Модуль изолированных приложений: безопасный доступ к веб-ресурсам в PAM Infrascope

Типовым способом организации доступа к веб-ресурсам в PAM-системах является HTTP(s) Proxy. В этом режиме PAM‑сервер выступает посредником между пользователем и целевой системой: перенаправляет HTTP/S‑запросы, контролирует аутентификацию, ведёт протоколирование запросов.

Такой способ надёжно защищает веб‑ресурсы, однако не позволяет понять, что конкретно пользователь делал в целевой системе. В журнале сессии PAM-сервера будут отображаться HTTP-запросы, по которым не всегда понятно, что происходило внутри целевой системы в процессе работы пользователя. Также нет возможности подключиться и посмотреть, что конкретно делает пользователь в данный момент.

Еще одним вариантом реализации может быть запуск веб-приложения в браузере в «режиме киоска» на терминальном сервере. В этом режиме доступен только интерфейс разрешённого приложения — например, браузера, без возможности выхода в остальную часть ОС. Для такого сценария возможна настройка различных авторизаций с имитацией клавиатурного ввода и подстановкой учётных записей из парольного хранилища. Однако данный вариант требует наличия терминального сервера и соответствующей настройки окружения, что не всегда возможно, и покупки дополнительных лицензий.

В PAM Infrascope доступ к web-ресурсам можно организовать несколькими разными способами включая HTTP(s) Proxy, терминальный сервер с «режимом киоска» или модуль изолированных приложений. И если первые два способа достаточно распространены, то третий в виде решения, доступного к применению «из коробки», остаётся редкостью на рынке. Расскажем подробнее, как он реализован и в чём его преимущества.

Модуль изолированных приложений представляет собой функционал по запуску приложений в docker-контейнерах с последующим доступом к ним по протоколу RDP из интерфейса Infrascope PAM. Одним из вариантов реализации является веб-браузер, который запускается в Docker-контейнере на инстансе Infrascope.

Пользователь подключается из веб-интерфейса PAM по RDP к контейнеру и видит внутри привычный браузер с нужным веб-приложением. Контейнеры создаются динамически: для каждого пользователя формируется отдельный контейнер, что гарантирует полную изоляцию сессий и исключает риски пересечения данных между пользователями. После завершения сессии контейнер автоматически останавливается и удаляется.

Система позволяет ограничить доступ к одному URL-ресурсу, заданному в параметрах устройства внутри PAM. Внутри контейнера поддерживается функция автоматической подстановки логина/пароля из парольного хранилища, что позволяет обеспечить максимальный уровень безопасности доступа (пользователь не будет знать данные учётной записи от веб-ресурса, этими данными управляет PAM). Администратор имеет возможность мониторить активные сессии, подключаться для наблюдения или передавать управление, при этом пользователю отображается уведомление о вмешательстве.

Особого внимания заслуживает логирование: в отличие от стандартного HTTP-прокси, где фиксируются только заголовки, в модуле изолированных приложений ведётся полноценная видеозапись сессии с возможностью использования Keylogger и OCR. Так же можно применять дополнительные политики и аудит к буферу обмена и файловой передаче. Это делает контроль доступа максимально прозрачным и эффективным.