Пароли от доменных учеток, ключи к серверам, доступы к СУБД — это святая святых и одновременно источник постоянной головной боли. Забыл сменить пароль после ухода сотрудника? Нужно дать доступ подрядчику на час, а он просит навсегда? DevOps запрашивает секрет для CI/CD и приходится вручную вставлять его в переменные? Специалист по безопасности на этих словах уже подумал про PAM как решение проблемы. Если вы IT-инженер и тоже подумали про PAM, но как источник проблемы — вы не одиноки! Эта многоликая система может быть и спасением, и кошмаром. В новой статье покажем, как внимание к пользовательскому опыту позволяет PAM брать на себя рутину и усиливать команду IT.

Системы контроля привилегированного доступа (privileged access management, PAM) предназначены для защиты критически важных ресурсов. Для безопасников PAM — способ сократить поверхность атаки и навести порядок в доступах. Но, если решение внедряют только как меру контроля, для IT оно становится помехой — системой, через которую теперь нужно делать то, что раньше делали напрямую и быстрее.

За последние годы PAM-решения сильно изменились: все чаще их используют не только для мониторинга, но и для автоматизации и сокращения рутины.

Пройдемся по ключевым сценариям, которые облегчают жизнь сисадминам, DevOps-инженерам и специалистам по безопасности. Как эти сценарии могут быть реализованы технически, рассматриваем на примере нашей системы BI.ZONE PAM.

Автоматизация

Вместо того чтобы вручную копаться в Active Directory (AD) и на серверах, администратор может настроить процессы один раз и забыть о них.

Единый вход и импорт ресурсов

PAM-система может интегрироваться со службой каталогов (AD / FreeIPA / ALD Pro и т. д.). Эта интеграция позволяет выстроить автоматизированный цикл управления доступом. Администратору не нужно вести параллельный список пользователей и вручную назначать им права, а самим пользователям — ждать, пока это произойдет. Достаточно связать привилегии в PAM с доменными группами. После этого система работает как оркестр: сотрудника добавляют в доменную группу, и PAM мгновенно предоставляет ему все связанные с этой группой доступы. При импорте ресурсов система автоматически определяет тип подключения, что позволяет сразу применять соответствующие политики доступа. 

Группы в интерфейсе PAM-системы
Группы в интерфейсе PAM-системы

Централизованное хранилище и ротация секретов

Такая функциональность — золотой стандарт PAM.

Хранение

Все пароли и ключи от привилегированных учетных записей хранятся в зашифрованном виде в защищенном хранилище. Больше нет файлов passwords.txt на рабочем столе.

Ротация

Ключевое преимущество PAM-системы — автоматическое управление жизненным циклом паролей. В правильной реализации ротация происходит прозрачно для пользователя в момент запроса доступа.

  1. Администратор подключает хранилище секретов к AD через LDAPS и создает роль, привязанную к конкретной привилегированной учетной записи.

  2. Пользователь запрашивает доступ к ресурсу. PAM обращается в хранилище за паролем.

  3. Хранилище секретов проверяет срок действия текущего пароля:

    • Если пароль актуален — просто подставляет его.

    • Если истек период ротации — автоматически генерирует новый пароль, соответствующий парольной политике, обновляет его в AD через защищенный канал и только затем подставляет в сессию.

  4. Пароль сохраняется в зашифрованном хранилище. Старая версия пароля остается в истории для аудита.

Такой подход решает сразу несколько задач:

  • Соблюдаются требования политик безопасности за счет регулярной ротации.

  • Синхронизация с LDAP исключает расхождения между системами.

  • Сисадмин освобождается от рутины по ручной смене и согласованию паролей.

  • Пользователь не ждет смену пароля, если он еще действителен. Ротация происходит в фоне, только когда нужно.

  • Злоумышленник не получает прямого доступа к целевому ресурсу даже при компрометации учетной записи пользователя.

Самообслуживание

PAM — это не только про то, чтобы все централизовать и всех контролировать. Это про то, чтобы дать сотрудникам возможность решать задачи быстро.

Заявки через встроенный механизм («вторая рука»)

Пользователь PAM может создать заявку — будь то запрос на создание привилегированной учетной записи (ПУЗ) или изменение конфигурации системы. Эта заявка автоматически направляется ответственному сотруднику, который ее обрабатывает: согласовывает или отклоняет. Так все изменения происходят централизованно, а взаимодействие между командами становится прозрачным.

Заявка в PAM-системе
За��вка в PAM-системе

Видеодокументирование и мониторинг

Представьте, что новичку нужно показать сложную процедуру настройки сервера. Вместо долгих объяснений «через плечо» вы просто даете ему запись вашей сессии — готовый пошаговый мануал в формате видео. 

PAM-система позволяет привилегированному пользователю (например, наставнику) просматривать и анализировать записи сессий своих сотрудников. Это не просто инструмент контроля, а библиотека лучших практик. Помимо обучения, запись сессий — ключевой инструмент для расследования инцидентов безопасности. Решение может записывать не только видео, но и все вводимые команды во время сессии в структурированном виде (keystroke).

Видео сессии
Видео сессии

Live-просмотр сессий

С помощью PAM можно подключаться к активным RDP- и SSH-сессиям, чтобы в реальном времени наблюдать за действиями пользователей. Это особенно полезно при выполнении критических операций в производственных системах. Например, когда один инженер выполняет важные изменения, а второй специалист или руководитель в онлайн-режиме наблюдает за процессом. Такой подход обеспечивает дополнительный контроль и снижает риск человеческой ошибки. А еще позволяет мгновенно реагировать на опасные действия и разрывать сессии.

Подключение к сессии
Подключение к сессии

Подключение к ресурсам

PAM-система может выступать единой точкой входа для управления инфраструктурой. Она обеспечивает подключение по любым протоколам через безопасный тоннель (RDP, SSH, веб-приложение, базы данных). Хорошее решение не требует нескольких инсталляций для масштабирования и сохраняет производительность, даже если количество управляемых систем постоянно растет. 

Пользователю разрешено работать только с теми ресурсами, на которые ему выданы соответствующие права и доступы. Подключение происходит с помощью RDP-ярлыка либо строки для подключения по SSH.

При этом не нужно знать пароль — система его подставит сама.

Список доступных подключений
Список доступных подключений

Работа с RDP и RemoteApp

Особого внимания заслуживает работа с терминальными фермами через механизм RemoteApp. PAM-система может работать не только с целыми рабочими столами, но и с отдельными приложениями, опубликованными на терминальной ферме Windows или Linux. По аналогии с RDP-подключением пользователь загружает готовый ярлык RDP через веб-портал PAM.

Доступны два вида ярлыков:

  • Постоянный ярлык — для регулярной работы. Пользователь сохраняет его на рабочем столе и использует многократно, но при каждом подключении вводит свой пароль и OTP-код.

  • Одноразовый ярлык с MFA-кешированием — для разовых подключений. Генерируется после прохождения MFA на портале и действует на одну сессию. При запуске не требует повторного ввода пароля и OTP.

Окно загрузки RDP-ярлыка
Окно загрузки RDP-ярлыка

При запуске подключения сессия устанавливается напрямую с целевым приложением — будь то клиент для работы с базами данных, браузер для доступа к внутренним сервисам или любое другое корпоративное ПО. Пользователь работает в привычном интерфейсе приложения, даже не замечая, что оно выполняется на удаленном сервере. Все пароли и учетные данные подставляет система, а сессия полностью записывается для аудита.

Запись сессии подключения к базе данных через RemoteApp
Запись сессии подключения к базе данных через RemoteApp

Гибкие сценарии SSH-доступа

PAM-система обеспечивает безопасный SSH-доступ через единую точку входа, предлагая два основных сценария работы, которые подходят для разных задач. Оба используют механизмы хранилища секретов: оно либо подставляет пароль при подключении, либо генерирует короткоживущие сертификаты для подключения от воркера до целевого сервера. Это исключает риск утечки постоянных паролей или ключей.

Сценарий 1. Стандартное SSH-подключение

Когда нужно быстро зайти на один-два сервера, пользователь работает через знакомый терминал. На веб-портале он копирует готовую строку подключения.

SSH-строка для подключения
SSH-строка для подключения

При вставке в терминал все происходит автоматически: SSH-воркер аутентифицирует пользователя по его учетным данным и сам подставляет секрет (пароль или сертификат) для входа на целевой сервер. Пользователь просто использует выданную строку вместо прямого ssh user@server, получая доступ без лишних телодвижений, а все его действия логируются.

Сценарий 2. MFA-подключение по персональным сертификатам

Этот сценарий разработан для обхода множества хостов — например, при инцидентах или массовых обновлениях. Вводить пароль или OTP на каждый сервер долго, поэтому процесс оптимизирован за счет кеширования факторов аутентификации.

Создание персонального сертификата
Создание персонального сертификата

Как это работает:

  1. Пользователь проходит MFA на веб-портале PAM. Система устанавливает временную доверенную сессию.

  2. PAM-система генерирует временный персональный сертификат, привязанный к IP-адресу пользователя. Пользователь скачивает архив.

  3. При подключении он указывает в команде путь к сертификату (флаг -i). Целевые серверы доверяют только сертификатам, подписанным центром сертификации PAM.

  4. Благодаря кешированию MFA на портале повторный ввод факторов аутентификации не требуется — сертификат позволяет заходить на любые разрешенные серверы в рамках сессии.

  5. Каждое создание сертификата и подключение логируются.

Итог:

  • Прямой сетевой доступ к серверам закрыт, все подключения идут через SSH-воркер.

  • Кеширование MFA на портале избавляет пользователя от повторного ввода факторов аутентификации при обходе множества хостов.

  • Привязка сертификата к IP-адресу исключает риск перехвата или передачи артефакта доступа.

  • В первом сценарии пользователь не видит секреты, во втором — получает временный сертификат. В обоих случаях система обеспечивает полный контроль и аудит.

Фильтрация SSH-команд

Фильтрация работает на уровне SSH-воркера PAM-системы. Когда пользователь отправляет команду через SSH-сессию, она перехватывается и анализируется перед выполнением на целевом сервере. Система включает в себя преднастроенные списки запрещенных команд (управление пользователями, сетевые операции, файловая система, системные службы). Администраторы могут создавать собственные правила фильтрации при помощи регулярных выражений.

Сценарии применения могут быть следующими: 

  • Для стажеров — строгий набор разрешенных команд.

  • Для штатных инженеров — запрет опасных операций.

  • Для подрядчиков — ограничение только необходимыми для задачи командами.

Организация рабочего пространства

Для удобства в PAM предусмотрена группировка доступных ресурсов. Пользователь может сам распределить системы по папкам так, как ему удобно.

Группировка ресурсов
Группировка ресурсов

Редактирование свойств RDP-подключений позволяет точечно оптимизировать подключение для работы через PAM-систему. Например, можно отключить ресурсоемкие функции вроде перетаскивания окон и видеосглаживания, чтобы сделать сессию более отзывчивой при работе через прокси.

Редактирование свойств RDP-подключения
Редактирование свойств RDP-подключения

DevOps

PAM-система не антагонист DevOps, а союзник. Она помогает встроить безопасность в процессы разработки и эксплуатации.

  • API-first. PAM открывает полный контроль через REST API. Создание пользователей, выдача прав, управление сессиями, ротация секретов — любая операция выполняется вызовом REST API. PAM-система легко встраивается в ваши пайплайны, Terraform-скрипты и инструменты автоматизации, становясь частью инфраструктуры.

  • Интеграция с Ansible. Можно запускать плейбуки через PAM, а система автоматически подставит нужные учетные данные для доступа к целевым хостам.

Схема интеграции с Ansible в BI.ZONE PAM
Схема интеграции с Ansible в BI.ZONE PAM

  • Интеграция с SSH Config. PAM-система предоставляет готовые строки подключения (SSH). Эти строки можно адаптировать для использования в файле ~/.ssh/config, создав постоянные алиасы для часто используемых серверов.

Отказоустойчивость и аварийный доступ

Любая система управления привилегированным доступом должна быть готова к сбоям и предлагать несколько уровней защиты.

Распределенная архитектура

PAM-cистему можно развернуть в кластере (включая Kubernetes и OpenShift) в конфигурациях Active-Active или Active-Passive. Это гарантирует работоспособность даже при выходе из строя отдельных узлов.

При такой архитектуре пользователи не замечают технических работ: rolling-обновления выполняются на узлах последовательно, активные сессии не рвутся, а новые подключения автоматически направляются на доступные ноды. Оркестратор сам следит за состоянием компонентов и перезапускает упавшие без участия администратора.

Балансировка нагрузки

Для распределенных инсталляций с несколькими компонентами подключений в PAM-системе должна быть предусмотрена гибкая настройка балансировки. В таких сценариях балансировщик принимает входящие подключения от пользователей и распределяет их между доступными нодами. Это не только обеспечивает отказоустойчивость и равномерную загрузку системы, но и позволяет легко масштабировать инфраструктуру.

Например, наше решение позволяет горизонтально добавлять неограниченное количество воркеров. Это решает несколько критически важных задач:

  • Обеспечение бесперебойной работы. При выходе из строя одного воркера балансировщик мгновенно перенаправляет трафик на остальные работоспособные узлы. Пользователи могут даже не заметить сбоя.

  • Масштабирование под любые нагрузки. Если появляются новые пользователи или филиалы, нужно просто добавить новые воркеры в нужном месте — балансировщик автоматически направит на них нагрузку. Это позволяет системе обслуживать тысячи одновременных подключений.

  • Оптимизация задержек для распределенной команды. Вы можете размещать воркеры в географической близости к пользователям. Балансировщик будет направлять сотрудника филиала на ближайший к нему воркер, минимизируя задержки и улучшая опыт работы.

Добавление балансировщика
Добавление балансировщика

Экстренный доступ к хранилищу секретов

В PAM может быть предусмотрен аварийный сценарий доступа к секретам. Например, через распечатывание резервной копии базы данных хранилища. Это исключительная мера, которая применяется только в критической ситуации, когда сама PAM-система и основное хранилище недоступны. В этом сценарии на самом старте разделяют корневой токен на нескольких сотрудников. В аварийной ситуации корневой токен собирают из фрагментов, и с его помощью администратор PAM вручную распечатывает резервную копию базы данных хранилища, восстанавливая доступ к секретам. Такой подход гарантирует, что даже в случае полного отказа основной системы критические данные можно вернуть в рабочее состояние, обеспечивая непрерывность бизнес-процессов.

Вместо заключения

PAM-система не построит процессы, не заменит DLP, не поднимет упавший сервер и не наладит испорченные отношения между командами IT и безопасности. Но она умеет обеспечивать защиту, не мешая администрировать инфраструктуру, а при правильном внедрении — еще и упрощать рутинные IT-задачи. Некоторые такие возможности нашей системы мы демонстрировали в коротких видео вместе с самими IT-специалистами.