PAM-системы: главные тренды и лидеры рынка решений для контроля привилегированного доступа

𝓲

Фото: Freepik

Определение рынка

Как и в последние два года, аналитики Gartner определяют PAM как инструменты, которые обеспечивают повышенный уровень технологического доступа посредством управления и защиты учетных записей, учетных данных и команд, которые используются для администрирования или конфигурирования систем и приложений. Они могут поставляться в виде ПО, SaaS или аппаратного решения. Gartner выделяет 5 категорий PAM-инструментов: управление привилегированными учетными записями и сеансами (PASM), управление повышением и делегированием привилегий (PEDM), управление секретами, управление правами в облачной инфраструктуре (CIEM) и управление удаленным привилегированным доступом (RPAM).

Привилегированным доступ предоставляет пользователям — людям и машинам — повышенные привилегии. Он позволяет создавать, изменять, удалять ИТ-ресурсы и данные, его бесконтрольное использование несет с собой огромные угрозы. По этой причине управление привилегированным доступом является важнейшей задачей ИБ для каждой компании и организации и требует особого набора процедур и инструментов. Такие инструменты ориентированы либо на управление учетными данными, либо на контроль исполнения команд. При управлении учетными записями PAM-системы помогают обнаружить и поставить на учет привилегированные учетные записи сотрудников и машин, защитить их посредством ротации секретов, хранения их в зашифрованном виде и предоставления к ним доступа под строгим контролем.

Они также могут обеспечить многофакторную аутентификацию, самостоятельно или через интеграцию с MFA-инструментами, и организовать доверенный интерактивный сеанс удаленного доступа, не раскрывая учетные данные пользователю. Такие системы позволяют организовать безопасное использование учетных данных машин, сервисов и приложений, ограничивая к ним доступ, когда они не используются. При контроле исполнения команд PAM способны ограничить выполнение определенных команд.

Именно PAM-системы помогают внедрить в компаниях управление доступом по принципу Just in Time и Least Privilege — предоставление пользователям минимально необходимых привилегий для доступа к конкретному ресурсу с конкретной целью в определенное время.

Функционал PAM-систем

Рынок PAM динамично развивается, меняются вызовы и запросы, а вместе с ними и требования к продукту. Лучше всего эти требования сформулированы в отчетах Gartner. В этом году обязательные требования расширились по сравнению с предыдущими годами. Если в прошлом году PAM-системы в обязательном порядке должны были централизованно управлять и организовывать привилегированный доступ, предоставлять его на временной основе, а также хранить и управлять учетными данными, то в этом году обязательный функционал выглядит следующим образом:

• централизованное управление и обеспечение привилегированного доступа путем контроля доступа к привилегированным учетным записям и правам или исполнения привилегированных команд (или и того, и другого);
• управление и предоставление привилегированного доступа авторизованным пользователям (например, системным администраторам, операторам и сотрудникам службы поддержки) и авторизованным машинам (например, системам, приложениям, рабочим нагрузкам и т. д.) на временной основе;
• обнаружение учетных записей и постановка на учет привилегированных учетных записей многочисленных систем, приложений и облачных сред;
• хранение, ротация и управление привилегированными учетными записями;
• управление, мониторинг, запись и аудит привилегированных сеансов, включая удаленные сеансы привилегированного доступа;
• администрирование на основе ролевой модели, включая централизованное управление политиками, которые контролируют доступ к учетным данным и привилегированным действиям, когда это возможно;
• управление привилегиями на основе принципа Just in Time, что предполагает сокращение времени, на которое пользователю предоставляется привилегированный доступ, и объем разрешений.
• Помимо обязательного функционала, без которого решение не сможет попасть в квадрант Gartner, аналитики определяют общий функционал, который часто присутствует в решениях лидеров рынка:
• управляемое повышение привилегий на основе агентов для команд, выполняемых в операционных системах Windows, UNIX/Linux или macOS;
• управление секретами для процессов автоматизации, включая приложения, службы, контейнеры, скрипты, виртуальные машины;
• управление жизненным циклом привилегированных учетных записей пользователей и машин;
• управление правами доступа в облачной инфраструктуре (CIEM);
• управление идентификацией, включая возможности федерализации доступа и авторизации, при удаленном привилегированном доступе сторонних ИТ-специалистов, которым требуется технологический доступ: вендоров, провайдеров услуг и др.;
• автоматизация многошаговых, повторяющихся и рутинных задач, связанных с привилегированными операциями, которые организуются и/или выполняются в различных системах, с проверкой на соответствие политикам и настройкам;
• обеспечение нулевых постоянных привилегий (ZSP, zero standing privileges), когда привилегии повышаются не путем предоставления пользователям доступа к уже существующей привилегированной учетной записи или роли в режиме Just in Time, а создаются новые временные роли и разрешения, которые удаляются после сеанса;
• анализ шаблонов привилегий, неправильных конфигураций, поведения в сеансах доступа и аномалий для обнаружения угроз, связанных с привилегированным доступом, и реагирования на них.

Магический квадрант

Ситуация в магическом квадранте практически не изменилась по сравнению с прошлым годом. Прошлогодние игроки сохранили свои позиции за исключением Broadcom, к ним добавились компании, к которым Gartner в прошлом году рекомендовал присмотреться: Saviynt, Segura (прежнее название Senhasegura), Keeper Security и StrongDM.

𝓲

Фото: Gartner

Чтобы попасть в магический квадрант, решения должны удовлетворять строгим критериям, куда входят требования к функционалу, маркетинговой политике, объему и географии продаж, документации, позиционированию и наличию интеллектуальной собственности на продукт. Решения должны обладать обязательными и стандартными возможностями PAM. Особое внимание Gartner уделяет хранению, ротации и управлению привилегированными учетными записями, что предполагает не только наличие защищенного и высокодоступного хранилища для паролей и секретов, их автоматическую рандомизацию и ротацию, а также подстановку в сеансах привилегированного доступа, включая сеансы по протоколам RDP и SSH. В дополнение к этому Gartner требует наличия пользовательского интерфейса для запроса и согласования доступа и для просмотра учетных данных в незашифрованном виде.

Кроме того, компании должны соответствовать критериям эффективности бизнеса: быть в топ-15 по индексу интереса клиентов, который рассчитывается на основе интереса клиентов Gartner, работе вендора с клиентами, отношения клиентов к вендору. Для этого аналитики используют число запросов заказчиков на одного вендора, анализ веб-трафика, анализ социальных сетей, информацию в Gartner Peer Insights. Международный конгресс по anti-age и эстетической медицине — ENTERESTET 2026

В каждом отчете эксперты называют вендоров, в которым стоит присмотреться. Как правило, решения таких производителей не соответствуют всем критериям, но у них есть сильные стороны, и компании могут найти в них решение своих задач. Например, Broadcom, Devolutions, Fortinet, SSH, Sectona предлагают полноценные PAM-решения, но не попали в квадрант из-за несоответствия бизнес-критериям.

Решения HashiCorp, Microsoft, Okta, Teleport, Xage Security не соответствуют требованиям к функционалу, при этом Teleport уже традиционно упоминают как решение, которое хорошо справляется с управлением доступом в облачных и мультиоблачных средах, Xage Security отмечают за сценарии доступа Just in Time и управления доступом к киберфизическим системам.

Ситуация в области управления привилегированным доступом

Чтобы заложить основу для успешного использования PAM, компаниям рекомендуется начинать инвестиции в PAM с инвестиций в основные возможности: обнаружение привилегированных учетных записей, управление учетными данными, управление/запись сеансов и интеграция MFA. Кроме того, эксперты Gartner советуют четко определить варианты использования, требования к настройке и масштабируемости, чтобы подобрать правильное решение, будь то PASM, PEDM, RPAM или PAM для машин, с возможностями расширениями при повышения зрелости PAM.

В этом году все больше вендоров предлагают SaaS-вариант развертывания PAM. У компаний все чаще возникает необходимость в безопасном доступе к частным и публичным облачным инфраструктурам, на что вендоры отвечают появлением новых возможностей: появляются CIEM-инструменты в вендорском портфеле, при этом часть вендоров пошли по пути приобретения компаний, предлагающих CIEM.

Бесконтрольное использование машинных учетных записей несет огромный риск из-за широких привилегий, которыми они обладают. PAM-системы могут управлять учетными данными унаследованных сервисных учетных записей и ротировать секреты. Они могут также держать их в хранилище. Однако, такие хранилища не в полной мере подходят для управления секретами, для этих целей нужны специфические инструменты, и некоторые вендоры предлагают отдельные решения для этих целей. Аналитики Gartner в отчете этого года сформулировали возможности, которыми должен обладать «PAM для машин»:

• управление идентификацией и секретами рабочей нагрузки, что включает в себя:
  • менеджер секретов с безопасным и зашифрованным хранилищем, поддерживающий различные типы методов аутентификации для машин;
  • возможности программируемой выдачи, хранения, извлечения, ротации и управления секретами (такими как ключи, пароли, учетные данные клиента OAuth и сертификаты) для рабочих нагрузок (таких как контейнеры, приложения, службы, скрипты, процессы, конвейеры DevOps и агенты ИИ);
  • наличие API, интерфейса командной строки (CLI) и SDK;
  • функционал обнаружения секретов, обеспечение прозрачности и синхронизация различных хранилищ секретов (как локальных, так и облачных);

• CIEM для анализа и управления идентификационными данными, политиками доступа и разрешениями, в первую очередь для рабочих нагрузок и машин, в гибридных и многооблачных средах IaaS и PaaS.
• непрерывный мониторинг использования машинных учетных данных;
• управление жизненным циклом сертификатов и ключами SSH.

Эти возможности могут быть реализованы посредством автономных инструментов или встроены в существующие инструменты из портфеля поставщиков PAM, которые могут быть доступны в виде программного обеспечения или SaaS.

В этом году аналитики Gartner отмечают начало использования технологии обработки естественного языка при работе с данным и ключевыми функциями PAM, например, при доступе к технической документации, аудите, работе с отчетами и автоматизированном анализе записей сеансов доступа. Кроме того, вендоры PAM расширяют возможности обнаружения угроз: добавляют выявление подозрительного поведения в реальном времени, например, и применение ИИ-агентов для обучения и обоснования корректирующих действий. Эти возможности, а также привилегированный доступ для ИИ-агентов находятся на начальной стадии, но, по мнению аналитиков, станут основными преимуществами в ближайшие годы.

Эксперты также обращают внимание заказчиков PAM на особенности ценообразования и условия договора при выборе вендора. Gartner акцентирует внимание на том, что вендоры часто предоставляют скидки, которые не действуют при продлении контракта, что вынуждает организации значительно увеличивать затраты на дальнейшее использование решения. Кроме того, поставщики, как правило, периодически обновляют свои модели ценообразования и в некоторых случаях вынуждают организации продлевать подписки по менее выгодной цене по сравнению с предыдущим контрактом. Эксперты рекомендуют закладывать в первоначальном контракте возможность согласования максимального увеличения стоимости при окончании срока действия текущего контракта.

Обзор рынка

Развитие технологий на рынке PAM, по мнению аналитиков, происходит эволюционным способом. Базовая технология PAM — управление сеансами и учетными записями, повышение привилегий и управление удаленным доступом — достигла зрелости, и на рынке сформировалось понимание, какими возможностями должен обладать PAM и как его можно использовать. Рынок стал высококонкурентным, как следствие, многие вендоры перепозиционируют себя как поставщиков IAM-платформ и добавляют смежный функционал, который традиционно относится к IAM.

Развитие решений продиктовано миграцией в облако, размытием периметра безопасности, автоматизацией разработки и острой необходимостью обнаружения и реагирования на угрозы, связанные с привилегированным доступом. Как результат, ряд заказчиков больше интересуется управлением удаленным доступом, секретами и использованием PAM для управления машинными учетными записями. Другие заказчики интересуются применением PAM для DevOps и контроля доступа к облачной инфраструктуре.

Драйверами рынка, как и в прошлом году, эксперты называют информационную безопасность, требования регуляторов, аудит и требования страхования рисков ИБ. Основными пользователями PAM в этом году являются компании из финансового сектора, страхования, а также телеком, СМИ и сфера услуг, что связано с высокими требованиями регуляторов в этих отраслях.

Аналитики Gartner обращают внимание на то что внедрение PAM — это долгий процесс. Проверка концепции и другие переговоры с поставщиком могут длиться несколько месяцев. Первоначальное внедрение инструмента PAM может занять до двух месяцев, а внедрение базовых элементов управления, особенно PASM для использования с привилегированными учетными записями пользователей, — до трех месяцев, в зависимости от сложности среды. После завершения этих шагов эксперты советуют оценить сроки для каждого варианта использования или функциональной группы, пока весь доступ к PAM не будет управляться инструментом.