Данная статья — детальное сравнение систем контроля действий привилегированных пользователей (PUM). В ней мы проанализировали и сопоставили лидирующие на отечественном рынке продукты как российских, так и зарубежных компаний. Результаты сравнения помогут понять, чем принципиально различаются существующие на рынке PUM-системы и на что стоит ориентироваться при их выборе.
2. Методология сравнения PUM-систем
3.4. Системные требования (минимальные значения)
3.6. Поддерживаемые протоколы удаленного администрирования
3.7. Поддерживаемые системы и устройства для управления парольной информацией
3.8. Возможность кастомизации PUM-системы
3.9. Функциональные роли PUM-системы
3.10. Управление паролями и доступом к общим учетным записям (Access Control for Shared Accounts)
3.11. Контроль привилегированных сессий (Privileged Session Management)
3.12. Контроль встроенных служебных учетных записей в приложения (AAPM)
3.13. Назначение минимальных привилегий и повышение полномочий по требованию (PEDM)
3.15. Производительность и отказоустойчивость
Введение
Проблема, связанная с управлением привилегированными учетными записями, актуальна, пожалуй, для каждой крупной компании. Привилегированными называют учетные записи, которые предоставляют доступ к системе с очень широкими полномочиями. Такие учетные записи имеются практически в каждой ИТ-системе. Контролировать привилегированные учетные записи сложно — как организационно, так и технически. Управление и контроль еще больше затрудняются, если пользователи являются сотрудниками внешних организаций — подрядчиками ИТ-услуг. Риски, связанные с несанкционированным использованием привилегированных учетных записей, очень высоки, так как вероятность их использования и ущерб от них гораздо больше и реальнее. Контролировать действия привилегированных пользователей возможно только посредством применения специализированных решений — систем контроля действий привилегированных пользователей.
Встречаются различные англоязычные аналоги наименования решений по управлению привилегированными пользователями, такие как Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Access Management (PAM), Privileged Account Management (PAM), Privileged Password Management (PPM), Privileged Account Security (PAS). Мы будем придерживаться аббревиатуры PUM (управление/контроль привилегированными пользователями), которая уже использовалась нами в публикациях «Контроль привилегированных пользователей (PUM) — обзор мирового и российского рынка» и «Рынок решений для управления привилегированными пользователями».
Рынок решений для контроля привилегированных пользователей сейчас активно развивается. И в процессе выбора между тем или иным решением неизбежно возникают вопросы. Чем принципиально отличаются между собой различные решения? На что ориентироваться при выборе PUM-системы? Как выбрать наиболее подходящее решение для вашей компании?
К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого. Данное сравнение следует рассматривать как базисное. Во всех тонкостях работы PUM-систем зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой. Стоит понимать, что в рамках данного материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить масштабные тесты в условиях, приближенных к «боевым», что требует несоизмеримо больших затрат — как на разработку методик сравнения, так и на их воплощение.
Тем не менее мы не будем останавливаться на достигнутом результате. В дальнейшем мы планируем проводить более глубокие сравнения PUM-систем по их реальной технологической эффективности.
Методология сравнения PUM-систем
Краеугольным камнем любого сравнения является набор критериев, по которому оно производится. Их количество зависит от ряда факторов: от глубины исследования, а также степени различий между системами, которую мы хотим подчеркнуть. В то же время важно не только количество выбранных в рамках сравнения критериев, но и развернутые ответы по каждому из них, так как сравниваемые системы могут серьезно различаться даже на этом уровне.
Следуя этому принципу, мы отобрали более 100 критериев, сравнение по которым упростит выбор PUM-системы. К некоторым из критериев были добавлены пояснения.
Отметим, что при разработке критериев учитывалась международная классификация PUM-систем, предложенная аналитическим агентством Gatner в Market Guide for Privileged Access Management (2016 г). Согласно международной классификации, функциональность PUM-систем можно разделить на две основные категории:
- Privileged Account and Security Management (PASM) — управление привилегированными аккаунтами пользователей (Access Control for Shared Accounts), приложений (Application-to-Application Password Management), контроль сессий с использованием этих аккаунтов (Privileged Session Management).
- Privileged Elevation and Delegation Management (PEDM) — контроль привилегий учетных записей на конечных устройствах.
Для удобства все сравнительные критерии были разделены на следующие категории:
- Общие сведения
- Архитектура решения
- Варианты исполнения
- Системные требования (минимальные значения)
- Режимы работы
- Поддерживаемые протоколы удаленного администрирования
- Поддерживаемые системы и устройства для управления парольной информацией
- Возможность кастомизации PUM-системы
- Функциональные роли PUM-системы
- Управление паролями и доступом к общим учетным записям (Access Control for Shared Accounts)
- Контроль привилегированных сессий (Privileged Session Management)
- Контроль встроенных служебных учетных записей в приложения (AAPM)
- Назначение минимальных привилегий и повышение полномочий по требованию (PEDM)
- Дополнительные функции
- Производительность и отказоустойчивость
- Возможности интеграции
- Лицензирование
Для участия в сравнении было отобрано пять наиболее известных и популярных в России PUM-систем:
Российские:
- SafeInspect
- Система контроля действий поставщиков ИТ-услуг (СКДПУ)
Зарубежные:
- CyberArk Privileged Account Security Solution
- Balabit Shell Control Box
- Lieberman Enterprise Random Password Manager (ERPM)
Все производители перечисленных выше PUM-систем активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведенном сравнении PUM-систем мы не делали их итогового ранжирования, надеясь, что, ознакомившись с представленными нами результатами сравнения, каждый читатель сможет самостоятельно решить, какая из PUM-систем наиболее подходит для его целей. Ведь в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод.
Сравнение систем контроля действий привилегированных пользователей (PUM-систем)
Общие сведения
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Компания-вендор | ООО «Новые технологии безопасности» | ООО «АйТи БАСТИОН» | CyberArk Software Ltd | BalaBit IT Security Ltd. | Lieberman Software Corp. |
Целевой сегмент | Крупный бизнес, Средний бизнес, Государственный сектор |
Крупный бизнес, Средний бизнес, Государственный сектор |
Крупный бизнес, Государственный сектор |
Крупный бизнес, Средний бизнес, Государственный сектор |
Крупный бизнес |
Штаб-квартира | Россия, Москва | Россия, Москва | Петах-Тиква, Израиль | Венгрия, Будапешт | Лос-Анжелес, Калифорния, США |
Веб-сайт | newinfosec.ru | it-bastion.com | cyberark.com | balabit.com | liebsoft.com |
Лицензии | Лицензии ФСТЭК России №0666 на деятельность по РиПСЗИ и №1108 на деятельность по ТЗКИ, Лицензия ФСБ №13875Н на осуществление разработки, производства и распространения СКЗИ и выполнения работ и оказания услуг с использованием СКЗИ | Нет | Нет | Нет | Нет |
Сертификаты | Сертификат ФСТЭК России № 3833 до 06.12.2020 по 5 уровню РД СВТ, 4 уровню РД НДВ и ТУ (схема — Производство) | Сертификат ФСТЭК России №3352 до 18.02.18, по 4 уровню РД НДВ и ТУ (схема — 500 экземпляров) | Сертификат ФСТЭК России №3539 до 21.04.20 на ТУ (схема — 500 экземпляров) | Сертификат ФСТЭК России №3452 до 11.11.2018, по 4 уровню РД НДВ и ТУ (схема — 300 экземпляров) | Нет |
Техническая поддержка | Да | Да | Да | Да | Да |
Услуги | Внедрение системы | Внедрение системы, Обучение инженеров | Услуги Professional Services, внедрение и настройка инженерами партнеров CyberArc («Инфосистемы Джет» и «Инфозащита») | Внедрение системы (интеграцию в РФ проводят «ДиалогНаука», «Ай-Теко») | Внедрение системы (интеграцию в РФ осуществляет партнер Lieberman Software — компания-дистрибьютор Web Control) |
Сроки внедрения | Типовая инсталляция и запуск в работу — от 30 минут до 2 часов. Распределенные инсталляции определяются проектом | Типовая инсталляция и запуск в работу — 2 часа. Сроки сложных инсталляций определяются проектом | Определяются проектом | Определяются проектом | Определяются проектом |
Сравниваемые версии | 2.3 | 5.0.4 | 9.6 | 5.0 | 5.5.2 |
Интерфейс (язык) | Русский, английский | Русский, английский, французский, немецкий | Русский, английский, французский, немецкий | Английский | 23 языка, среди которых русский, английский, французский, немецкий, китайский и испанский |
Соответствие требованиям законодательных актов и регуляторов в области ИБ | PCI DSS, SOX, Basel II, СТО БР ИББС, ISO27000, ФСТЭК России | PCI DSS, SOX, Basel II, СТО БР ИББС, ISO27000, ФСТЭК России | СТО БР ИББС, PCI-DSS, ISO27000, Sarbanes Oxley (SOX), ENISA, MAS TRM | PCI DSS, SOX, Basel II, СТО БР ИББС, ISO27000, ФСТЭК России | PCI DSS, SOX, Basel II, СТО БР ИББС, ISO27000 |
Крупнейшее из известных внедрений (только со ссылкой на пресс-релиз) | Пермский государственный национально-исследовательский политехнический университет (ПНИПУ) | Внедрение СКДПУ/Wallix Admin Bastion в ДИТ Москвы (4 000 устройств) | Внедрение системы контроля действий привилегированных пользователей в "Лаборатории Касперского" | Внедрение в ИТ-системах банка «Тинькофф Кредитные Системы» | Внедрение в ЦОД Сбербанка |
Архитектура решений
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Privileged Account and Security Management (PASM) (управление привилегированными аккаунтами пользователей) | |||||
Управление паролями и доступом к общим учетным записям (Access Control for Shared Accounts) | Да | Да | Да (модули Central Policy Manager, Enterprise Password Vault и SSH Key Manager) |
Нет | Да |
Контроль привилегированных сессий (Privileged Session Management) | Да | Да | Да (модуль Privileged Session Manager) | Да | Только в связке с другой PUM-системой |
Управление встроенными учетными записями в приложения (Application to Application Password Management) | Нет | Да (утилита WABGetCred) | Да (модуль Application Identity Management) | Нет | Да |
Privileged Elevation and Delegation Management (PEDM) (управление полномочиями и повышение привилегий по требованию) | |||||
Управление полномочиями и повышение привилегий по требованию | Нет | Нет | Да (модули CyberArk OPM for Linux/CyberArk EPM Windows и macOS, Viewfinity) | Нет | Нет |
Другие компоненты и особенности решений | |||||
Опциональные дополнительные компоненты (модули) PUM-системы (расширяющие функционал) | Safeserver, модуль — оценщик рисков использования SSH-ключей | Портал доступа — объединяет все доступы с нескольких шлюзов, как единая точка входа. Поддерживает работу с планшетов | Модуль поиска привилегированных УЗ на устройствах в сети и анализ использования CyberArk DNA/CyberArk PTA | Дополнительный ПАК — Privileged Account Analytics — поведенческий анализ, интегрируется с SCB, лицензируется отдельно | Зонный процессор (для удаленных филиалов) Account Pooling Feature — многошаговый откат к старым паролям, Application Launch Server — защищенная среда администрирования, модуль управления доступом к SAP |
Консоль администратора (тип консоли) | Веб-интерфейс | Веб-интерфейс | Веб-интерфейс | Веб-интерфейс | Веб-интерфейс |
Консоль пользователей (тип консоли) | Веб-интерфейс | Веб-интерфейс | Веб-интерфейс | Веб-интерфейс (для вторичной аутентификации, когда есть необходимость дополнительного разрешения на соединение от администратора ИБ либо дополнительной аутентификации) | Веб-интерфейс |
«Безагентская» архитектура (использование нативных средств для доступа к целевым системам) | Да | Да | Да (кроме модулей PEDM — OPM и EPM). Агенты используются для контроля локальных подключений и контроля запуска программ | Да | Да |
Варианты исполнения
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Программно-аппаратный комплекс (готовый сервер с установленным ПО) | Да | Да | Да | Да | Нет |
Программное обеспечение — пакет дистрибутивов | Да | Да | Да | Нет | Да |
Программное обеспечение — готовый образ системы | Да | Да | Нет | Да | Нет |
Virtual Appliance (виртуальное устройство для запуска в виртуальных средах) | Да | Да | Да | Да | Нет |
Облачный сервис | Нет | Нет | Нет | Да (Microsoft Azure) | Да (Microsoft Azure, Amazon Web Services) |
Системные требования (минимальные значения)
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Минимальное количество серверов для развертывания системы | 1 сервер | 1 сервер (поставляется как готовый ПАК) | Количество серверов зависит от количества внедряемых модулей: например, при интеграции модулей EPV и PSM потребуется минимум 2 сервера | 1 сервер (поставляется как готовый ПАК) | 1 сервер (все компоненты, включая Management console, СУБД, Веб-сервер, могут быть установлены на одном физическом или виртуальном сервере) |
Требования к аппаратному обеспечению для серверных компонентов | Для модуля «Менеджер» или единого сервера, где работают все компоненты: 1 четырехъядерный процессор, 8 Гб ОЗУ; 500 Гб НЖМД; 4 сетевых адаптера типа E1000. Для модуля «Коллектор»: 1 двухъядерный процессор, 4 Гб ОЗУ; 80 Гб НЖМД; 4 сетевых адаптера типа E1000 | 4 ядра , 4Гб ОЗУ, 70 Гб НЖМД, 1 сетевой интерфейс | Для EPV: двухъядерный процессор (Intel), 8Гб ОЗУ, 2X 80Гб SATA/SAS hotswappable, RAID-контроллер, 2 сетевых адаптера 1Гб, DVD ROM, SCSI/Fibre shared disk, поддерживающий SCSI3-протокол, хранилище для PSM (опционально). Для PVWA и CPM: двухъядерный процессор (Intel), 8 ГБ ОЗУ, 2X 80 Гб SATA/SAS hot-swappable, RAID-контроллер, сетевой адаптер 1Гб, DVD ROM. Для PSM: восьмиядерный процессор (Intel), 8 ГБ ОЗУ, 2X 80 Гб SATA/SAS hot-swappable, RAID-контроллер, сетевой адаптер 1Гб, DVD ROM |
SCB T1 1 четырехъядерный ЦП, 8 ГБ ОЗУ, 1 ТБ НЖМД, программный RAID | Не мененее 128 МБ ОЗУ для Management console, остальные требования зависят от используемых СУБД |
Требования к программному обеспечению для серверных компонентов (только для ПО, поставляемого в виде пакетов дистрибутивов) | Не предъявляются (поставляется как готовый образ) | Не предъявляются (поставляется как готовый образ или ПАК) | Windows Server (2008R2 English 2012R2 English) |
Не предъявляются (поставляется как готовый образ или ПАК) | Windows Server 2008 и выше, СУБД: Oracle, Microsoft SQL; Microsoft Internet Information Services (IIS) 6.0 для веб-сервера |
Необходимые лицензии на стороннее ПО | Дополнительные лицензии не требуются | Лицензии Windows для jump server | Лицензии Windows для серверов и RDS-лицензии | Дополнительные лицензии не требуются | Лицензии Windows, Oracle, Microsoft SQL Server |
Возможность установки компонентов PUM на виртуальных машинах | Да | Да | Да | Да | Да |
Режимы работы
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
В режиме «бастиона» | Да | Да | Да | Да | Да |
Режим сетевой мост (L2) | Да | Нет | Нет | Нет | Нет |
Режим маршрутизатор (L3) | Да | Нет | Нет | Да | Нет |
Поддерживаемые протоколы удаленного администрирования
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
SSH | Да | Да | Да | Да | Нет |
RDP | Да | Да | Да | Да | Нет |
ICA (Citrix) | Нет | Нет | Да | Да | Нет |
VNC | Нет | Да | Да | Да | Нет |
Telnet | Да | Да | Да | Да | Нет |
HTTP(S) | Да | Да | Да | Да | Нет |
SCP | Да | Да | Да | Да | Нет |
SFTP | Да | Да | Да | Да | Нет |
FTP | Да | Нет | Да | Нет | Нет |
VMware View | Да | Нет | Да | Да | Нет |
SQL | Нет | Да | Да | Нет | Нет |
X11 | Да | Да (только разрешение) | Да | Да | Нет |
Другие протоколы администрирования | TN3270 | Сторонние протоколы реализуются через jump-сервер и публикацию приложений. Для ПАК возможно использование для контоля RS232-портов | Любые другие протоколы реализуются через jump-сервер. Для этого необходимо на шлюзе доступа поднять программное обеспечение, реализующее работу с необходимым протоколом | TN3270, любые другие сторонние протоколы реализуются через jump-сервер и публикацию приложений | Нет |
Поддерживаемые системы и устройства для управления паролями
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Перечень поддерживаемых ОС | Windows, Linux, Free BSD, AIX | Windows и различные Linux/Unix дистрибутивы | Windows, Linux (Red Hat, Ubuntu, Fedora, CentOS), Novell SUSE Linux, IBM (AIX, iSeries, Z/OS, CICS), HP (HPUX,Tru64, NonStop (Tandem), Open VMicrosoft), macOS, VMware ESXi, EMC, NetApp, Big IP \F5, Citrix XenServers | Нет (только через интеграцию Lieberman, который берет на себя все функции по смене паролей) | Linux (RedHat, Ubuntu, Suse, Damn Small Linux, Fedora, CentOS, FreeBSD, Linux Mint, OpenSuse, Oracle Enterprise, BSD, Open Solaris, SCO OpenServer, Solaris, HPUX), UNIX (SCO Unix Ware, True64 UNIX), Windows, MAC OS,AS/400 OS/390, z/OS и другие поддерживающие SSH 2.0 |
Перечень поддерживаемых СУБД | Oracle | Oracle | Oracle, Microsoft SQL, DB2, Informix, Sybase, MySQL и любые ODBC-совместимые базы данных | Нет (только через интеграцию Lieberman, который берет на себя все функции по смене паролей) | Microsoft Azure SQL, Microsoft SQL 2016, 2014, 2012, 2008 R2, 2008, 2005, 2000, Oracle 12c, 11g, 10g, 9i, MySQL (6.x, 5.x, 4.x), DB2 (10.x, 9.x, 8.x, 7.x), Sybase ASE 15.x, 12.x, Teradata Database, MariaDB, MSDE 2000 |
Перечень поддерживаемого прикладного ПО | Нет | Нет | SAP, WebSphere, WebLogic, JBOSS, Tomcat, Oracle ERP, Peoplesoft, TIBCO, Cisco. Приложения Windows: служебные учетные записи, в том числе учетные записи службы SQL Server в кластере, назначенные задания, пулы приложений IIS, COM+, анонимный доступ к IIS, служба кластеров | Нет (только интеграция с Lieberman ERPM, который берет на себя все функции по смене паролей) | SAP v7 и более поздние версии, Oracle WebLogic, IBM WebSphere, Oracle PeopleSoft, Xerox Phaser Printers |
Перечень поддерживаемых сетевых устройств | В процессе тестирования Cisco, 3com, Juniper | Cisco | Cisco, Juniper, Nortel, Citrix Netscaler, HP, 3com, F5, Alactel, Symmetricom, Brocade, Voltaire, Radware, WAAS, Avaya, BlueCoat, Radware, Riverbed, Yamaha, Applied Innovation, RFL Electronics, BTI Photonic SysteMicrosoft, Aruba Networks, Netscout, Meinberg, Enterasys | Нет (только интеграция с Lieberman ERPM, который берет на себя все функции по смене паролей) | CheckPoint, Cisco, EMC, HP, F5, Foundry, Juniper, Fortigate, HP, PaloAlto, RiverBed Procurve и другие поддерживающие SSH 2.0 |
Перечень поддерживаемых каталогов учетных данных | LDAP, LDAPS, Radius, Microsoft Active Directory | LDAP, Microsoft Active Directory, Radius, Tacacs | Microsoft (Active Directory, Azure Active Directory), Sun (SunOne Directory, Zlogin), Novell eDirectory, UNIX Kerberos, UNIX NIS, RSA/FoxT BOKS/Keon , CA eTrust Access Control, IBM BSSO | Нет (только интеграция с Lieberman ERPM, который берет на себя все функции по смене паролей) | Apache LDAP Directory, Apple Open Direcorty, IBM Tivoli Directory, Microsoft Active Directory, Novell eDirectory, Open LDAP, Oracle Internet Directory, Sun One Directory Server, ViewDS Directory и другие |
Перечень поддерживаемых SaaS и веб-сервисов | Нет | Нет | Facebook, Google Gmail, Linkedin, Twitter, Amazon (AWS), Microsoft (Azure), Microsoft (Office365), Pinterest | Нет (только интеграция с Lieberman ERPM, который берет на себя все функции по смене паролей) | Cloud identities on O365, Azure Active Directory, Amazon AWS, IBM SoftLayer, Rackspace Public Cloud, Salesforce |
Перечень поддерживаемых АСУ ТП (SCADA-систем) | Нет | Нет | Industrial Defender Security Event Manager, GE D20MX, RuggedCom RuggedSwitch | Нет | Нет |
Перечень поддерживаемых гипервизоров | Нет | Нет | VMware vCenter/ESXi | Нет (только интеграция с Lieberman ERPM, который берет на себя все функции по смене паролей) | VMware ESXi, Microsoft Hyper-V, IBM System z hypervisors, Sun VirtualBox, Citrix Xen |
Прочие системы | Нет | Нет | Универсальные интерфейсы: любые устройства с поддержкой SSH/Telnet, реестр Windows, любые web-приложения (например, удаленное выполнение команд WMI Facebook), пароли, хранящиеся в таблицах базы данных, файлы конфигурации (текстовые, INI, XML). Хранилища: NetApp, EMC (RecoverPoint, Isilon OneFS, Atmos), IBM (XIV, SVC, TSM, DS80000). Средства удаленного управления и мониторинга: IBM (HMC, BladeCenter, IMM), HP (iLO, Opsware), Oracle Sun (ALOM, iLOM, XSCF), Dell DRAC, Digi CM (Console Management), Cyclades AlterPath, Fijitsu iRMC. Средства обеспечения безопасности: CheckPoint, Nokia, Juniper, Cisco, Blue Coat, IBM, TippingPoint, SourceFire, Fortinet, WatchGuard, Industrial Defender, Acme Packet, Critical Path, Symantec, Palo Alto |
Нет | IPMI/iLO card: Dell DRAC (7, 6, 5, 4, 3) Dell CMC, HP iLO, 4, 3, 2 (bios rev 2.01 or higher required), HP iLO, SuperMicro IPMI, Generic IPMI compatible. Средства обеспечения безопасности: CheckPoint, Juniper, Cisco, Blue Coat, IBM, TippingPoint, SourceFire, Fortinet, WatchGuard, Industrial Defender, Acme Packet, Critical Path, Symantec, Palo Alto, Qualys, RAPID7, FireEye, Firemon, Securonix, Raytheon. Help Desk: ServiceNow, JIRA, BMC Remedy, CA Service Desk, HP Service Manager, Microsoft SCSM, OTRS. Прочие системы: McAfee EPO, Xerox Phaser Printers (via SNMP), Oracle WebLogic, IBM WebSphere, Oracle PeopleSoft и другие |
Возможность кастомизации PUM-системы
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Поддержка новых целевых систем и протоколов производителем на заказ | Да | Да | Да | Да (при использовании промежуточных серверов) | Да |
Среда для самостоятельной доработки PUM-системы (SDK) | Да (Есть открытый API) | Да (Есть открытый API) | Да (есть SDK) | Да (есть SDK) | Да (есть SDK) |
Функциональные роли PUM-системы
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Администратор безопасности | Да | Да | Да | Да | Да |
Аудитор | Да | Да | Да | Да | Да |
Настройка собственных ролей | Да | Да | Да | Да | Да |
Управление паролями и доступом к общим учетным записям (Access Control for Shared Accounts)
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Единая точка входа single sign-on (SSO) | Да (пользователь входит в SafeInspect, используя свои учетные данные, и получает доступ к разрешенным ему устройствам, но административные учетные записи этих устройств ему не раскрываются) | Да (пользователь входит в СКДПУ, используя свои учетные данные, и получает доступ к разрешенным устройствам без выполнения второй процедуры входа. Пароли для устройств хранятся в СКДПУ, поэтому сеансы могут открываться автоматически) | Да (пользователь входит в систему через портал Password Vault Web Access, используя свои учетные данные, и получает доступ к разрешенным устройствам без выполнения второй процедуры входа) | Нет (интегрируется с отдельной SSO-системой Thycotic Secret Server) | Да |
Двухфакторнаяя аутентификация | Да | Да | Да | Да | Да |
Двухуровневый контроль подключений (согласование доступа) | Да | Да | Да | Да | Да |
Хранение паролей в защищенном виде | Да | Да | Да (запатентованная технология Secure Digital Vault) | Нет (только интеграция с Lieberman ERPM, который берет на себя все функции хранения паролей в хранилище в зашифрованном виде) | Да (в СУБД в зашифрованном виде, алгоритмы AES-256, FIPS 140 2, PKCS#11 hardware encryption) |
Возможность автоматического обнаружения неконтролируемых привилегированных аккаунтов | Да (SafeServer автоматически находит новые и неавторизованные ключи и аккаунты для доступа по SSH) | Нет | Да | Нет | Да |
Возможность создания отчетов обо всех обнаруженных неконтролируемых учетных записях | Нет | Нет | Да | Нет | Да |
Возможность настройки правил генерации паролей для каждой целевой системы | Да | Да | Да | Нет | Да |
Автоматическая смена/сброс пароля на целевых системах | Да | Да | Да | Нет | Да |
Управление SSH-ключами | Да (смена/импорт и прочее с использованием API). Полноценное управление ключами по всей инфраструктуре с помощью компонетна SafeServer | Нет | Да | Нет | Да |
Контроль привилегированных сессий (Privileged Session Management)
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Мониторинг привилегированных сессий в режиме реального времени | Да | Да | Да | Да | Нет |
Возможность принудительного завершения сессии при необходимости | Да | Да | Да | Да | Нет |
Запись сессий | Да (видео, снимки экрана, распознавание текста (OCR), лог сессии в текстовом формате для сеансов командной строки c временными метками) | Да (видео, снимки экрана, распознавание текста (OCR), лог сессии в текстовом формате для сеансов командной строки) | Да (в видеоформате для графичеких сеансов, лог сессии в текстовом формате для сеансов командной строки) | Да (видео, снимки экрана, распознавание текста (OCR), лог сессии в текстовом формате для сеансов командной строки) | Нет |
Аудит выполняемых команд | Да | Да | Да | Да | Нет |
Сохранение сведений о нажатых клавишах в сеансах | Да | Да | Да | Да | Нет |
Фильтрация выполняемых команд | Да | Да | Да | Да | Нет |
Индексация содержимого и поиск по ключевым словам | Да | Да | Да | Да | Нет |
Контроль встроенных служебных учетных записей в приложения (AAPM)
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Устранение встроенных паролей | Нет | Да | Да | Нет | Да |
Автоматическая синхронизация/смена паролей | Нет | Да | Да | Нет | Да |
Аутентификация приложений | Нет | Да | Да | Нет | Да |
Назначение минимальных привилегий и повышение полномочий по требованию (PEDM)
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Контроль привилегий UNIX/Linux-систем | Нет | Нет | Да (подготовка пользователей с минимальными привилегиями, подмена оболочки и контроль через черный/белый список команд) | Нет | Нет |
Контроль привилегий Windows-систем | Нет | Нет | Да (повышение привилегий пользователей по требованию или согласно политикам, контроль привилегий приложений (черный и белый списки приложений), контроль доступа к привилегиям в приложениях) | Нет | Нет |
Дополнительные функции
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Построение отчетов | Да | Да (оперативные, сводные, по ресурсам) | Да | Да | Да |
Встроенный видеоплеер для просмотра сессий из консоли системы | Да | Да | Да | Да | Нет |
Оповещение администратора по электронной почте | Да | Да | Да | Да | Да |
Производительность и отказоустойчивость
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Масштабируемость системы | Да (по оборудованию — при увеличении инфраструктуры можно добавить коллекторы) | Да (по оборудованию и системам хранения) | Да (по оборудованию, возможность выноса части компонентов на удаленные сайты при использовании единого хранилища, по функционалу (дополнительные модули CyberArk)) | Да (по оборудованию) | Нет |
Возможность установки отказоустойчивой конфигурации решения (HA) | Да | Да | Да | Да | Да |
Возможности интеграции
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Интеграция с каталогами пользователей | Да (видео, снимки экрана, распознавание текста (OCR), лог сессии в текстовом формате для сеансов командной строки c временными метками) | Да (Microsoft Active Directory, LDAP) | Да (Microsoft Active Directory, LDAP, Radius, RSA Secure ID, PKI (Public Key Infrastructure), Oracle SSO, CyberArk (собственный проприетарный протокол аутентификации)) | Да (Microsoft Active Directory, LDAP, Radius, RSA Secure ID, PKI (Public Key Infrastructure) | Да (Microsoft Active Directory, Oracle Internet Directory, Novell eDirectory, LDAP, etc.) |
Интеграция с системами класса SIEM | Да (RuSIEM, IBM QRadar, HP ArcSight, Splunk и т. д.) | Да | Да (HP, IBM, McAfee, RSA). В настройках есть XML-файл, определяющий формат взаимодействия и позволяющий очень гибко подходить к интеграции | Да (Splunk, HP ArcSight, others via syslog) | Да (Qradar, ArcSight, LogRhythm, Splunk, etc.) |
Интеграция с системами класса IdM/IAM | Да | Да (через API) | Да (Sailpoint, Oracle/IBM IDM) | Да (Sailpoint) | Да (через API) |
Интеграция с системами класса DLP | Да (контроль файловых операций по SSH, SFTP и SSL в режиме реального времени для RSA DLP, McAfee, Symantec DLP, InfoWatch Traffic Monitor) | Нет | Нет | Нет | Нет |
Интеграция с системами класса IDS/IPS | Да, анализ трафика административных сессий | Нет | Нет | Нет | Нет |
Интеграция с тикет-системами | Да | Да (через API) | Да | Да (ВМС Remedy, ServiceNow и с другими через плагины ) | Да (HP Service Manager, ВМС Remedy или Microsoft System Center Service Manager) |
Интеграция с другими PUM-системами (расширение функциональности) | Да (с решениями по управлению паролями Lieberman’s Enterprise Random Password Manager (ERPM) | Да (с решениями по управлению паролями Lieberman’s Enterprise Random Password Manager (ERPM) | Да (возможность совместного использования с любыми PUM-решениями) | Да (с решениями по управлению паролями Lieberman’s Enterprise Random Password Manager (ERPM), Thycotic Secret Server, Quest One Identity, CyberArk Enterprise Password Vault) | Да (с решениями ObserveIt, BalaBit SCB и Wallix/СКДПУ) |
Обеспечение интеграции и аутентификации с открытыми интерфейсами прикладного программирования (API) | Да | Да | Да | Да | Да |
Лицензирование
Параметр сравнения | SafeInspect | СКДПУ (Wallix Admin Bastion) | CyberArk Privileged Account Security Solution | BalaBit Shell Control Box | Lieberman Enterprise Random Password Manager (ERPM) |
Описание политики лицензирования | По количеству параллельных сессий или целевых систем. Отдельно лицензируемых компонентов нет | По количеству целевых систем, либо по количеству параллельных сессий, есть отдельно лицензируемые компоненты (HA, X509-авторизация) | По модулям, по целевым системам | По количеству целевых систем, стоимость также зависит от выбранной аппаратной платформы ПАК | По количеству целевых систем |
Описание политики лицензирования | Закрытый прайс-лист | Закрытый прайс-лист | Закрытый прайс-лист | Закрытый прайс-лист | Закрытый прайс-лист |
Мы не делали однозначных выводов о превосходстве того или иного продукта. Мы надеемся, что по результатам проведенного сравнения каждый читатель сможет самостоятельно определиться, какая из представленных PUM-систем больше других подходит для его задач. Ведь в каждом конкретном случае потенциальный заказчик сам знает, какие технологии или функциональные возможности для него наиболее важны, а значит, сможет сделать из сравнения правильный именно для него вывод.
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:
Илья Четвертнев, директор департамента проектирования, Техническая дирекция компании «Информзащита»
Кирилл Викторов, директор по развитию бизнеса, «АйТи БАСТИОН»
Дмитрий Михеев, ведущий технический эксперт, «АйТи БАСТИОН»
Орлова Дениса, инженер НТБ
Влада Дроздова, менеджер по маркетингу, НТБ
Марина Курищенко, директор департамента маркетинга, Softprom by ERC
Антон Фридрих, Технический аккаунт-менеджер, CyberArc
Кирилл Бокастиков, инженер по предпродажной подготовке и внедрению, Balabit
Андрей Аникин, генеральный директор, Web Control
Павел Нестеров, старший инженер, Web Control