Архитектура решения Indeed PAM

С общими вопросами о системе РАМ разобрались. Настало время для знакомства с Компанией Индид, которая разрабатывает и поддерживает продукт Indeed PAM.

Компания Индид — это российская компания-разработчик с более чем 15-летней историей создания продуктов для управления доступом пользователей к информационным ресурсам компании.

На сегодняшний день в штате вендора работает более 150 человек. Ключевые сотрудники и руководители обладают обширным опытом в сфере разработки ПО для информационной безопасности. Компания имеет 4 физических офиса, постоянно развивается и работает над новыми продуктами.

Кроме России Компания Индид осуществляет деятельность в республиках Беларусь, Казахстан, Узбекистан и Кыргызстан.

Решение класса PAM не единственное в каталоге разработчика.

Активно развиваются и следующие продукты:

• Indeed Access Manager (AM)

Платформа, которая позволяет построить систему централизованного управления доступом пользователей к информационным ресурсам компании. Поддерживаются различные технологии усиленной и многофакторной аутентификации;

• Indeed Certificate Manager (CM)

Централизованная система управления инфраструктурой открытых ключей, поддерживающая аудит инфраструктуры PKI и интеграцию с различными сторонними системами.

Как продукт Компании Индид PAM начал развиваться в 2018 году.
За прошедшие с этого времени годы специалистами вендора было выпущено множество релизов, внесено много новых функций и доработок.
История версий продукта, доступная в разделе с документацией, начинается с версии 2.8. Актуальным релизом на сегодняшний день является версия 2.10.

К релизу в первой половине 2025 года готовится версия 3.0.

История версий (Release Notice) доступна на портале технической документации. Ознакомиться с документацией можно по ссылке: docs.indeed-company.ru/privileged-access-manager

Продукты Индид реализуются через каналы продаж. Протестировать П О и запросить цены на лицензии вы можете на сайте системного интегратора TS Solution: Купить продукты компании Индид

Indeed PAM лицензируется 2 методами:

1. По количеству привилегированных пользователей
2. По количеству целевых защищаемых ресурсов

В качестве ОС для развёртывания системы может быть Windows и Linux с поддержкой Docker.

Технические характеристики Indeed PAM:

• Поддерживаемые протоколы: RDP, SSH, HTTP (s), любые иные проприетарные протоколы с помощью публикации соответствующих приложений
• Поддерживаемые типы учетных данных: Имя пользователя + пароль, SSH-ключи
• Поиск привилегированных учетных записей и управление паролем: Windows, Linux, Active Directory
• Поддерживаемые каталоги пользователей: Active Directory
• Технологии двухфакторной аутентификации: Пароль + TOTP (программный генератор)
• Поддерживаемые типы логирования сессий: Текстовый лог, видеозапись, снимки экрана
• Технологии удаленного доступа: Microsoft RDS, SSH Proxy
• Техническая поддержка продукта осуществляется через обращения на портале или по телефону. В базе знаний даже процедура обращения в поддержку описана по шагам, так что запутаться сложно.

Общая схема продукта представлена на схеме:

Определим основные функциональные блоки решения:

• Сервер управления. Набор компонентов, предназначенных для организации управления учётными записями и аутентификацией пользователей, логированием и управлением системой с помощью UI;
• Сервер доступа. Набор компонентов, реализующих функции jump server'а (сервер, который проксирует трафик RDP/ssh на конечный хост) средств аудита сессий и механизмов защиты.

Второстепенные блоки, которые появляются при распределенной и отказоустойчивой инсталляции решения, в упрощенном варианте инсталляции являются компонентом сервера управления:

• СУБД. Используется для хранения локальных списков привилегированных пользователей, учётных записей администраторов, списка ресурсов, расписаний и логов;
• Сетевое хранилище. Используется для хранения видео сессий и скриншотов

Важной частью инсталляции, но не компонентом решения являются так же Сервер Службы каталога. В нашем случае — это Microsoft Active Directory.

Важно, чтобы Сервер управления и Сервер доступа были заведены в Active Directory. Это позволяет работать с доменными учётными записями (далее УЗ), присваивать Серверу управления и доступа доменные имена, а также выписывать SSL-сертификаты для подключения HTTPS (Active Directory Certificate Services (AD CS)).

Для этого требуется развернуть СУБД, к которой будет обращаться сервер управления. СУБД можно развернуть на сервере управления как компонент. В качестве СУБД будет использоваться только PostgreSQL либо Microsoft SQL.

В СУБД должны быть созданы следующие БД:

• Core. База данных, которая хранит основной массив данных (пароли, лицензии и прочее);
• IdP. База данных для хранения аутентификационных данных, второго фактора (база данных для центра аутентификации);
• IdpJobs. База данных для сервисных операций компонента IdP;
• CoreJobs. База данных для сервиса выполнения задач по расписанию (hangfire);
• ILS (Indeed log server). База данных, хранящая все события происходящие в системе

Компоненты сервера управления:

• Indeed PAM Core. Центральный компонент, реализующий логику комплекса Indeed PAM. Работает на web-сервере IIS (для случая Windows инсталляции) и основная его задача заключается в том, чтобы управлять пользователями, привилегированными УЗ, доступом и паролями. Сам каталог называется «core»;
• Indeed PAM Manager console. Это так называемая «веб-морда» администратора, где он может настраивать политики, управлять УЗ и тд. Среда выполнения у него – web-server IIS. Название каталога – mc;
• Indeed PAM User Console. Такая же «веб-морда», но уже для пользователя, откуда он качает RDP файл или копирует ssh-ключ для подключение к ресурсам. Функционирует он также на web-server IIS;
• Indeed Log Server. Web-приложения для логирования событий и их выдачи. Выполняется он на web-server IIS и называется ls;
• Indeed PAM EventLog. Это дополнительный модуль для Log Server, и его основная задача – запись событий в Windows Event Log.

Компоненты сервера доступа:

① Indeed PAM Gateway– набор компонентов, реализующих функции jump server, а также средств аудита сессий и механизмов защиты.

В его состав входят следующие элементы:

• приложение proxyapp.exe;
• драйвер для работы с файловой системой – pam.fsfilter;
• служба взаимодействия с pam.fsfilter – pam.service;
• модифицированный ssh-client – putty.exe;
• расширение для msts.exe;
• набор утилит и библиотек – ffmpeg;
• библиотеки контроля и процессов

Основные задачи Indeed PAM Gateway:

• предоставление доступа в режиме remoteapp по протоколам RDP/SSH/Telnet;
• введение и сохранение записи видео, снимков экрана и перехвата текста, файлов. Проверка состояния клиентских компонентов, обработка и сохранение артефактов сессии;
• контроль запуска процессов и доступа к файловой системе

② Indeed ESSO Agent и Indeed Admin Pack – это набор компонентов для SSO-доступа.
В его состав входит перечень приложений, служб и инструментов для взаимодействия с формами аутентификации и компонентами Indeed PAM и расширение для браузеров ( EDGE, Google Chrome).

Основными задачами этого компонента являются перехват и заполнения форм аутентификации web и desktop приложений.

③ Indeed PAM Agent – продукт Indeed PAM.
Является агентским решением и на каждый конечный ресурс нужна служба Pam.Proxy.WindowsAgent,

Основная функция этого компонента – запись экрана.

В следующей статье нашего курса мы перейдём к обсуждению технических требований аппаратуры для работы с Indeed PAM.

До встречи на TS University!