fsafer.comdatadike.commdm.datadike.com

NG PAM

Privileged Access Management - FSafer (Fortress Safer, Fortaleza Segura)

O NG PAM da DataDike é o FSafer (Fortress Safer, Fortaleza Segura), uma appliance Next Generation Privileged Access Managment criada pela DataDike, empresa especializada em produtos de cibersegurança que fornece às equipes de DevOps, TI, negócios e operaçāo acesso sob demanda e segura a pontos de extremidade SSH, RDP, Kubernetes, Aplicativos Remotos, Banco de Dados, VNC e Telnet por meio de um navegador da Web ou direto pelos aplicativos proprietários.

Descubra, gerencie, proteja e audite contas e sessões. Proteção de Endpoint & Dispositivos. Acesso Just In Time, gestão e elevação de privilégios sob demanda.

  • Acesso seguro e contínuo para todas as identidades

  • Controles de privilégios inteligentes

  • Automação e orquestração de identidade flexível

  • Siga essa documentaçāo para aplicar controles de privilégios inteligentes em todo o ciclo de vida da identidade.

Como o PAM FSafer funciona

Ao dominar os conceitos que sustentam o FSafer, sua empresa desbloqueia uma gestão mais eficiente, segura e auditável dos acessos privilegiados. É a base para reduzir riscos e fortalecer a postura de segurança da sua infraestrutura crítica.

  • Privileged Access Management (PAM): Garante que contas privilegiadas sejam protegidas e que seu acesso sejam controlados e monitorados.

  • Role-Based Access Control (RBAC): Permissões com base em funções para minimizar o acesso não autorizado.

  • Session Monitoring and Recording: Rastreamento e gravação em tempo real de sessões privilegiadas para garantir a responsabilização.

  • Command Block: Funçāo para bloquear comandos inseguros e periogosos.

  • Access Request (Just-in-Time - JIT): concede temporariamente acesso privilegiado, que é revogado automaticamente após um certo período.

Governança de acessos

Com imutabilidade dos LOGs e Gravações, o FSafer é o unico PAM Next Generation que garante uma completa gestāo do acesso privilegiado, inclusive controlando comandos, fluxos de acessos e transferencia de arquivos.

  1. Login: os usuários se autenticam por meio de autenticação multifator para acessar o FSafer.

  2. Solicitação de acesso: Os usuários recebem previamente ou solicitam acesso a recursos específicos com base em seus papéis e permissões.

  3. Aprovação: As solicitações são revisadas e aprovadas pelo funcionário autorizado se forem necessárias permissões elevadas.

  4. Recuperação de credenciais: Os usuários aprovados recuperam com segurança as credenciais.

  5. Sessão em gateway: As sessões de usuário são mediadas pelo gateway para garantir o acesso e o monitoramento seguros.

  6. Monitoramento de atividades: todas as atividades são monitoradas e registradas para fins de auditoria.

  7. Logout: Os usuários fazem logout e todas as permissões temporárias concedidas durante a sessão são revogadas.

  8. Auditoria e relatórios: Os administradores podem revisar gravações de sessão, logs de alterações, arquivos transferidos, comandos digitados e relatórios de atividade do usuário para garantir conformidade e segurança.

Visão geral dos módulos e componentes

Todas as licenças, contemplam todas as funções listadas nesse tópico.

O PAM FSafer é conhecido pela sua robustez e arquitetura voltada para ambientes com infraestrutura criticas com Zero Down Time de indisponibilidade. Os componentes da suíte inclui:

Gerenciamento de contas e sessões privilegiadas

  • Repositório seguro para armazenar e gerenciar credenciais.

  • Monitoramento das sessões de usuários em sistemas confidenciais.

  • Acesso monitorado a bancos de dados, garantindo atividades seguras de DBA.

Privilege elevation and delegation management - Gerenciamento de elevação e delegação de privilégios

  • Integração com o Active Directory para o gerenciamento de acesso unificado.

Hibrido

  • Gerencia acessos da infraestrutura em nuvem com governança e segurança.

  • Governança e gerenciamento seguro de identidade e acesso em ambientes de nuvem.

  • Governança e gerenciamento seguro de identidade e acesso em ambientes On-Premisses.

Detalhamento:

Todas as funções sāo fornecidas prontas, sem dependência de ferramentas de terceiros ou adaptações;

Armazenamento seguro e controle de credenciais não pessoais e privilegiadas em servidores Linux/Unix, Windows (incluindo contas de serviço como COM+ e IIS), sistemas, aplicações web, bancos de dados, estações de trabalho e dispositivos de rede.

Autenticação transparente no sistema-alvo ou dispositivo de rede: a solução inicia uma sessão injetando diretamente as credenciais na tela de login servindo como um proxy para a sessão entre o usuário e o sistema-alvo, de forma que a senha não seja exposta ao solicitante do acesso;

Eliminação de credenciais inseridas em códigos-fonte, scripts e arquivos de configuração, fazendo com que as senhas passem a ser gerenciadas pela solução e invisíveis aos desenvolvedores e equipe de suporte de TI;

Os usuários geridos pelo FSafer podem estar conectados simultaneamente;

Criptografia

Impedimento da abertura do cofre com chaves criptográficas.

Utilização de criptografia do banco de dados para armazenar as senhas das credenciais gerenciadas, compatível com pelo menos um dos seguintes métodos e padrões de criptografia: i) AES com chaves de 256 bits; ii) FIPS 140-2; iii) Encriptação PKCS#11 ou superior por hardware utilizando dispositivos de HSM ou placa criptográfica da IBM em Power.

Capacidade de utilização do algoritmo SHA-256, ou variações superiores da família SHA2, para geração de hash;

Trafego de dados sensíveis em texto claro;

Mecanismos de criptografia para informações sensíveis armazenadas em banco de dados compatível com o padrão AES com chaves de 256 bits;

Protocolo HTTPS na interface para o acesso via navegador web;

Backup

Consulte esse documento para instruçōes de como implementar ou modificar rotinas de backup.

Aqui nesse documento descrevemos as especificações técnicas

Capacidade em:

Abertura do backup com chave criptografada para que, em caso de desastre, seja possível a recuperação de credenciais estratégicas sem a necessidade da restauração do ambiente de PAM;

Possibilita o processo de recuperação da chave de criptografia do backup, a configuração de usuários administradores responsáveis por partes desta chave. Assim, durante a recuperação de desastre, será necessário ter um número predefinido de administradores presentes para se fazer a recuperação da chave.

Pam com capacidade para que a chave do cofre não esteja em posse de uma única pessoa.

Gerenciar todo o ambiente sem a necessidade de instalação de agentes ou qualquer software nos sistemas-alvos ou dispositivos de rede;

Gerar vídeos ou logs de textos das sessões realizadas armazenando em repositório seguro, criptografado e protegido contra qualquer alteração que comprometa a integridade dessas evidências;

Backup e o restore de todos os dados e configurações da solução permitindo exportá-los para um servidor remoto via rsync ou então através de compartilhamentos de rede CIFS/NFS;

Manter a persistência de todos os relatórios e arquivos históricos sem necessidade de restauração de backup, ao menos 360 (trezentos e sessenta) dias;

Retenção em backup de relatórios e logs por ao menos 10 (dez) anos;

Retenção em backup das gravações de sessão por ao menos 10 (dez) anos;

Impedimento de informação de conta e/ou senha em texto claro no arquivo de backup;

Extracao de backups do sistema, logs e vídeos além das credenciais para um servidor localizado em Data Centers remotos caso seja necessário para restaurar todas as configurações e os dados da solução de cofre de senhas;

Gravaçōes

Armazenamento das gravaçōes

Nāo há limitaçāo quanto ao periodo de retençāo das gravações, as possibilidades de retençāo sāo:

  • S3

  • Ceph

  • Swift

  • OSS

  • Azure

  • OBS

  • COS

  • SFTP

Acessos

Restriçōes de acesso

Tecnologia de restrição que inclui endereço IP do host ou conjunto de hosts de onde os acessos podem originar;

Padrões de controles de acesso

Compatibilidade com os seguintespadroes paracontrole das credenciais privilegiadas:

  • ISO 27001

  • SOC2 Type2 (em SaaS),

  • MITRE CNA,

  • LGPD

  • SSDLC

As permissōes para acesso podem ser definidas liberando para usuários ou grupos independente da origem do login (LDAP, OKTA, RADIUS, ...):

  • Any time

  • Com restriçāo de horário

  • Com restriçāo de IPs confiaveis

  • Com aprovador do acesso

Controle dos acessos

Permite finalizar, assistir ou pausar todas as sessões em curso, bloquear o acesso a dispositivos prédefinidos ou bloquear todo o acesso à mesma durante um período estabelecido.

Comandos

Bloqueio de comandos

Possibilita o bloqueio de comandos específicos.

Controle de comandos com alertas, interrupção de sessão ou apenas o registro de execução (baseado em blacklist ou whitelist);

Capacidade em limitar a execução de comandos críticos pelos usuários cadastrados;

Busca por comandos específicos executados pelo usuário através de linha de comando, reports ou logs ou sessões gravadas;

Bloqueio e auditoria de comandos específicos, com possibilidade de uso de expressões regulares (regex);

Configuração de alertas imediatos quando realizados determinados comandos por usuários privilegiado;

Busca por comandos específicos executados pelo usuário através de linha de comando em logs ou sessões gravadas;

Alertas imediatos quando realizados determinados comandos por usuários privilegiados;

Permiçāo para parametrização de políticas de segurança e força de senha pelo administrador do sistema, dentre as quais:

Conjunto de caracteres alfanuméricos, numéricos e caracteres especiais, podendo ser escolhidos também quais caracteres especiais serão permitidos, com possibilidade de não possibilitar caracteres repetidos, gerando senhas aleatórias;

Gerencia de chaves SSH importando ou criando novas chaves;

Troca automática das senhas, em horário programado, após terem sido liberadas para uso ou por vencimento de prazo;

Consolidação periódica de senhas para identificar senhas que foram alterados em sistema gerenciados;

Interface com visão personalizada e restrita para auditores, contendo os dispositivos e credenciais gerenciadas pela solução;

Área de transferência segura, de forma que o solicitante possa visualizar a senha ou copiá-la para a tela de login do sistema-alvo;

Permitie a liberação ou revogação de todos os acessos de uma determinada credencial de maneira automatizada e imediata;

Notificaçāo via e-mail ou SMS, novas solicitações de aprovação de acesso aos respectivos responsáveis pelas credenciais;

Monitoramento em tempo real do uso das contas e desligamento da sessão; Discovery realizando a busca de novos servidores, elementos de rede e bancos de dados, sendo capaz de levantar automaticamente as contas criadas nesses novos dispositivos.

Criação de políticas de senhas de forma hierárquica ou em níveis de segurança, possibilitando a criação de senhas diferenciadas para grupos de ativos de diferentes plataformas ou criticidades;

Políticas de senha que impeçam a visualização simultânea de credenciais, sessões, bem como também configura o tempo de expiração das senhas baseadas por visualização e data de expiração. Também deve é possível escolher dias específicos da semana e horários que as credenciais poderão expirar;

Capacidade de gerenciar credenciais que estejam em sistemas localizados em múltiplas localidades geográficas ou domínios distintos;

Capacidade de realizar a reconciliação das credenciais de forma automática, isto é, a solução percebe que perdeu a gerência da senha e executar a troca usandoo utra credencial para retomar o controle sobre elaNão depende da instalação de agentes para realizar a troca de senhas;

Rotação de senhas

Troca automatica das senhas em servidores (Unix, Linux, Windows), bancos de dados (MS SQL, ORACLE, MYSQL, PostgreSQL, MongoDB), aplicações web, dispositivos de rede e mainframe;

Permiçāo para execução de trocas de senhas, onde o administrador configura a comunicação com aplicações e sistemas terceiros utilizando protocolos variados incluindo, no mínimo, RPC,WinRM, SSH, API REST HTTP/HTTPS;

Rotinas de execução de trocas de senha personalizáveis, da forma que um administrador possa alterar comandos a serem executados para que não seja necessário que se aguarde por uma nova atualização por parte do fabricante caso haja alguma alteração no sistema alvo;

Requisitos para as senhas geradas automaticamente pela solução

  • Capacidade em determinar a quantidade de caracteres;

  • Composta por números, letras maiúsculas, letras minúsculas e por caracteres especiais;

  • Pré-definiçāo de quais caracteres especiais poderão ser utilizados;

  • Senhas aleatórias de modo que dentro do histórico de uma conta seja improvável encontrar duas senhas iguais;

  • Não sāo baseadas em palavra de dicionário;

  • Permitiçāo para geração automática de senhas de força e complexidade de acordo com as regras de cada tecnologia e política de segurança;

  • Flexibilidade para configuração de força de senha gerada;

  • Troca automática das senhas, em horário programado, após terem sido liberadas para uso ou por vencimento de prazo;

  • Gerenciamento de senhas privilegiadas em aplicações e integração com sistemas legado;

  • Registro das trocas executadas;

  • Relatórios de acompanhamento de trocas e de erros de trocas;

  • Templates de troca de senha de forma que possam ser abertos, editáveis e auditáveis;

Banco de Dados do PAM FSafer

Banco de dados integrando a solução, interno a appliance.

Banco de dados com as melhores práticas de segurança, em ambiente hardenizado, com mecanismo de blindagem e criptografia do sistema operacional e documentação que comprove a contemplação destes requisitos.

Permite o backup e o recovery de seu banco de dados, bem como das configurações de software estabelecidas, com as seguintes capacidades.

Controle de acesso ao PAM

Capacidade em prover acesso externo sem a necessidade de instalação de agente ou utilização de VPN;

Permitiçāo de controle da execução de comandos críticos por Denylist;

Início e condução de sessões dentro do próprio navegador, dispensando se desejado o uso de clientes externos como o mstsc.exe e o putty.exe;

Tempo de expiração de sessão por ociosidade configurável pelo administrador do sistema (document);

Suporte a desconexão da sessão por atividade/uso indevido de comandos pré-cadastrados no sistema (document);

Permiçāo para criar ou importar do AD grupos de usuários;

Concessão de acesso ao PAM

Permiçāo de acesso simultâneo às contas privilegiadas por dois ou mais usuários;

Possibilitar a concessão de acesso a credenciais diferentes para usuários diferentes, mesmo que sejam usadas para acessar o mesmo dispositivo;

Funcionalidade para revogar todas as sessões remotas de um usuário cadastrado de maneira imediata;

Acessos simultâneos a credenciais, senhas e dispositivos sem comprometer rastreabilidade.

Integração e compatibilidade

Possibilidade da criação de novos conectores baseado em acessos SSH, SFTP, TELNET, VNC, RDP suportando novas interfaces e portas para autenticação de ativos;

Suporte de acesso via navegadores Mozilla Firefox, Google Chrome e Microsoft Edge, Opera e Safari;

Gerenciamento e monitoramento de contas de acesso a consoles de provedores de serviço de Cloud (Microsoft Azure, AWS, GCP);

Compatibilidade com:

Sistemas operacionais suportados:

Windows Server

  • Windows Server 2003 (2003)

  • Windows Server 2003 R2 (2005)

  • Windows Server 2008 (2008)

  • Windows Server 2008 R2 (2009)

  • Windows Server 2012 (2012)

  • Windows Server 2012 R2 (2013)

  • Windows Server 2016 (2016)

  • Windows Server 2019 (2018)

  • Windows Server 2022 (2021)

  • Windows Server 2025

Windows para desktops

  • Windows XP (2001)

  • Windows Vista (2007)

  • Windows 7 (2009)

  • Windows 8 (2012)

  • Windows 8.1 (2013)

  • Windows 10 (2015)

  • Windows 11 (2021)

A2A - Application to Application

API (application programming interface) que permitir que aplicações clientes possam:

Cadastros

Existe possibilidade de cadastro que podem ser combinadas entre si, sendo:

  • Cadastro manual;

  • Cadastro em lote via planilha;

  • Discovery/scan de dispositivos;

  • Sincronismo com redes publicas;

  • Sincronismo com redes privadas;

  • Possibilidade de associar tags aos dispositivos, para que a segregação de acesso e a geração de relatórios possa ser melhor organizada.

Consulte esse documento para detalhamento técnico:

AnteriorDatasheetPróximoRecursos

Atualizado

Isto foi útil?