Thycotic Secret Server

Kolejny produkt, Thycotic Secret Server jest rozwiązaniem umożliwiającym zaawansowane zarządzanie uprzywilejowanymi hasłami i dostępem do systemów. Jego producentem jest firma Thycotic, która dostarcza na rynek wysokiej klasy rozwiązania z zakresu bezpieczeństwa IT nowej generacji.

Thycotic Secret Server przechowuje nazwy użytkowników i hasła do systemów IT (urządzeń sieciowych, baz danych, systemów operacyjnych, aplikacji www) w zaszyfrowanej bazie. Użytkownik, chcąc zalogować się wybranymi poświadczeniami do odpowiedniego systemu musi potwierdzić swoją tożsamość logując się do Thycotica, który dopiero wtedy zezwala na wykorzystanie zapisanych zasobów. Rozwiązanie zabezpiecza, automatyzuje i kontroluje wykorzystanie kont uprzywilejowanych i haseł, aby realizować restrykcyjną politykę dostępu do zasobów oraz zapewnić ochronę przed zagrożeniami związanymi z nadużywaniem wysokich uprawnień przez użytkowników.

Thycotic Secret Server jest jednocześnie opartym na bazie SQL prostym w instalacji oraz obsłudze narzędziem do zarządzania hasłami w przedsiębiorstwie. Oparty jest na interfejsie webowym, a konstrukcja panelu zarządzania jest na tyle prosta, że nikt nie powinien mieć problemu z wykorzystaniem tego narzędzia. Jego centralny, główny element stanowi Sercret Server, którego podpina się do systemów, aplikacji oraz kont urządzeń. Użytkownicy logują się za pomocą przeglądarki do aplikacji, gdzie mają spersonalizowany dostęp do zasobów podzielonych przez administratora na kategorie. Dopiero wówczas wybierając odpowiedni zasób Thycotic Secret Server zestawia połączenie do zdalnego zasobu z poświadczeniami, jakie ma u siebie zapisane.

Poziom bezpieczeństwa można zwiększyć poprzez dodatkowe potwierdzenie dostępu do wrażliwych zasobów. Na wybranych zapisanych w systemie hasłach można włączyć opcję dodatkowego zapytania o dostęp, trafiającego do wskazanej wcześniej osoby, która może zezwolić na dostęp lub go odrzucić, a także przed podjęciem decyzji zapytać o przyczynę dostępu do danych logowania i zasobu zdalnego. W przypadku akceptacji istnieje również możliwość określenia czasu, na jaki zostaje takie zezwolenie udzielone.

Dodatkowo zaawansowany system raportowania i audytu dostarcza informacji, kto i do jakich dostępów się logował oraz kto zezwolił na ten dostęp lub z jakiego powodu żądanie wykorzystania danych logowania zostało odrzucone.

Thycotic wspiera również automatyczną zmianę haseł do wspieranych systemów. Według ustalonej polityki i harmonogramu samodzielnie, bez wykorzystania agentów potrafi zmienić hasło dla wskazanego serwisu, po czym zapisać je u siebie w bazie do wykorzystania dla użytkowników. Automatyczna zmiana haseł jest możliwa w systemach operacyjnych (np. UNIX/Linux, Mac) bazach danych (MS SQL Server, Oracle), a także urządzeniach sieciowych (np.: Cisco, Juniper).

Oczywiście dane przechowywane w bazie w celu zwiększenia bezpieczeństwa są szyfrowane za pomocą mechanizmu AES, a sama aplikacja wspiera również rozwiązania disaster recovery i HA poprzez możliwość wykonywania backupu i włączenia mirroringu na bazie SQL.

Na rynku dostępnych jest pięć edycji oprogramowania Thycotic Secret Server, z czego cztery obejmują instalację lokalną na serwerze wewnątrz infrastruktury, a ostatnia opcja, „Online” dostępna jest jako edycja w chmurze.

Najtańsza wersja „Express” ograniczona jest do 1000 haseł oraz 100 użytkowników oraz posiada najmniej funkcji. Brak w niej między innymi możliwości ustawienia restrykcji na adresy IP, wykonywania zaplanowanych raportów oraz wsparcia dla podwójnego uwierzytelnienia. Natomiast najbardziej wyposażona wersja „Enterprise Plus” jako jedyna wspiera Clustering HA. Natomiast wersja „Online” z uwagi na działanie w chmurze również pozbawiona jest opcji, które możliwe do uruchomienia są jedynie wewnątrz infrastruktury firmowej. Mówimy tu choćby o zarządzaniu kontami serwisowymi do urządzeń i systemów lokalnych.

Hasła w chmurze - LastPass Enterprise

Kolejnym narzędziem służącym do zarządzania hasłami jest LastPass. Aplikacja opiera się na usłudze Software as a Service (SaaS), a jej obsługa możliwa jest za pomocą panelu webowego. Dodatkowo, aby ułatwić pracę z aplikacją LastPass oraz zapewnić dodatkowe funkcje (np.: możliwość importu haseł), producent udostępnia dodatki do najpopularniejszych przeglądarek.

LastPass oprócz standardowej funkcji przechowywania haseł wspiera technologię SSO, dzięki czemu za pomocą pojedynczego loginu i hasła możliwe automatyczne logowanie do wielu serwisów, ze szczególnym naciskiem na serwisy internetowe.

Administratorzy LastPass w prosty sposób mogą nadawać uprawnienia i zakres dostępu do zasobów aplikacji. Jednocześnie na bieżąco mogą odbierać zgłoszenia od użytkowników z żądaniami dostępu i uzasadnieniem potrzeby uzyskania dostępu do danych logowania.

Dla zachowania bezpieczeństwa wszystkie hasła przetwarzane przez serwis LastPass są szyfrowane i mimo, iż usługa dotyczy przetwarzania w chmurze, producent zapewnia bezpieczeństwo danych na najwyższym poziomie. Co więcej, baza danych jest szyfrowana na poziomie użytkownika, co oznacza, że tylko użytkownik znający hasło może się do niej dostać, więc jest bezużyteczna również dla pracowników LastPass.

Wspierana jest między innymi podwójna weryfikacja dostępu do zasobów aplikacji LastPass przez wykorzystanie dodatkowej metody weryfikacji tożsamości. Przykładowo logowanie może być zintegrowane z czytnikami linii papilarnych lub dodatkowo mogą być wysyłane kody odstępu na wskazany telefon użytkownika w celu potwierdzenia tożsamości.

Dla ułatwienia pracy z LastPass możliwe jest automatyczne uzupełnianie formularzy haseł składowanych w aplikacji. Pozwala to użytkownikom na pominięcie procesu kopiowania lub ręcznego wpisywania haseł, co znacznie przyspiesza proces logowania.

Dzięki architekturze aplikacji i pracy w modelu SaaS możliwa jest współpraca i synchronizacja danych na wielu urządzeniach. Oprócz najbardziej popularnych systemów operacyjnych LastPass oferuje możliwość korzystania z aplikacji również na urządzeniach mobilnych pracujących pod kontrolą większości systemów mobilnych. Dzięki temu możliwe jest korzystanie z aplikacji w dowolnym miejscu, w każdym czasie.

Wykorzystując aplikację w firmie istnieje możliwość współdzielenia danych do logowania, co jest ważne w przypadku, gdy dostęp do haseł ma mieć większa liczba uprawnionych pracowników.

Logowanie do aplikacji standardowo odbywa się za pomocą kont utworzonych w serwisie, ale mimo tego, że LastPass działa w modelu cloud producent umożliwił integrację z Active Directory.

LastPass z pewnością jest usługą skierowaną dla użytkowników, którzy wykorzystują hasła logując się głównie do serwisów webowych i niejednokrotnie do ich obsługi i aktualizacji wykorzystują urządzenia mobilne, ale z powodzeniem można zarządzać również hasłami lokalnymi i personalnymi użytkowników firmowych.