Целевые кибератаки сегодня представляют одну из наиболее сложных и длительных угроз для корпоративной ИТ-инфраструктуры. Практически во всех таких инцидентах одна из ключевых целей злоумышленников — это получение или эскалация привилегированного доступа. Злоумышленники действуют не силой, а путем эксплуатации привилегий: выявляют неактивные или плохо защищенные учетные записи, проникают через уязвимые DevOps-процессы, перемещаются по сети через незащищенные соединения и незаметно присваивают права доступа.
Как вы уже, наверное, знаете, Innostage не только интегратор, но также мы разрабатываем собственные продукты.
И в какой-то момент мы с командой задали себе вопрос:
А что, если построить защиту так, чтобы именно привилегии были центром защиты?
А может ли наша система управления привилегированным доступом Innostage Cardinal PAM быть не просто системой, а основой архитектуры?
И пришли к архитектурному подходу, который условно называем "купольной моделью защиты". В купольной защите важна не только автоматизация, но и понимание контекста. Почему админ подключился к серверу? Откуда? Какая у него история доступов? Есть ли заявка на доступ в системе? Совпадают ли действия с типичным паттерном?
Это больше похоже на наблюдение врача. Важно не только то, что случилось, но и то, насколько внезапно и неожиданно это случилось .
В центре модели — Privileged Access Management (PAM), система управления привилегированным доступом — как структурообразующий элемент. И в этой статье мы расскажем, как реализовать модель доступов вокруг PAM на практике: от архитектурных принципов до конкретных интеграций с SIEM, WAF и песочницами.
Купольная модель защиты, базовые принципы
Традиционная защита строится «по периметру»: снаружи firewall, а внутри те элементы, которым «можно доверять».
Купольная модель предполагает несколько уровней обороны, где доступ к критическим ресурсам проходит через усиливающиеся слои контроля.
Такой подход предполагает, что даже если злоумышленник преодолеет внешние уровни, его действия на внутреннем уровне будут ограничены, контролируемы и зафиксированы.
Структура купола:
Периферия: WAF, VPN, фильтрация, MFA
Средний уровень: мониторинг действий, сетевые политики, поведенческий анализ, сегментация, SIEM
В центре: PAM-система, контролирующая все действия с привилегиями (контроль привилегий, сессий, учётных записей)
Если злоумышленник добирается до центральной зоны — он попадет в сердце вашей организации. А наша задача — не дать ему это сделать… и не дать делать это незаметно и бесконтрольно.
И в этом случае PAM для нас — это не "дополнительная система", а самоуправляемый элемент, контролирующий каждый шаг к критическим ресурсам.
PAM как ядро нашей модели
В рамках купольной модели мы реализовали PAM как единый шлюз доступа к привилегированным ресурсам.
Just‑in‑Time доступ (JIT). Отключены постоянные доступы к привилегированным системам. Привилегии теперь не постоянные, а запрашиваемые. Все постоянные привилегии к наиболее критичным системам заменяются на временные JIT‑доступы.
Пользователи инициируют запрос через PAM, где определяется цель доступа, время действия и условия. PAM авторизует и открывается временное окно. Сессии запускаются через прокси и управляются автоматически.
Без прямых SSH или RDP, и «вечно живущих» паролей. Если попытка доступа не прошла через PAM — она вообще считается нелегитимной.
Мониторинг и запись сессий. Каждая привилегированная сессия записывается (видео и команды), анализируется в реальном времени (например, в SIEM) и может быть остановлена вручную или автоматизированно. Подозрительное действие теперь является триггером.
Управление секретами. Все пароли, ключи и токены переведены в PAM. Не передаются пользователям напрямую, используются только по запросу, автоматически ротируются.
Не усложняет работу пользователей. Сохраняет возможность работать с привычными инструментами администрирования (клиенты RDP, SSH, СУБД и др.), и предлагает новые удобные возможности, например, веб‑терминал доступа, который инкапсулирует стандартные протоколы администрирования в формате HTML5.
Маршрутизация доступа. PAM становится обязательным маршрутизатором доступа:
Все обращения к проду — через PAM;
строго структурированная матрица доступа;
Kubernetes, базы данных, ОС, АСО и т.д. — только через авторизованные сессии;
Подключение через VPN — разрешается только в рамках активного доступа (JIT).
PAM сам по себе — отличный инструмент. Но по-настоящему он раскрывается, если его интегрировать его с другими системами защиты и сделать частью общего ландшафта безопасности:
Анализирует (через SIEM, Sanbox, антиврусы, DLP);
Защищается (через WAF, MFA);
Реагирует (самостоятельно и с помощью сетевых средств защиты).
Ниже — примеры интеграции.
SIEM
Передача логов и метаданных через Syslog;
Настройка правил корреляции (например, доступ вне рабочих часов + подозрительное поведение = инцидент) корреляционный анализ показывает, кто из пользователей стал «отклоняться от профиля».
Реакции на основе контекста (например, автоматическое отключение JIT‑сессии при совпадении событий в SIEM и PAM).
WAF
PAM передает информацию об уровне привилегий пользователя и WAF знает, что перед ним не просто «пользователь», а админ с повышенными правами
WAF фильтрует или блокирует доступ к интерфейсам, если сессия ведёт себя подозрительно
Это особенно важно при использовании UI‑интерфейсов администрирования
Песочница (Sandbox)
PAM отправляет передаваемые в рамках привилегированной сессии файлы в песочницу;
Пока анализ не завершён — файл не загружается.
Используется как дополнительная защита от ручного или случайного запуска вредоносного ПО внутри критической зоны.
Выводы
Мы рассматриваем PAM не как дополнительный модуль, а как инфраструктурный элемент, вокруг которого можно строить современную архитектуру Zero Trust и эффективно защищаться от атак:
Полностью исключить постоянные привилегии;
Централизовать контроль всех высокорисковых действий;
Получить прозрачность и управляемость в самых чувствительных зонах инфраструктуры;
Повысить скорость реакции SOC за счёт интеграций и контекста.
Что прочесть и посмотреть на тему PAM?
Вебинар «Управление привилегированным доступом. Как не попасть в новостной выпуск?»
Статья «Что такое PAM — система управления привилегированным доступом»
А здесь можно узнать подробнее об Innostage PAM и оставить заявку на персональную демонстрацию
