PAM — управление привилегированным доступом
PAM (Privileged Access Management — управление привилегированным доступом) — это класс решений и набор практик, которые контролируют, как администраторы и сервисные учётные записи получают повышенные права к серверам, базам данных, сетевому оборудованию и панелям управления. Если обычная аутентификация отвечает на вопрос «кто вошёл», то PAM отвечает на вопросы «кому вообще можно иметь админ-права, когда, к чему именно и что он там делал».
В чём проблема привилегированных учёток
Учётная запись администратора — самая опасная вещь в инфраструктуре. С её помощью можно остановить сервис, удалить данные, отключить логирование, выгрузить всю базу клиентов. И именно эти учётки чаще всего управляются хуже всего.
Типичная картина в компании без PAM: пароль от root-доступа к серверу знают три человека и он не менялся два года; пароль от admin-панели лежит в общей таблице; уволившийся системный администратор технически всё ещё может зайти, потому что общий пароль никто не сменил; никто не может сказать, кто именно перезагрузил сервер в три часа ночи, потому что все заходят под одной и той же учёткой admin. Каждый из этих пунктов — готовый инцидент.
PAM закрывает эту зону. Он превращает привилегированный доступ из «всем всё известно навсегда» в «доступ выдаётся конкретному человеку, на конкретную задачу, на ограниченное время, под запись и под аудит».
Что делает PAM
Хранилище секретов (password vault). Пароли, ключи SSH и токены от привилегированных учёток хранятся не в головах и не в таблицах, а в зашифрованном хранилище. Администратор не знает реального пароля от сервера — он запрашивает доступ, а PAM подставляет учётные данные за него. Это значит, что украсть пароль «через плечо» или из заметок невозможно.
Доступ по запросу (just-in-time). Повышенные права выдаются не постоянно, а на время выполнения конкретной задачи. Нужно обновить базу — администратор запрашивает доступ, получает его на два часа, по истечении срока права автоматически отзываются. Постоянных «вечных» админов становится минимум.
Запись сессий. PAM пишет, что именно делал администратор в привилегированной сессии — вплоть до видеозаписи экрана или журнала введённых команд. При инциденте есть точный ответ, кто и что менял, а сам факт записи дисциплинирует.
Ротация паролей. Пароли привилегированных учёток автоматически меняются по расписанию или после каждого использования. Даже если пароль как-то утёк, он быстро становится недействительным.
Аудит и разграничение. Каждое обращение к привилегированному доступу логируется и привязывается к конкретному человеку, даже если технически вход идёт под общей системной учёткой. Принцип наименьших привилегий — каждому ровно тот доступ, который нужен для работы, и не больше.
PAM, IAM и MFA — как они соотносятся
Эти термины часто путают. IAM (Identity and Access Management — управление идентификацией и доступом) занимается всеми пользователями и их обычными правами. PAM — это специализированная надстройка именно для привилегированных, высокорисковых учёток, к которым требования жёстче. Многофакторная аутентификация (MFA) — это механизм подтверждения входа, который PAM использует как обязательное условие для получения привилегированного доступа: запрос админ-прав без второго фактора попросту не проходит.
На практике это выстраивается слоями: единый вход и базовая аутентификация для всех сотрудников через систему вроде Keycloak (единый вход, SSO), поверх — MFA, а для административного доступа — отдельный контур PAM с записью сессий и доступом по запросу. Всё это укладывается в общую модель Zero Trust (нулевое доверие), где ни один доступ не считается доверенным по умолчанию.
Когда PAM нужен бизнесу
- В компании больше одного администратора и/или есть внешние подрядчики с доступом к инфраструктуре
- Есть критичные системы, простой или компрометация которых дорого обходится (1С, базы клиентов, биллинг, серверы)
- Требуется выполнять требования по защите информации и доказывать аудиторам, кто и что делал в системах
- Бывали ситуации, когда после увольнения сотрудника приходилось срочно менять кучу паролей
- Нужно дать подрядчику доступ к серверу, но под контролем и с возможностью отозвать в любой момент
Для совсем небольшой инфраструктуры с одним администратором полноценный PAM-комплекс может быть избыточен — там достаточно хранилища секретов и MFA. Но как только администраторов становится несколько или появляются внешние исполнители, отсутствие PAM становится прямым риском.
Что включает наша услуга
- Аудит текущего состояния привилегированных доступов: кто, к чему, под какими учётками, с какими паролями
- Проектирование модели доступа по принципу наименьших привилегий
- Внедрение хранилища секретов и ротации паролей привилегированных учёток
- Настройка доступа по запросу (just-in-time) и записи административных сессий
- Интеграция с MFA и системой единого входа
- Сопровождение: добавление/отзыв доступов, контроль подрядчиков, разбор инцидентов по записям сессий
Связанные термины
- MFA / двухфакторная аутентификация (2FA) — второй фактор как обязательное условие выдачи привилегированного доступа
- Keycloak и SSO — единый вход, на который опирается базовая аутентификация
- Zero Trust — модель «не доверяй, проверяй» — модель нулевого доверия, частью которой является PAM
Получить расчёт
Хотите навести порядок в административных доступах? Начните с родительского материала — парольная политика и внедрение MFA — или сразу напишите нам: проведём аудит привилегированных учёток и предложим план.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП