают по факту возникновения инцидента в системе СКДПУ НТ.

Право использования на программный продукт Персональные сейфы предоставляется посредством заключения лицензионного договора

Право использования на программный продукт Синоникс предоставляется посредством заключения лицензионного договора

Право использования на программный продукт СКДПУ предоставляется посредством заключения лицензионного договора

Право использования на программный продукт СКДПУ НТ Старт предоставляется посредством заключения лицензионного договора

В нашей системе есть два базовых параметра – конкурентные сессии и защищаемые устройства. И главное правило – один параметр ограничен, а второй нет.

Конкурентные сессии – это одновременные соединения от пользователя до целевой системы. Мы не ограничиваем количество самих пользователей и не привязываемся к ним, т.к. сегодня он один, завтра другой, а задача по предоставлению доступа вечна. Вам необходимо лишь добавить нужное разрешение и проконтролировать наличие доступа.

Целевые устройства – это как раз те цели, к которым подключаются привилегированные пользователи. Это могут быть конкретные системы, сетевое оборудование или приложения. В лицензии учитывается их общее число. И если сегодня их набор один, а завтра другой, вы просто меняете их адреса и наименования в системе, не превышая общего числа.

Наша практика показала, что это один из удобнейших вариантов лицензирования, в отличие от привязки к конкретному пользователю.

Кроме базовых параметров, есть и параметры, расширяющие функциональность системы: менеджер паролей, отказоустойчивость, поддержка сертификатов x509, единый центр аналитики, поведенческий анализ и детектирование аномалий, расширенный инструментарий отчетностей.

СКДПУ НТ можно применять в  инфраструктурах с различными требованиями, и поэтому мы даем выбрать именно те функции, которые вам необходимы, не переплачивая за ненужное.

Чаще всего заказчики приобретают у нас "вечные" лицензии, не ограниченные сроком действия. Это удобно и безопасно: истории "про Золушку и тыкву в полночь" точно не грозят. Но сейчас начали приобретать популярность схемы подписки или аренды лицензий. Мы готовы предлагать и такие варианты лицензирования. А чтобы было безопасно — контролируем сроки окончания действий лицензий, вовремя напомним или продлим, чтобы система продолжала работать в штатном режиме.

При подготовке Узла «Синоникса» к запуску необходимо выполнить два действия:

Установить Astra Linux 1.7,

Установить ПО «Синоникса».

На завершающем этапе установки ОС выбирается уровень защиты. Для корректной работы ПО «Синоникса» инженеры «АйТи Бастион» выбирают пункт «Maximum security level Smolensk».

Может и помогает. Ни для кого не секрет, что обработка персональных данных должна производиться в соответствии с техническими и организационными мерами по обеспечению безопасности, что явно указано в Федеральном законе № 152-ФЗ «О персональных данных».

Комплекс СКДПУ НТ позволит реализовать меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПД) в части управления доступом к персональным данным, а также в части регистрации событий безопасности в рамках пользовательской сессии доступа к персональным данным с возможностью последующего полноценного расследования инцидентов информационной безопасности (Приказ ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»).

Функционал СКДПУ НТ позволяет определить круг лиц, имеющих доступ к информационной системе по обработке персональных данных в рамках их служебных обязанностей, а также позволяет контролировать их доступ в режиме реального времени с возможностью прерывания соединения. В рамках сессии доступа к ИСПД регистрируется активность пользователя путем осуществления видео и текстовой записи.

СКДПУ НТ работает под управлением только Astra Linux SE и БД Postgres. При необходимости Astra Linux поставляем вместе с нашим решением. Соответственно, наши заказчики получают полностью готовый инструмент для работы, непредвиденных сложностей или затрат не возникнет.

Также СКДПУ НТ поддерживает работу с ОС РедОС, Альт Линукс, РОСА и другими при использовании их в качестве пользовательской и целевой систем. Таким образом, любая отечественная ОС может быть использована в работе и находится под надёжной защитой нашей системы.

Если говорить о базах данных, то наш продукт совместим и с БД Jatoba и может быть установлен при её использовании.

В первую очередь заметим, что это отличный вопрос. И как с любым отличным вопросом, на него, конечно же, нет однозначного ответа. Но мы сейчас во всем разберемся.

На российском рынке представлено несколько PAM-решений. Часть из них требует запуска агентов как на машине пользователя, так и на целевых ресурсах. Другие сами по себе являются немаленькой инфраструктурой, которую нужно встроить в продуктивную. Есть и те, что прибегают сразу к обоим методам.

Что же касается СКДПУ НТ, то решение не требует установки агента ни на АРМ пользователя, ни на целевые хосты. При этом система оказывает минимальное влияние на инфраструктуру заказчика, так как встает в логический разрыв, не меняя инфраструктуру компании и не являясь единой точкой отказа.

Кроме изначально продуманной вендором базовой архитектуры существуют различные требования самих заказчиков к выполняемым системой функциям, в том числе к тем, от которых существенно зависит архитектура конечного решения. А это может привести и к переработке существующей архитектуры.

Комплекс СКДПУ НТ способен выполнять функции без необходимости менять что-либо в сети. Правда, разместить сервера (физические или виртуальные) все же придется.

Подытожив, можем сказать, что у разных PAM-систем разные подходы к проектированию решения, у каждого подхода есть свои плюсы и минусы.

Но, выбирая СКДПУ НТ, будьте уверены: перестраивать ИТ-инфраструктуру нет никакой необходимости!