Артем Назаретян, BI.ZONE: Zero trust объединяет контроль и удобство

Артем Назаретян: Я бы сказал, интерес к PAM растет, потому что и ставки в кибербезопасности очень высоки. Возможности, которыми обладают привилегированные пользователи, в чужих руках способны привести к катастрофическим последствиям для IT-систем компании. Когда в организации не один сисадмин, которому руководитель полностью доверяет, а хотя бы десяток IT-специалистов, без PAM уже не обойтись.

PAM — это центральный узел управления привилегированным доступом. Подключения администраторов к серверам, базам данных и сетевому оборудованию проходят не напрямую, а через платформу. Это позволяет применять политики безопасности, например многофакторную аутентификацию, записывать все действия (включая видеозапись сессий) и из единой точки оперативно предоставлять или отзывать доступ. Проще говоря, PAM создает защищенный коридор для всех критичных операций.

Артем Назаретян: Руководителю бизнеса в первую очередь важны финансовые результаты и непрерывность работы компании. Средства защиты, в том числе PAM-решения, помогают этого достичь за счет снижения рисков: финансовых, репутационных и операционных. При этом важно, чтобы меры кибербезопасности не мешали работе. С этой точки зрения BI.ZONE PAM помогает сохранить эффективность и скорость IT-команды. Мы проектировали решение в соответствии с методологией zero trust (нулевое доверие), которая требует баланса между безопасностью и удобством.

С одной стороны, при zero trust внутри сети нет доверенных пользователей по умолчанию: каждый запрос на доступ к ресурсам должен быть аутентифицирован, авторизован и зашифрован. С другой — строгий контроль должен быть уравновешен продуманным UX, чтобы сотрудники не сталкивались с помехами при выполнении задач. Поэтому мы уделяем внимание оптимизации пользовательского пути, внедряем автоматизацию и сервисы самообслуживания, делая продукт удобным для всех IT-специалистов, а не только для администраторов PAM.

Кроме того, BI.ZONE PAM — это отечественная система. Мы активно развиваем продукт: новые функции появляются быстро, в ответ на запросы клиентов и изменения в инфраструктуре. И наконец, решение уже прошло проверку промышленной эксплуатацией в крупных компаниях и показало высокий уровень надежности, снижая риски сбоев в работе бизнеса.

Артем Назаретян: Российский рынок таких решений активно развивается. Основным драйвером остается импортозамещение. После ухода зарубежных вендоров у российских производителей появилось много возможностей занять освободившуюся нишу. Это способствует как развитию старых игроков, так и появлению новых вендоров. Рынок стал более живым и конкурентным.

Если говорить про зрелость решений, то можно выделить два направления оценки. С одной стороны, многие отечественные платформы демонстрируют стабильность и надежность в базовой функциональности: подключения не рвутся под нагрузкой, управление учетными записями и контроль сессий работают без сбоев. С другой стороны, зрелость может выражаться в разнообразии дополнительных функций и глубине интеграций. На рынке присутствуют как зрелые комплексные продукты, так и решения на этапе активного роста, которые с точки зрения зрелости по второму варианту находятся в стадии расширения возможностей.

По результатам нашего исследования, для заказчиков сегодня первостепенно важна именно стабильность: чтобы «продукт работал под нагрузкой», «главное — не нарушил DevOps» и «защищал, не замедляя time-to-market». Это не значит, что функциональная зрелость не имеет значения — просто российский рынок решений этого класса пока проходит фазу становления. По мере накопления опыта акценты постепенно сместятся в сторону функциональности и удобства.

Артем Назаретян: Опыт работы с крупным банком, с большой инфраструктурой, повлиял в первую очередь на архитектуру и подход, который мы изначально заложили в рамках разработки. На уровне архитектуры мы предусмотрели гибкость и масштабируемость, чтобы решение могло поддерживать инфраструктуру любого размера. Сбер с точки зрения IT очень большой, и нам нужно было обеспечить такую же производительность и качество работы, как и в небольшой компании. В Сбере BI.ZONE PAM развернут в инфраструктуре с сотнями тысяч серверов, причем проект пришлось реализовать в очень жесткие сроки и без потери производительности.

Кроме того, у Сбера многолетний опыт в части управления учетными записями и, в частности, привилегированным доступом. Естественно, они поделились с нами мощными компетенциями в вопросах надежности. Мы этот опыт переиспользовали и напрямую применили при доработке собственной платформы.

Артем Назаретян: Выбор микросервисной архитектуры обусловлен несколькими ключевыми преимуществами.

Во-первых, это масштабируемость и производительность. Каждый микросервис отвечает за конкретную функцию, например управление сессиями или хранение секретов. Это позволяет масштабировать только нужные компоненты, не нагружая всю систему. Проще говоря, мы можем добавить несколько необходимых компонентов, а не переустанавливать все решение целиком. Это обеспечивает горизонтальное масштабирование.

Во-вторых, это надежность и отказоустойчивость. Сбой одного из микросервисов, например системы записи видеосессий, не влияет на работу других частей системы. Доступ для пользователей, управление учетными записями, ротация паролей — все продолжит работать штатно. Для PAM-систем, которые часто являются mission-critical, это крайне важно — полная остановка абсолютно недопустима.

В-третьих, безопасность. Микросервисы изолированы, общаются по защищенным каналам и имеют строго определенные контракты взаимодействия. Это уменьшает поверхность атаки и последствия компрометации отдельного компонента.

В-четвертых, гибкость при изменениях. Мы можем обновлять, развертывать или откатывать отдельные сервисы без остановки всей платформы. Это особенно важно для клиентов с требованиями высокой доступности.

И, конечно, важны простота интеграции и расширяемость. Каждый сервис может иметь свой API, что упрощает интеграцию со смежными системами. Немаловажно, что команды разработки могут работать параллельно над разными сервисами. Это ускоряет выпуск новых функций и исправлений для конечных клиентов.

Артем Назаретян: Как ни странно, техническая установка компонентов занимает в проекте меньше всего времени. Самое сложное — это предварительное обследование процессов: как в компании устроен жизненный цикл учетных записей, как пользователи привыкли подключаться к целевым системам.

На одном из проектов мы работали с компанией с сильной инженерной культурой. Небольшая команда управляла масштабной IT-инфраструктурой за счет автоматизации большинства процессов: почти все подключения к серверам осуществлялись с помощью специальных скриптов — плейбуков Ansible. Заказчик не использовал PAM-систему, так как не видел решения, которое бы не нарушило этот процесс. Нам был близок подход максимальной практичности и автоматизации, поэтому мы добавили в BI.ZONE PAM поддержку Ansible-сценариев. Это позволило сохранить автоматизацию, и заказчик получил решение, которое закрыло его задачи.

Еще один трудный организационный этап — перевод пользователей на работу через PAM после завершения инсталляции. Это может быть переход с другого зарубежного решения в рамках импортозамещения. А может быть ситуация, когда PAM не было вообще и пользователей нужно убедить начать работать через него. Так что основная сложность не техническая, а процессная и организационная, завязанная на человеческом факторе. К некоторым пользователям нужен особый подход, чтобы система в целом заработала.

Артем Назаретян: Сегодня один из основных драйверов внедрения PAM-систем — это нормативные требования. К ним относятся положения Указа Президента № 250 и план перехода на отечественные решения. Поэтому к нам активно приходят не только крупные, но малые и средние компании, у которых есть элементы критической инфраструктуры или собственные подразделения IT и кибербезопасности из более чем пяти специалистов. Для них PAM становится и инструментом безопасности, и способом соответствовать требованиям регуляторов и повысить контроль над доступом к ключевым системам.

Если говорить о крупных заказчиках, сильнее всего потребность в таких решениях чувствуется у производственных компаний. Для них вопрос защиты технологических процессов и соблюдения норм безопасности стоит особенно остро. На втором месте — организации из финансового и страхового сектора. Они традиционно показывают самый высокий уровень киберзрелости в стране, и PAM для них — один из базовых элементов инфраструктуры безопасности. Также заметен интерес со стороны IT- и телеком-компаний. У них множество разработчиков и инженеров, которые ежедневно работают с критическими системами, и без централизованного управления доступами не обойтись.

Наконец, отдельный сегмент, который мы рассматриваем как приоритетный в будущем, — это крупные холдинги с дочерними структурами. Для них особенно важно видеть всю распределенную инфраструктуру и управлять ей через единое окно — именно такую возможность дает PAM.

Артем Назаретян: Самое главное заблуждение — уверенность, что PAM снимет все риски взлома компании злоумышленниками. Важно понимать, что PAM, как и любое другое средство защиты в отдельности, не является волшебной таблеткой. PAM нужно рассматривать комплексно: в рамках процессов и регламентов, в тесной интеграции с другими системами защиты и IT-системами.

Не стоит забывать, что PAM-решение перед работой нужно настроить. В практике BI.ZONE был наглядный пример: на одном из проектов наши коллеги из BI.ZONE Consulting нашли в инфраструктуре заказчика PAM-систему, которая почти не работала. Не было зафиксированных матриц доступа, правила не адаптировали, сохранялась прямая сетевая связь с целевыми системами. Наши эксперты решили сделать шаг назад: сначала помогли создать регламенты, а затем грамотно внедрить обнаруженный PAM. На первый взгляд, это простая бумажная работа, но без нее невозможно обеспечить полный контроль привилегированного доступа.

Артем Назаретян: Если говорить о ключевых возможностях BI.ZONE PAM, то выделил бы MFA-кеширование для RDP и SSH, которое упрощает работу пользователей без ущерба для безопасности, запуск плейбука Ansible прямо в SSH-сессии для автоматизации рутинных задач администраторов, а также механизм «второй руки», позволяющий безопасно подтверждать критические действия.

Но если выбирать одну «киллер-фичу», я бы, пожалуй, отметил не отдельную технологию, а сам подход, заложенный в архитектуру BI.ZONE PAM. Он вырос из широкого экспертного опыта компании в разных областях кибербезопасности: от форензики и пентестов до мониторинга и реагирования на инциденты. Этот опыт позволил команде изначально выстроить систему с правильной философией: безопасность не добавляется «поверх» функциональности, а встроена в саму основу продукта. Благодаря такому подходу BI.ZONE PAM сочетает в себе и высокий уровень безопасности, и практичность в повседневном использовании — без излишней сложности для администраторов и пользователей.