Artykuł pochodzi z wydania: Wrzesień 2025
Dostęp do szeroko rozumianych systemów informatycznych można monitorować na wielu poziomach. Służą do tego również systemy typu Privileged Access Management, w skrócie PAM. I właśnie takim rozwiązaniem zajmiemy się w tym tekście.
Zarządzanie dostępem uprzywilejowanym z definicji dotyczy sprawowania pieczy nad użytkownikami dysponującymi uprawnieniami, pozwalającymi na dość swobodny zakres działania na powierzonych systemach. W praktyce mowa tu zazwyczaj o administratorach działających zarówno wewnątrz organizacji, jak też świadczących usługi zdalnie, często reprezentujących podmiot do tego zakontraktowany. Kontrola dostępu, ale również możliwość weryfikacji działań na zarządzanych zasobach jest możliwa do realizacji na wielu poziomach, w zależności od wymagań zdefiniowanych w polityce bezpieczeństwa oraz restrykcjach narzuconych często przez różnorodne regulacje prawne.
Zgodność ze zróżnicowanymi standardami bezpieczeństwa poza prestiżem i domniemaną gwarancją stosowania najlepszych praktyk jest również wyzwaniem na gruncie dopełnienia określonych obowiązków w zgodzie z restrykcyjnymi wytycznymi. Co więcej, certyfikacja nie jest przyznawana raz na zawsze i wymaga cyklicznego odświeżenia oraz audytowania. W sukurs przychodzą rozwiązania typu PAM, za pośrednictwem których możliwe jest zrealizowanie niektórych wymagań certyfikacyjnych, ale co najważniejsze – podniesienie bezpieczeństwa na płaszczyźnie scentralizowanej kontroli dostępu uprzywilejowanego. Segura to dostawca platformy PAM z kilkunastoletnią historią. Firma z siedzibą w Sao Paolo jeszcze do kwietnia tego roku znana była jako Senhasegura. Rebranding zbiegł się w czasie z premierą najnowszej wersji rozwiązania PAM, które trafiło na testy.
> ARCHITEKTURA
Budowa rozwiązania PAM Segura opiera się na architekturze logicznej podzielonej na warstwy, odpowiedzialne za realizację różnych funkcji. Moduły PAM to warstwa realizująca najwięcej kluczowych funkcji całego rozwiązania, jak zarządzanie sesjami, realizacja web i transparent proxy dla wspieranych protokołów połączeniowych (http, HTTPS, TELNET, SSH, RDP, VLC, X.11, RDP RemoteApp), kontrola dostępu, bezpieczne przechowywanie poświadczeń, ale także panele kontroli, raporty czy analiza behawioralna dla użytkowników PAM. Warstwa aplikacyjna realizuje obsługę użytkowników i aplikacji, funkcje bezpieczeństwa, uwierzytelniania czy integracji za pośrednictwem API. Działanie warstwy aplikacyjnej opiera się na frameworku Orbini autorstwa grupy technologicznej MT4. Kolejne warstwy architektury zdefiniowane przez producenta dotyczą sposobu wdrożenia i komponentów fizycznych rozwiązania jak wirtualne urządzenie, ale także jego odpowiednik fizyczny, który również znajduje się w ofercie.
W praktyce Segura opiera się właśnie na virtual appliance dostarczanym w różnych formatach, jak OVA, VMDK, RAW, VHD i QCOW2, który można uruchomić zarówno w środowisku tradycyjnym, jak również w chmurze publicznej AWS, GCP lub Azure, dla których oferowane jest oficjalne wsparcie. Maszyna wirtualna – działająca pod kontrolą systemu operacyjnego Linux – może zostać wdrożona zarówno w scenariuszu standalone, jak również w opcji HA lub DR, z uwzględnieniem replikacji pomiędzy środowiskiem on-premises i chmurą publiczną. Replikacja na poziomie plików realizowana jest z wykorzystaniem Rsync. Z kolei w przypadku bazy danych jest to klaster Galera dla MariaDB. Producent dopuszcza także replikacje pomiędzy wirtualnym urządzeniem i jego fizycznym odpowiednikiem PAM Crypto Appliance.
Nadążając za trendami, Segura umożliwia także wdrożenie swojego rozwiązania w modelu SaaS, dzięki czemu rozważania na temat scenariusza wdrożeniowego, sizingu i doboru innych komponentów przestają być zasadne – wszelkie wysiłki można przekierować na właściwą konfigurację.
> MOŻLIWOŚCI
Głównym zadaniem rozwiązania PAM jest kontrola dostępu i działań użytkowników z uprzywilejowanym dostępem. W przypadku Segury jest to jedynie niewielki wycinek funkcjonalności, którą oferuje platforma, zamknięty w ramach modułu PAM Core. W dużym uproszczeniu mamy do czynienia z rozwiązaniem, które pozwala na zdalny dostęp do zróżnicowanych systemów bez ujawniania rzeczywistych poświadczeń użytkownikom końcowym. Co więcej, poświadczenia te są przechowywane w sposób bezpieczny, a hasła mogą być automatycznie zmieniane przy wykorzystaniu zdefiniowanego harmonogramu, włącznie z automatyczną modyfikacją po każdym użyciu. W praktyce oznacza to, że użytkownik w żadnym momencie nie dysponuje rzeczywistym hasłem do żadnego systemu, do którego przydzielono mu dostęp. Jedyne poświadczenia, które musi znać, to dostęp do PAM-a, a ten może być chroniony na innych poziomach. Oczywiście wspierane jest także wieloskładnikowe uwierzytelnianie TOTP i to zarówno na poziomie dostępu do Segury, jak też do systemu docelowego. Za pośrednictwem grup dostępu administrator Segury może zdefiniować, kto ma dostęp do określonych urządzeń i usług dostępnych za pośrednictwem PAM-a. Sam dostęp może być również reglamentowany ze względu na ramy czasowe, dzięki czemu łatwo zdefiniować czas życia dla określonych grup użytkowników, eliminując potrzebę ręcznego odcinania dostępu, ale także można zdefiniować okna czasowe, w których logowanie do systemów będzie w ogóle możliwe. Sam proces wnioskowania oraz akceptacji dostępu może zostać zdefiniowany poprzez kilka poziomów kontroli na różnych szczeblach. Dzięki temu można uprościć sam proces wydawania akcesów lub wręcz przenieść go w całości do Segury. Mechanizm przyznawania dostępu, zarządzanie poświadczeniami i bezpieczne przechowywanie haseł to podstawowe funkcje wymagane przed rzeczywistym wpuszczeniem użytkowników do naszej infrastruktury.
[…]
Marcin Jurczyk
Autor pracuje jako architekt IT w firmie Kyndryl. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.
