Почему пользователи ненавидят PAM?

Я давно обратил внимание: знакомясь с новой для себя PAM-системой, опытный, матерый, администратор, почти всегда задает вопросы, нацеленные на то, чтобы оценить удобство пользователей. Все потому, что PAM-системы сильно влияют на UX. Вот несколько ярких примеров того, как это иногда бывает:

• Необходимость для работы с защищаемыми ресурсами применять на АРМ какие-то агенты/клиенты от вендора PAM (либо вовсе – безальтернативное использование браузера в качестве административного клиента);
• Не поддерживаются, либо требуют от пользователя дополнительных телодвижений часть обычных для администратора операций, таких как передача файлов, работа с буфером обмена, sudo и т.п. (в наиболее одиозных ситуациях – буфер обмена работает только в одном направлении из-за того, что сессия транслируется как поток графики);
• «Лишние» и лишние шаги при доступе к ресурсу. Иногда пользователей может в принципе раздражать необходимость зайти в ЛК или предъявлять второй фактор – все-таки тут больше действий, чем при простом подключении, скажем, по SSH или RDP. Но бывает и так, что у вендора не пробрасываются «креды» и состояние аутентификации: зашел пользователь в личный кабинет, предъявил «креды», выбрал ресурс для доступа – и на каком-нибудь шлюзе/прокси/jump ему опять надо предъявлять те же «креды». В числе моих «любимых» – накладываемая на пользователя обязанность указать причину, по какой нужен доступ. Как правило, в реальной практике туда пишут нечто вроде: «Работа». Как эта информация используется потом – остается только гадать;
• Из-за плохой масштабируемости либо незрелости PAM возникают проблемы с производительностью: лаги, фризы, непредсказуемо «рвутся» сессии.

В результате у пользователя возникает ощущение, что он борется с PAM-системой, «выбивая» у нее право сделать свою работу. С другой стороны, абсолютно бесплатной (с точки зрения удобства работы пользователей) ИБ не бывает. Поэтому некоторые вещи, из тех, что я указал выше, «не лечатся» без серьезных компромиссов с совестью ИБ либо «не лечатся» вовсе. Разумным разменом мне представляется:

• Поддержка стандартных клиентов для взаимодействия с защищаемыми системами (для основных протоколов – без промежуточных терминальных серверов);
• SSO, в т. ч. в условиях применения многофакторной аутентификации;
• Развитые возможности по масштабированию системы (куда без этого!);
• Наличие в Личном кабинете привилегированного пользователя возможности организовать удобное рабочее пространство: избранное, последние подключения и др.;
• Конечно, отсутствие навязываемых пользователю лишних, искусственных шагов при установке привилегированных сессий.

Хорошим тоном, по моему мнению, будет наличие на шлюзах/прокси пользовательских интерфейсов с селекторами ресурсов для подключения и возможностью здесь же, при необходимости, пройти аутентификацию – свойство системы, позволяющее «админам» подолгу не заглядывать в Личный кабинет PAM.

Читайте продолжение на habr.com

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.

Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, Unified SSO, Web SSO, Device Control.

Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.

Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.