Обзор JumpServer, бесплатной PAM-системы от Fit2Cloud

Обзор JumpServer, бесплатной PAM-системы от Fit2Cloud


Обзор JumpServer, бесплатной PAM-системы от Fit2Cloud

JumpServer — это система управления привилегированным доступом (PAM) с открытым исходным кодом от китайского разработчика Fit2Cloud. Редакция JumpServer Community Edition поставляется с бесплатной лицензией и без ограничений по количеству пользователей, предназначена для мониторинга и контроля учётных записей и подключений к информационным системам, охватывая в том числе ИТ-подразделения, системных администраторов и внешних подрядчиков.

Сертификат AM Test Lab

Номер сертификата: 472

Дата выдачи: 18.07.2024

Срок действия: 18.07.2029

Реестр сертифицированных продуктов »

  1. Введение
  2. Описание
  3. Назначение JumpServer
  4. Архитектура JumpServer
  5. Версии JumpServer
  6. Особенности установки и настройки
  7. Технические требования и поддержка
  8. Выводы

Введение

Системы управления привилегированным доступом (Privileged Access Management, PAM) обеспечивают безопасное подключение сотрудников и внешних пользователей, обладающих необходимыми правами, к информационным системам организации. Речь может идти об аудиторах, внештатных экспертах, аутсорсинговых компаниях, сторонних технических специалистах, фрилансерах и пр. Вторая критически важная функция PAM-систем — мониторинг сеансов привилегированного доступа.

На рынке представлен широкий выбор продуктов этого класса. Решая вопрос о том, как выбрать PAM-систему, заказчики руководствуются такими параметрами, как функциональность, удобство установки и настройки, стоимость размещения. В России широта внедрения таких программ растёт на 5–7 % в год. По прогнозам, к 2025 году объём сегмента достигнет 1,8–2 млрд рублей.

Поговорим сегодня о PAM-системе с открытым исходным кодом JumpServer от китайского разработчика Fit2Cloud. Вендор работает на рынке с 2014 года, но до сих пор JumpServer был доступен только клиентам из Китая. Недавно компания пришла в Россию. Здесь и в странах СНГ продукт представляет официальный дистрибьютор AFI Distribution. JumpServer — уже третья PAM-система, которую он локализовал; первые два — Thycotic (Delinea) и Senhasegura.

PAM JumpServer — простое и выгодное решение для малого и среднего бизнеса. Оно позволяет сделать доступы в сети управляемыми, безопасными и подотчётными, сохранив при этом удобство использования для сотрудников и подрядчиков. Для подготовки обзора мы ознакомились с архитектурой JumpServer, изучили функции системы. 

Описание

Платформа размещается между защищаемой сетью и «демилитаризованной зоной»,  обеспечивая управление учётными записями пользователей, защиту и аудит передаваемых файлов и буфера обмена. Программа организовывает подключение к серверам, контейнерам, рабочим станциям, виртуальным средам, базам данных и веб-интерфейсам. 

 

Рисунок 1. Интерфейс PAM JumpServer

Интерфейс PAM JumpServer

 

JumpServer управляет доступом к таким целевым сущностям, как операционные системы, базы данных, устройства, веб-интерфейсы, а также гипервизоры и средства контейнеризации.

При подключении программа отображает для каждого пользователя список доступных ему целевых систем. Администратор или специалист по информационной безопасности может настраивать доступы по группам пользователей, типам систем, времени подключения, протоколам, а также вводить ограничения для направлений передачи файлов — например, разрешить передавать файлы на удалённый сервер, но запретить их скачивание оттуда. 

 

Рисунок 2. Схема работы JumpServer

Схема работы JumpServer

 

JumpServer оснащён удобным поиском целевой системы, защитой от запуска опасных команд, а подключение может выполняться из обычного веб-браузера без установки дополнительного ПО и расширений. 

Для автоматизации процессов администрирования введена опция автозаполнения паролей, причём последние скрыты от пользователей, а для сторонних клиентских программ (SSH-, SFTP-, RDP- и SQL-клиентов) выдаётся уникальная пара «логин — пароль». 

Специалист по информационной безопасности может просматривать активные сессии и принудительно завершать их при необходимости.

Система обладает богатым программным интерфейсом (API). Он облегчает процессы автоматизации и интеграции, например, с системами заявок / инвентаризации / оповещений или процессами DevOps. Через API можно выполнять тот же набор действий, что и в веб-интерфейсе JumpServer (настройка политики доступа, мониторинг и аудит подключений, отправка оповещений, формирование отчётов и др.).

Назначение JumpServer

JumpServer выполняет три ключевые задачи: администрирование трафика и учётных записей, обеспечение защищённого подключения, а также мониторинг и аудит последнего. Рассмотрим подробнее каждую из них. 

  1. Администрирование учётных записей и передаваемых данных. Программа автоматически обнаруживает устройства и учётные записи пользователей и вносит их в свою базу данных для более быстрой настройки прав: администратору не придётся вводить их вручную, останется только соединить их политиками доступа. При помощи JumpServer назначаются права доступа и проводится аудит изменений, а также ротируются пароли. Можно кластеризировать платформу для балансировки нагрузки и обеспечения отказоустойчивости, использовать внешний кластер СУБД вместо локальной базы данных, а для хранения записей сессий — подключить унифицированное хранилище.
  2. Обеспечение безопасного подключения. Ограничение подключений возможно по типу протокола (HTTP, RDP, SSH, SFT, веб и т. д.), IP-адресам, времени подключения, наличию одобренной заявки. Дополнительно JumpServer позволяет выбрать разрешённые направления передачи файлов и использования буфера обмена.
  3. Мониторинг и аудит подключений. JumpServer осуществляет аудит запросов к СУБД, передаваемых файлов, SSH-команд. Мониторинг ведётся в настоящем времени с возможностью создать словарь запрещённых команд и запросов. Введённые команды и видеозаписи сессий сохраняются в выделенное локальное или внешнее хранилище, в случае проведения расследований инцидентов эти записи можно просмотреть и скачать. Если в вашей сети используется SIEM-система, JumpServer можно настроить на автоматическую отправку событий для автоматизированного анализа и реагирования.

JumpServer поддерживает географически распределённую установку. Это позволяет размещать серверы в удалённых дата-центрах, а также обеспечивать катастрофоустойчивость. Кластеризация доступна во всех версиях продукта, причём можно использовать установку «всё в одном» или развернуть отдельные части JumpServer в облаке предприятия для гибкого управления нагрузкой.

Архитектура JumpServer

JumpServer состоит из следующих элементов:

  • веб-прокси с балансировщиком нагрузки;
  • контроллер доступа для разграничения прав пользователей;
  • ядро со средствами автоматизации;
  • локальная или внешняя СУБД с данными о системах и пользователях;
  • локальные, внешние и облачные хранилища с записями сессий.

Рисунок 3. Компоненты архитектуры JumpServer

Компоненты архитектуры JumpServer

 

Базовый компонент JumpServer — ядро (CORE). Оно обрабатывает все команды.

Балансировщик нагрузки (Load Balancer) — компонент отвечающий за распределение запросов между серверами кластера. Его задача — оптимально распределить ресурсы и обеспечить бесперебойное функционирование системы даже при перегрузках.

Контроллер доступа представлен кроссплатформенной виртуальной машиной (Lina) с веб-терминалом (Luna) и пятью функциональными блоками:

  • KoKo — это инструмент извлечения информации, разработанный для Unix-подобных платформ и использующий соединение по SSH и протоколу Telnet;
  • Lion — это компонент для Windows, обеспечивающий доступ к ресурсам через веб-терминал;
  • OmniDB — это браузерный инструмент, управляющий доступом к MariaDB;
  • Razor — инструмент для работы с RDP;
  • Magnus — компонент, который отвечает за доступ к базам данных через клиентский прокси.

В архитектуре JumpServer есть также вспомогательные элементы, отвечающие за второстепенные задачи: управление подключением к ассистенту на базе ChatGPT, преобразование записей сеансов Lion и Razor в формат MP4, обработка асинхронных задач, доступ к базам данных через графический интерфейс и др.

Для хранения записей сессий можно использовать локальные жёсткие диски, а также любые сетевые и облачные хранилища, доступные по протоколам NFS, OSS, OBS, COS, S3, Azure, Ceph, Swift.

Версии JumpServer

PAM-система JumpServer представлена в двух версиях. Редакция Community Edition бесплатна, не имеет ограничений по количеству пользователей, поддерживает до 5 000 целевых сущностей, чего будет достаточно для большинства малых и средних организаций. Платная редакция Enterprise Edition характеризуется расширенным набором возможностей; стоимость зависит от числа подключаемых целевых систем и рассчитывается индивидуально под каждого заказчика.

 

Рисунок 4. Версии продукта JumpServer

Версии продукта JumpServer

 

Как видно по иллюстрации выше, JumpServer Community Edition обладает всеми функциями, которые требуются большинству компаний для организации безопасного подключения администраторов, удалённых работников и внешних подрядчиков.

Редакция Enterprise Edition понадобится тем, кому дополнительно требуются мультиарендность и индивидуализация.

 

Рисунок 5. Версии платного пакета JumpServer Enterprise Edition

Версии платного пакета JumpServer Enterprise Edition

 

Если подписку на Enterprise Edition не продлить, то продукт продолжит работать, но с урезанным набором функций, соответствующим редакции Community Edition.

Особенности установки и настройки

Алгоритм установки JumpServer зависит от того, какая версия продукта будет использоваться. При выборе Community Edition пользователю доступны два вида установки: быстрая и обычная. В первом случае система разворачивается одной командой в режиме «всё в одном» с локальной базой данных, хранилищем сессий и настройками по умолчанию. При обычной установке можно изменять конфигурацию платформы перед развёртыванием.

Установка JumpServer Enterprise Edition происходит в режиме офлайн. Файл дистрибутива предоставляется дистрибьютором в рамках пилотного проекта или скачивается по ссылке, которая приходит на электронную почту покупателя после оплаты. Необходимо разместить файл в заданной директории и выполнить набор из трёх команд. После этого можно отредактировать конфигурацию платформы под собственные нужды. Дистрибьютор окажет помощь, если таковая понадобится.

 

Рисунок 6. Фрагмент инструкции по установке JumpServer Community Edition

Фрагмент инструкции по установке JumpServer Community Edition

 

Сейчас платформа JumpServer имеет две локализации: английскую и китайскую. Команда дистрибьютора AFI Distribution помогает в работе с англоязычным интерфейсом, а также занимается подготовкой документации и интерфейса на русском языке в рамках международной редакции JumpServer (вышла в июле 2024 года).

Технические требования и поддержка

Малым и средним организациям понравится, что установка JumpServer не требует масштабных ресурсов: достаточно 64-битной операционной системы Linux с ядром не ниже версии 4.0, 8 ГБ оперативной памяти и 60 ГБ на жёстком диске. При этом возможна установка на Astra Linux.

Несмотря на то что бесплатная версия JumpServer Community Edition способна удовлетворить базовые потребности большинства предприятий, полностью отказываться от профессионального сопровождения PAM-системы нежелательно, особенно если пугает необходимость самостоятельной настройки системы, обучения администраторов и специалистов по информационной безопасности, а также внесения изменений в процессы работы с учётными записями.

Чтобы внедрение и настройка JumpServer Community Edition были комфортными, AFI Distribution предлагает годовую подписку на техническую поддержку.

 

Рисунок 7. Услуги технической поддержки PAM-системы JumpServer от AFI Distribution

Услуги технической поддержки PAM-системы JumpServer от AFI Distribution

 

Заключив договор на сопровождение, клиент получает доступ:

  • к документации на русском языке;
  • к базе знаний и инструкциям официального дистрибьютора, включая подсказки и решения для популярных вопросов;
  • к сценариям использования и рекомендуемым архитектурам для установки;
  • к помощи в интеграции (включая общие и кластерные настройки, резервное копирование, импорт учётных записей и работу с ними, подключение целевых систем);
  • к обучению администраторов и безопасников работе с JumpServer;
  • к напоминаниям о выходе новых версий с проверенной инструкцией для апгрейда;
  • к консультациям с прямым доступом к инженеру (без первой линии) с понятными условиями соглашения о качестве (SLA).

Стоимость технической поддержки JumpServer Community Edition составляет 1,5 млн рублей за каждый экземпляр JumpServer в год (без ограничений на общее количество пользователей и целевых систем). При покупке редакции Enterprise Edition техническая поддержка входит в стоимость подписки.

Выводы

JumpServer — новинка на российском рынке. Платформа позволяет решать такие задачи, как хранение и администрирование паролей и учётных записей, безопасное подключение собственных и внешних специалистов, аудит запросов и блокировка опасных команд. Аудитория продукта — в основном китайские фирмы, но перспективы на российском рынке у JumpServer тоже есть.

Достоинства:

  • Простота установки (установка «всё в одном» одной командой).
  • Открытый исходный код.
  • Поддержка локальных, гибридных и облачных сетей.
  • Отсутствие необходимости устанавливать расширения и агенты для подключений.
  • Ведение записи каждого подключения.
  • Установка в виде распределённого кластера для балансировки нагрузки и обеспечения катастрофоустойчивости.

Недостатки:

  • На данный момент нет русскоязычной версии (перевод на русский уже согласован с вендором и ожидается до конца 2024 года).
  • Отсутствует оптическое распознавание текста (OCR) в сессии.
  • Нет модуля поведенческого анализа.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.