Także w zakresie kontroli sesji - zarówno funkcjonalności, jak i podejście - mogą być różne. Możemy spotkać się z rozwiązaniami, które działają na zasadzie stacji przesiadkowych. To oznacza, że najpierw musimy połączyć się z narzędziem, i to z jego poziomu (na podstawie zdefiniowanej polityki) zostanie zestawiona sesja zdalna do przypisanych nam systemów. Należy więc w pierwszej kolejności upewnić się, że system obsługuje typy sesji zdalnych, na których nam zależy (np. SSH - w tym X-Forwarding, RDP, ICA, VmWare). Jeżeli do nawiązania połączenia system używa własnego klienta, możliwe, że ma on swoje ograniczenia, np. brak możliwości zmiany wielkości/rozdzielczości okna (szczególnie uciążliwe w przypadku deweloperów lub projektantów). Kontrola sesji może być mniej lub bardziej granularna. Na przykład w przypadku SSH jesteśmy w stanie zablokować możliwość przesyłania pliku po SCP lub wyłączyć możliwość X-Forwarding.

Występują także rozwiązania, które działają transparentnie. To znaczy, są wpinane inline (w warstwie 2) lub działają jako router (warstwa 3), i terminują tylko ruch związany z sesjami administracyjnymi, przepuszczając pozostały. W takiej sytuacji użytkownik łączy się de facto do rozwiązania, które terminuje ruch od klienta i nawiązuje w jego imieniu połączenie do serwera docelowego, ale dla użytkownika takie działanie jest przezroczyste. Takie podejście również ma swoje zalety i wady. Na plus należy zaliczyć brak ograniczeń związanych z wbudowanymi w "stację przesiadkową" klientami, czy wymuszanie w połączeniach określonych wersji protokołów. Jako minus możemy zapisać chociażby konieczność wprowadzenia modyfikacji w architekturze sieci.

Kilka spostrzeżeń na koniec

Z naszych obserwacji wynika, że zainteresowanie rozwiązaniami PIM wypływa z dwóch głównych potrzeb. Po pierwsze, spełniania zaleceń audytorów i wymagań określanych w rozmaitych regulacjach. Po drugie - wprowadzania kontroli i rozliczania pracowników zewnętrznych lub zdalnych. Ponadto, coraz częściej zauważamy, że źródłem zainteresowania jest chęć kontrolowania pracowników wewnętrznych (administratorów), wzmacniana wynikami różnych badań przestrzegających przed wewnętrznymi zagrożeniami (insider threats). Zdarza się jednak, że zainteresowanie wynika z chęci realizowania celów krótkoterminowych, np. przejścia kolejnego audytu czy monitorowania pracowników firmy "X". Nie jest to właściwe podejście podczas procesu wyboru narzędzia.

Przede wszystkim warto odpowiedzieć sobie na pytanie, czy PIM rozwiąże nasze bolączki? Być może na początek wystarczy przemodelować procesy, a dopiero potem uzupełnić je narzędziem, które je dopełni. Warto także spojrzeć od strony technicznej i upewnić się, że produkt jest w stanie objąć całe nasze środowisko (wsparcie platform *nix, Windows), daje się zintegrować z posiadanymi już rozwiązaniami - w szczególności systemem IDM, ale też SIEM i Service Desk. Sprawdźmy też, czy i w jaki sposób narzędzie wspiera proces wnioskowania (na ile jest rozbudowany i definiowalny, czy może podpięty pod nasze narzędzia?).

Rzeczy do sprawdzenia jest znacznie więcej, ale celem tego artykułu jest jedynie zasygnalizowanie - tych najistotniejszych. Zamiast podsumowania, możemy doradzić to, co jest być może truizmem, ale w przypadku PIM/PSM ma szczególne znaczenie. Nie dajmy się oczarować wizjom producentów. Zróbmy to, czego żaden dostawca nie zrobi za nas, a więc właściwe zdefiniujmy problemy i poukładajmy je według priorytetów. Wtedy okaże się, czy potrzebujemy rozwiązania all-in-one, czy chcemy mieć coś, co jest wyspecjalizowane w jakimś zakresie, ale lepiej wpasowuje się w posiadaną infrastrukturę. Potem pozostanie już to, co zwykle - testy, testy i testy. To one wykażą, czy to, co jest na rynku, spełnia nasze oczekiwania.