Почему федеральным агентствам необходимо корпоративное управление паролями, несмотря на аутентификацию с помощью смарт-карт

опубликованный , дата публикации: 30 января, 2025

Как бывший федеральный директор по информационной безопасности, я наблюдал постоянное и опасное заблуждение в государственных учреждениях: убеждение, что аутентификация с помощью смарт-карт устраняет необходимость в корпоративных паролях и решениях для управления привилегированным доступом (PAM). Это предположение создает критические уязвимости безопасности, которые заслуживают более тщательного изучения.

Реальность за пределами первичной аутентификации

Хотя учетные данные Personal Identity Verification (PIV) и Common Access Card (CAC) обеспечивают надежную аутентификацию для основных учетных записей пользователей, они решают лишь небольшую часть проблем аутентификации, с которыми ежедневно сталкиваются федеральные агентства. Реальность федеральной ИТ-инфраструктуры гораздо сложнее: она включает множество систем и точек доступа, которые не поддерживают аутентификацию с помощью смарт-карт.

Рассмотрите обширный ландшафт устаревших приложений, которые остаются критически важными для работы агентства. Эти системы, часто разработанные до появления современных стандартов аутентификации, продолжают полагаться на традиционный доступ с использованием паролей.

Сервисные аккаунты, которые обеспечивают выполнение важных фоновых процессов и автоматизированных задач, также не подпадают под действие аутентификации с помощью смарт-карт.

Совместные административные учетные записи, хотя и не идеальны с точки зрения безопасности, остаются необходимым злом во многих учреждениях и требуют тщательного управления и надзора.

Современные корпоративные решения для управления паролями обеспечивают защиту военного уровня с помощью 256-битного шифрования AES и эллиптической криптографии (ECC). Эти решения работают на принципах архитектуры нулевого разглашения, что означает, что даже поставщик решения не имеет доступа к пользовательским данным или ключам дешифрования. Всё шифрование и дешифрование происходит на устройстве пользователя, что гарантирует, что конфиденциальные федеральные данные остаются защищенными в любое время.

Проблема внешних сервисов

Особенно сложной задачей для федеральных агентств является управление доступом к внешним веб-сервисам, которые не поддерживают федеративное управление идентификацией или аутентификацию с помощью смарт-карт. Многие облачные сервисы, сторонние инструменты и отраслевые платформы, используемые федеральными служащими, по-прежнему полагаются на традиционную аутентификацию с использованием имени пользователя и пароля.

Эти услуги, хотя часто и необходимы для успешного выполнения миссии, полностью находятся вне основной инфраструктуры аутентификации агентства. Маркетинговым командам необходим доступ к платформам управления социальными сетями, исследовательским группам требуются подписки на научные базы данных, а специалисты по закупкам работают с порталами поставщиков — все они, как правило, требуют свои собственные отдельные системы аутентификации.

Это увеличение количества учетных данных внешних служб создает значительный пробел в видимости для команд безопасности. Без централизованного управления у команд безопасности нет возможности отслеживать, к каким внешним сервисам обращаются сотрудники, как хранятся и передаются учетные данные, и соблюдаются ли основные правила безопасности, такие как регулярная смена паролей.

Теневое ИТ вызывает особую озабоченность, так как команды могут внедрять новые сервисы без надлежащей проверки безопасности, создавая неизвестные риски для организации. Когда сотрудники покидают агентство, идентификация и отключение их учетных записей внешних сервисов становится практически невыполнимой задачей, что может привести к тому, что опасные точки доступа останутся открытыми на неопределенный срок.

Решения для управления паролями на предприятиях решают эти проблемы с видимостью, предоставляя централизованную систему учета всех учетных данных внешних служб. Команды безопасности получают немедленное представление о том, к каким сервисам осуществляется доступ, кем и когда. Эти системы могут обеспечивать выполнение требований к сложности паролей, автоматическим графикам ротации и надлежащему контролю доступа, даже для сервисов, которые изначально не поддерживают такие функции безопасности.

Когда сотрудники покидают компанию, их доступ к внешним сервисам можно быстро выявить и отозвать. Возможность настроить многофакторную аутентификацию через TOTP в системе управления паролями предприятия гарантирует, что бывшие сотрудники не сохранят доступ к правительственным учетным записям после увольнения. Подозрительные схемы доступа или несанкционированный обмен учетными данными могут быть выявлены и оперативно устранены. Возможно, самое важное заключается в том, что решение предоставляет полные журналы аудита всех внешних обращений к сервисам, помогая агентствам поддерживать соответствие требованиям и выявлять потенциальные инциденты безопасности до их эскалации.

Обеспечение безопасности современной федеральной инфраструктуры

Современная федеральная ИТ-среда становится все более сложной с добавлением инструментов и конвейеров DevOps, учетных записей поставщиков облачных услуг, учетных данных баз данных и SSH-ключей. Каждый из этих компонентов представляет собой критически важную точку доступа, которую необходимо защитить с помощью традиционных учетных данных.

Современные решения PAM решают эту проблему, внедряя шифрование на уровне записей, при котором каждый фрагмент данных шифруется по отдельности с использованием AES-256 GCM, а также добавляется дополнительный уровень защиты для данных в пути с использованием протокола TLS 1.3.

Понимание сферы привилегированного доступа

Проблема привилегированного доступа в федеральных агентствах выходит далеко за пределы аутентификации отдельных пользователей:

Privileged access challenges for federal agencies	How a modern PAM solution addresses these challenges
Unmanaged privileged credentials create dangerous backdoors that are not protected by PIV/CAC authentication.	Remove/rotate shared credentials, enforce least privilege and ensure continuous monitoring to prevent unauthorized access and close backdoors that PIV/CAC alone can’t secure.
Emergency break-glass accounts must be maintained for critical system access during infrastructure failures.	Implement time-limited access controls that automatically revoke elevated privileges after a specified period, while maintaining detailed audit logs of who accessed these powerful accounts and what actions they performed.
System-to-system authentication, which enables automated processes and integrations, requires secure credential management that smart cards cannot provide.	Automatically generate and rotate complex passwords on a regular schedule, eliminating the security risks of hardcoded credentials in configuration files or scripts.

PAM также наводит порядок в хаосе общих административных учетных записей, внедряя процедуры выдачи, при которых привилегированные учетные данные временно предоставляются авторизованным пользователям и автоматически изменяются после использования.

Это гарантирует, что даже если нескольким администраторам требуется доступ к одной и той же учетной записи, каждую сессию можно отследить до конкретного человека.

Кроме того, решения PAM могут записывать привилегированные сеансы, что позволяет командам безопасности просматривать административные действия для аудита или расследования инцидентов безопасности.

Когда речь идет о доступе сторонних поставщиков, решения PAM предоставляют детализированные средства управления, которые ограничивают доступ по времени, местоположению и конкретным системным ресурсам. Поставщикам может быть предоставлен привилегированный доступ по принципу «точно в срок», который автоматически истекает, исключая риск забытых активных учетных записей.

Система также может обеспечивать микросегментацию сети, гарантируя, что поставщики могут получить доступ только к специально разрешённым системам, а не иметь широкий доступ к сети.

Для временных административных повышений современные решения PAM интегрируются с системами документооборота, чтобы автоматизировать процесс утверждения. Когда пользователю нужны повышенные привилегии, он может подать запрос, который направляется к соответствующим утверждающим лицам в соответствии с политиками безопасности агентства. После одобрения повышение прав автоматически предоставляется на указанный срок, а затем отзывается, при этом ведется полный журнал аудита запроса, одобрения и использования.

Вопросы инфраструктуры и соблюдения нормативных требований

Современные решения PAM разработаны для соответствия строгим требованиям соответствия федеральных агентств. Ведущие решения поддерживают соответствие важнейшим стандартам, включая ISO 27001, GDPR, CCPA и HIPAA, а также получают авторизацию FedRAMP и StateRAMP. Несколько географических центров обработки данных обеспечивают возможность агентствам выбирать предпочтительный регион для размещения данных, что решает вопросы суверенитета данных.

Для агентств, стремящихся поддерживать соответствие требованиям безопасности NIST 800-53, решения PAM предоставляют важные возможности, которые непосредственно соответствуют множеству семейств контроля. В семействе Access Control (AC) PAM реализует разделение обязанностей (AC-5), гарантируя, что ни один администратор не имеет неограниченного доступа к критически важным системам. Он поддерживает минимальные привилегии (AC-6) через детализированные средства управления доступом и временные процессы повышения привилегий. Система обеспечивает соблюдение ограничений на удаленный доступ (AC-17) и контролирует все привилегированные команды (AC-17(1)).

В рамках семейства идентификации и аутентификации (IA) решения PAM выполняют требования по управлению идентификаторами (IA-4), автоматизируя жизненный цикл привилегированных учетных записей. Они поддерживают управление аутентификаторами (IA-5) посредством автоматической смены паролей и управления криптографическими ключами. Способность системы обеспечивать выполнение требований, определенных организацией, к сложности паролей и частоте их изменения напрямую соответствует спецификациям IA-5(1).

Для семейства аудита и подотчетности (AU) современные решения PAM ведут полные записи аудита (AU-2) всех попыток и действий, связанных с привилегированным доступом. Они предоставляют содержимое записей аудита (AU-3), включая временные метки, идентификаторы пользователей и компоненты системы, к которым был осуществлён доступ. Система поддерживает хранение записей аудита (AU-11) и предоставляет возможности для просмотра, анализа и составления отчетов по аудиту (AU-6), которые помогают командам безопасности выявлять подозрительные модели поведения.

В отношении поддержания права на эксплуатацию (ATO), решения PAM способствуют выполнению требований непрерывного мониторинга, предоставляя в режиме реального времени видимость привилегированных схем доступа и потенциальных нарушений безопасности. Подробные журналы аудита и отчеты о соответствии помогают агентствам демонстрировать постоянное соблюдение мер безопасности во время периодических оценок. Автоматизируя многие элементы управления безопасностью, которые в противном случае требовали бы ручного вмешательства, решения PAM снижают нагрузку на поддержание непрерывного ATO, одновременно укрепляя безопасность агентства.

Ключевые функции, поддерживающие непрерывный ATO, включают:

Оповещения в режиме реального времени о нарушениях политик или подозрительных шаблонах доступа
Автоматизированное соблюдение политик паролей и ограничений доступа
Постоянный мониторинг действий в привилегированных сеансах
Регулярные отчеты об оценке, демонстрирующие соответствие мерам безопасности
Интеграция с системами Security Information and Event Management (SIEM) для централизованного мониторинга безопасности
Автоматизированная документация по реализации контроля для планов безопасности системы

Кроме того, современные решения PAM предоставляют важные средства контроля для семейств управления конфигурацией (CM) и защиты систем и коммуникаций (SC). Они помогают поддерживать базовые конфигурации (CM-2) привилегированных учетных записей и обеспечивать безопасную связь между системами (SC-8) через зашифрованные каналы.

Принципы архитектуры нулевого доверия, реализованные в этих решениях, соответствуют последним федеральным директивам по кибербезопасности и рекомендациям NIST по архитектуре нулевого доверия.

Революция DevOps в федеральных агентствах

Постоянный переход федерального правительства к современным методам разработки привел к появлению новых требований безопасности, которые аутентификация с помощью смарт-карт не может удовлетворить. Безопасное управление секретами для конвейеров CI/CD стало необходимым, требуя динамической инъекции учетных данных и контроля доступа на основе API. Безопасность передачи данных этих решений гарантирует, что вся передача данных между клиентскими приложениями и облачным хранилищем зашифрована с использованием 256-битного и 128-битного TLS, а сертификаты подписаны более безопасным алгоритмом SHA2.

Проблемы облачной идентификации

По мере того как федеральные агентства внедряют многооблачные и гибридные облачные архитектуры, они сталкиваются с беспрецедентными проблемами управления идентификацией. Каждый поставщик облачных услуг (CSP) поддерживает собственную систему идентификации с уникальными моделями разрешений, методами аутентификации и средствами контроля доступа. AWS использует роли и политики управления идентификацией и доступом (IAM), Azure реализует контроль доступа на основе ролей (RBAC), а Google Cloud Platform имеет собственную систему управления идентификацией и доступом (IAM). Управление этими разрозненными системами идентификации создает значительные сложности, особенно при работе с временными учетными данными, служебными учетными записями и требованиями к межоблачному доступу.

Проблема становится еще более острой, если учитывать:

Динамические облачные ресурсы, которые создаются и удаляются автоматически
Эфемерные вычислительные экземпляры, которым требуется доступ «точно в срок»
Микросервисы, которым необходимо пройти аутентификацию в нескольких облачных сервисах
Конвейеры CI/CD, охватывающие несколько облачных сред
Бессерверные функции, которые требуют безопасного доступа к облачным ресурсам
Системы оркестрации контейнеров, которым необходимо управлять конфиденциальными данными

Критическая роль облачно-родного PAM

Облачное решение PAM необходимо для решения этих проблем, поскольку оно специально разработано для динамичных облачных сред. В отличие от традиционных решений для управления привилегированным доступом (PAM), которые были разработаны для статичной локальной инфраструктуры, облачные решения PAM понимают эфемерную природу облачных ресурсов и необходимость динамического управления доступом.

Эти решения предоставляют критически важные возможности, такие как:

Нативная интеграция с IAM-системами поставщика облачных услуг
Автоматическое обнаружение и подключение новых облачных ресурсов
Динамическое внедрение учетных данных для контейнеризованных приложений
Повышение привилегий по требованию для облачных ресурсов
Автоматическая ротация учетных данных аккаунта облачного сервиса
Унифицированные политики доступа в многооблачных средах

Для безопасных операций CI/CD облачные решения PAM предлагают надежное управление секретами через динамическую инъекцию учетных данных и контроль доступа на основе API. Безопасность передачи данных этих решений гарантирует, что вся передача данных между клиентскими приложениями и облачным хранилищем зашифрована с использованием 256-битного и 128-битного TLS, а сертификаты подписаны более безопасным алгоритмом SHA2.

Интеграция DevSecOps

Современные облачно-нативные решения PAM бесшовно интегрируются в рабочие процессы DevSecOps благодаря своей архитектуре API-first, что позволяет осуществлять полную автоматизацию и внедрение инфраструктуры как кода. Такой архитектурный подход позволяет командам безопасности поддерживать единообразные меры контроля, поддерживая при этом быстрый темп современной разработки. Эти решения обеспечивают нативную интеграцию с популярными платформами CI/CD и оркестраторами контейнеров, гарантируя, что средства управления безопасностью встраиваются непосредственно в конвейер разработки, а не добавляются в качестве запоздалой мысли.

Одна из наиболее критически важных возможностей, предлагаемых этими решениями, — автоматическая ротация секретов, которая может выполняться без простоя приложения. Это обеспечивает регулярное обновление учетных данных в соответствии с политиками безопасности, поддерживая непрерывность операций. Система поддерживает централизованный аудит журналов во всех облачных средах, предоставляя командам безопасности полное представление о том, как учетные данные и секреты получают доступ и используются на протяжении всего жизненного цикла разработки.

Возможности «политики как кода» позволяют командам безопасности определять и применять согласованные политики безопасности во всей инфраструктуре. Эти политики могут быть подвержены контролю версий, тестированию и развертыванию с использованием тех же процессов, что и код приложения, что гарантирует, что требования безопасности рассматриваются как неотъемлемая часть инфраструктуры, а не как отдельная проблема. Интеграция с облачно-нативными инструментами безопасности и системами мониторинга создает целостную экосистему безопасности, которая может выявлять и реагировать на потенциальные угрозы в режиме реального времени.

Решение специфических требований безопасности облачных систем

Облачные решения PAM помогают агентствам удовлетворять уникальные требования безопасности облачных сред:

Внедрение детализированного контроля доступа к облачным ресурсам
Предоставление временных учетных данных «точно в срок» для облачных сервисов
Управление учетными данными служебного принципала и управляемой идентичности
Обеспечение безопасности аутентификации между облачными средами и в гибридных облачных средах
Автоматизация жизненного цикла учетных записей облачных сервисов
Поддержание всесторонних аудиторских следов в облачных средах

Самое главное, эти решения позволяют федеральным агентствам поддерживать согласованную безопасность во всей своей инфраструктуре, от локальных систем до множества облачных провайдеров. Они обеспечивают централизованный контроль и видимость, необходимые для предотвращения повышения привилегий и перемещения по горизонтали в облачных средах, поддерживая при этом гибкость и автоматизацию, которые необходимы современным практикам DevOps.

Аварийное восстановление и обеспечение непрерывности бизнеса

Критический аспект, который часто упускают из виду при планировании федеральной безопасности, — это необходимость в надежных возможностях резервного копирования и восстановления. Современные решения PAM ведут полную историю изменений каждой записи, что позволяет агентствам восстанавливать и возвращаться к предыдущим версиям данных без ограничений. Эта возможность является ключевой для поддержания непрерывности операций и восстановления после возможных инцидентов безопасности.

Безопасное хранение документов для критически важной информации

Помимо управления учетными данными, современные решения PAM предоставляют возможности безопасного хранения документов, которые играют важную роль в восстановлении после аварий и планировании непрерывности бизнеса. Команды агентства могут безопасно хранить и управлять критически важными документами, такими как:

Процедуры реагирования на чрезвычайные ситуации и инструкции
Документация по конфигурации системы
Сетевые диаграммы и карты инфраструктуры
Планы и процедуры аварийного восстановления
Документация по обеспечению непрерывности бизнеса
Списки экстренных контактов и процедуры эскалации
Процедуры резервного копирования и восстановления
Контракты на поддержку поставщиков и контактная информация

Эти документы защищены тем же шифрованием военного уровня, которое используется для хранения учетных данных, при этом данные шифруются с использованием AES-256 GCM на уровне записи. Это обеспечивает, что конфиденциальная документация по восстановлению остается защищенной, но доступной для уполномоченного персонала в чрезвычайных ситуациях.

В кризисных ситуациях командам необходим немедленный, но безопасный доступ к критической документации. Современные решения PAM решают эту задачу с помощью сложных возможностей обмена документами, которые поддерживают безопасность, не мешая реагированию на чрезвычайные ситуации.

Системы внедряют управление доступом на основе ролей, предоставляя командам экстренного реагирования временный доступ к критически важным документам, гарантируя, что конфиденциальная информация остается защищенной даже в условиях критических инцидентов. Каждый доступ к документу подробно регистрируется, создавая журнал аудита, который помогает агентствам поддерживать соответствие требованиям и оценивать эффективность реагирования.

Безопасная инфраструктура обмена данными выходит за пределы внутренних команд, чтобы поддерживать сотрудничество с внешними партнерами по реагированию на инциденты при необходимости. Команды могут безопасно получать доступ к актуальным версиям процедур реагирования даже при работе в автономном режиме, обеспечивая непрерывность операций во время сбоев сети или отказов системы.

Это сочетание безопасности и доступности обеспечивает, что команды реагирования получают необходимую информацию в нужный момент, при этом поддерживая строгий контроль доступа и возможности аудита, требуемые в федеральных средах.

Репликация хранилища и высокая доступность

Современные решения PAM обеспечивают непрерывность бизнеса благодаря сложной репликации хранилищ в различных географических регионах. Эта распределенная архитектура создает надежную основу для хранения учетных данных и документов, автоматически синхронизируя содержимое хранилища и поддерживая строгие меры безопасности. Мультирегиональный подход обеспечивает непрерывный доступ к критически важным ресурсам даже во время региональных сбоев или катастроф, с автоматическим переключением на резервные ресурсы, что гарантирует бесперебойную работу. Агентства получают выгоду как от избыточности нескольких защищенных объектов, так и от преимуществ производительности локальных точек доступа, при этом соблюдая требования к хранению данных.

Дизайн системы с высокой доступностью выходит за рамки простой репликации и охватывает весь жизненный цикл управления учетными данными и документами. Каждое хранилище поддерживает собственные ключи шифрования и средства управления безопасностью, участвуя в более крупной распределенной системе, которая обеспечивает как согласованность данных, так и их безопасность. Этот подход позволяет агентствам поддерживать строгий контроль над их конфиденциальной информацией, обеспечивая при этом ее доступность для авторизованных пользователей, независимо от состояния локальной системы или региональных проблем с доступностью.

Сценарии восстановления и непрерывность доступа

Современные решения PAM поддерживают широкий спектр сценариев восстановления, с которыми часто сталкиваются федеральные агентства. Во время смены руководства система обеспечивает безопасную передачу критически важной информации о доступе и делегирование полномочий, при этом поддерживая защищенное хранение планов преемственности. Для операций по восстановлению системы команды могут получить доступ к безопасно сохраненным процедурам восстановления, резервным учетным данным и подробной документации по зависимостям и конфигурациям системы. Решение также способствует плавному переходу к удаленной работе, предоставляя безопасный доступ к необходимым учетным данным и документам, а также защищенные процедуры удаленного доступа и протоколы связи.

Управление поставщиками представляет свои уникальные вызовы восстановления, которые решения PAM решают через безопасное хранение соглашений с поставщиками, защищенный доступ к учетным данным портала и документированные процедуры эскалации.

Этот комплексный подход гарантирует, что агентства смогут поддерживать операционную непрерывность по всему спектру потенциальных нарушений: от плановых кадровых изменений до крупных системных сбоев. Обеспечивая безопасный доступ на основе ролей к критически важной информации для восстановления, решения PAM позволяют агентствам быстро и эффективно реагировать на любые операционные вызовы, сохраняя при этом требования безопасности и соответствия.

Сочетание безопасного управления учетными данными, хранения документов и возможностей совместного доступа обеспечивает, что агентства могут поддерживать операционную непрерывность, защищая конфиденциальную информацию, даже в кризисных ситуациях. Этот комплексный подход к восстановлению после катастроф и обеспечению непрерывности бизнеса помогает агентствам выполнять свои задачи, поддерживая безопасность и соблюдение нормативных требований.

Определение пути вперед

Федеральные агентства должны признать, что аутентификация с помощью смарт-карт, хотя и имеет важное значение, является лишь одним из компонентов всеобъемлющей стратегии управления доступом. Современное корпоративное решение для управления паролями и привилегированным доступом предоставляет дополнительные уровни безопасности, необходимые для защиты учетных данных, не относящихся к смарт-картам, обеспечения безопасной автоматизации, поддержки операций разработки, соблюдения нормативных требований и предотвращения латерального перемещения в случае взлома.

Будущее федеральной безопасности заключается во внедрении подхода «глубокой защиты», который сочетает физическую безопасность смарт-карт с передовой криптографической защитой современных решений PAM. Используя архитектуры с нулевым разглашением данных, шифрование военного уровня и всесторонний контроль доступа, агентства могут создать надежную систему безопасности, которая охватывает весь спектр задач аутентификации в современной сложной ИТ-среде.

Успех в федеральной кибербезопасности требует целостного подхода, который охватывает все аспекты аутентификации и управления доступом. Только объединив силу аутентификации с помощью смарт-карт с современными решениями PAM, агентства смогут достичь уровня безопасности, необходимого для защиты от развивающихся киберугроз, сохраняя при этом операционную эффективность и соответствие федеральным стандартам.

KeeperPAM® объединяет управление корпоративными паролями, управление секретами, управление подключениями, доступ к сети по принципу нулевого доверия и удаленную изоляцию браузера в одном удобном интерфейсе. Запросите демонстрацию сегодня, чтобы увидеть, как KeeperPAM может помочь обеспечить безопасность вашего агентства.

James Scobey, CISO

Автор: James Scobey, CISO

James Scobey is the Chief Information Security Officer (CISO) of Keeper Security, Inc. He previously worked at the US Securities and Exchange Commission (SEC) as a Chief Information Security Officer. Prior to his position as CISO at the SEC, Scobey served as President and Chief Executive Officer (CEO) of SigmaCyber, Chief Technology Officer (CTO) and Assistant Director of Cybersecurity Operations at the SEC, as well as Principal Systems Engineer and Cyber Performance Systems Engineer at the federally funded research and development organization MITRE. Scobey has also served in leadership and engineering roles at S2i2, Federal Data Systems, USmax Corporation, By Light Professional IT Services and SMS Data Products Group.