О чем вы узнаете
StrongDM решает проблему расширения привилегированного доступа в средах, где традиционные средства контроля на основе сеансов просто не подходят, соответствующим стратегическому направлению развития платформы Delinea.
Когда команда Delinea оценивала StrongDM, она не искала еще один менеджер паролей или хранилище. Требовалась технология, которая могла бы расширить привилегированный доступ к средам, где традиционные средства контроля на основе сессий просто не подходят — конвейеры CI/CD, кластеры Kubernetes, кратковременная инфраструктура и все чаще автономные агенты искусственного интеллекта, которые принимают тысячи решений по доступу без вмешательства человека.
StrongDM решает эту проблему способом, соответствующим направлению развития платформы Delinea. Вот почему это приобретение важно и что оно будет означать для клиентов компании.
Проблема, которую решает Delinea
Традиционная система PAM была разработана для людей, входящих в систему. Пользователь проходит аутентификацию, устанавливает соединение и сохраняет постоянный доступ к окончанию сессии. Эта модель хорошо работает для интерактивных сценариев использования и остается основой того, как Delinea защищает привилегированный доступ сегодня.
Но современная инфраструктура не ждет людей. В 2 часа ночи, когда CI/CD-конвейер разворачивается в производственной среде, нет никого, кто мог бы утвердить доступ. Запускаемый pod Kubernetes требует немедленного ввода учетных данных, и через несколько минут он исчезнет. Искусственный интеллект, выполняющий многоэтапный рабочий процесс, может потребовать быстрого доступа к базам данных, API и облачным ресурсам, причем каждое действие требует разных разрешений.
Организации пытались решить эту проблему путем чрезмерного предоставления служебных аккаунтов, встраивания долговременных учетных данных в код или создания широких ролей IAM, нарушающих принцип минимальных привилегий. Это риски безопасности, которые маскируются под операционные необходимости.
StrongDM использует другой подход: непрерывная авторизация JIT при исполнении, оцениваемом в момент действия, а не при установке сеанса.
Чем StrongDM отличается от других
Авторизация на уровне протокола
Большинство систем контроля доступа принимают бинарное решение при подключении: может ли эта идентичность получить доступ к этому ресурсу? Если вход выполнен, пользователь или система уже внутри.
StrongDM постоянно оценивает авторизацию, вплоть до данных внутри протокола. Для подключения к базе данных это означает, что политики могут регулировать не только возможность подключения, но и доступ к конкретным таблицам, соответствие строк контекста авторизации и операции, которые можно выполнять. Оценка происходит в режиме реального времени при выполнении каждого запроса.
Эта детализация имеет огромное значение для агентного ИИ. Когда автономный агент выполняет сложный рабочий процесс, не следует предоставлять ему широкий доступ к базе данных. Каждое действие агента должно быть авторизовано независимо с учетом потребностей конкретной операции. Если агент пытается получить доступ к данным вне его авторизованного объема, запрос отклоняется немедленно.
Механизм политики StrongDM на базе Cedar делает это практичным. Cedar предоставляет язык политики, достаточно отчетливой для сложной логики авторизации и достаточно быстрой для оценки встроенных элементов без задержек. Политики определяются декларативно, контролируются версиями и подвергаются тестированию.
Создано для инженеров, а не против них
При оценке особое внимание Delinea привлек тот факт, что StrongDM был создан людьми, понимающими реальную работу инженеров.
Не нужно разворачивать тяжелые агенты. Рабочие процессы CLI, уже использующие команды DevOps, продолжают работать — StrongDM интегрируется через легкие прокси-серверы и SDK-хуки. Инженерам не нужно изучать новый рабочий процесс или ждать заявки. Они проходят аутентификацию один раз, а авторизация происходит прозрачно.
Для ИТ-администраторов управление политиками является централизованным. Политики определяются в Cedar, привязываются к идентичности и применяются последовательно независимо от доступа: человек, конвейер CI/CD или агент ИИ. Аудиторский след точно показывает, какая политика отклонила запрос и почему.
Эта простота использования необходима для внедрения. Delinea неоднократно наблюдала ситуации, когда команды обходили сложные средства безопасности из-за их медлительности. StrongDM устраняет это препятствие, делая безопасный путь самым простым.
Унифицированная видимость через граф идентичности
Решения StrongDM по авторизации будут непосредственно поступать в граф идентичности Delinea, обеспечивая централизованную видимость моделей доступа по всей системе.
Команды безопасности получат единственное представление о том, кто и что получает доступ к привилегированным ресурсам. Это позволяет получить ответы на критические вопросы:
- Какие служебные аккаунты имели доступ к производственным базам данных на этой неделе?
- Какие разрешения фактически использовал агент ИИ по сравнению с предоставленными?
- Какие конвейеры CI/CD имеют доступ к секретам, которые они никогда не спрашивали?
Граф идентичности предоставляет командам безопасности и комплаенса необходимую информацию для выявления чрезмерного доступа и потенциальных угроз.
Как это соответствует платформе Delinea
Delinea создает новый класс платформы безопасности идентификации, контролирующей привилегированный доступ людей, машин и систем искусственного интеллекта. StrongDM ускорит реализацию этой концепции, восполнив критический пробел в возможностях.
Существующая платформа Delinea отличается высокой эффективностью в управлении секретами на основе хранилищ и доступе на основе сессий. StrongDM расширит эти возможности на динамические среды, где доступ кратковременный и высокоскоростной.
Точки интеграции:
- Secret Server остается авторитетным хранилищем секретов, а StrongDM обеспечит их своевременную доставку к рабочим нагрузкам.
- Privilege Manager управляет доступом к конечным точкам, а StrongDM — инфраструктурой и данными для автоматизированных нагрузок.
- Platform Services обеспечит граф идентичности и уровень управления политиками для людей и машин.
Это стратегическое дополнение, расширяющее охват платформы на среды, которые раньше было трудно контролировать адекватно.
Что это значит для клиентов
Для команд DevOps и Platform Engineering: Вы получите безопасный доступ к инфраструктуре и облачным ресурсам без изменения способа работы. Автоматизация остается быстрой, а безопасность регулируется политикой, а не тикетами.
Для команд по безопасности и комплаенсу: Вы получите централизованный обзор всех доступов, включая слепые пятна автоматизированных нагрузок. Принцип минимальных привилегий становится обязательным, а аудит полным.
Для организаций, внедряющих ИИ: Вы укрепите базу для управления агентскими системами. Способность авторизовать каждое действие в режиме реального времени становится критической по мере роста автономности ИИ.
Взгляд в будущее
Ожидается, что сделка будет заключена в первом квартале. К тому времени Delinea и StrongDM остаются отдельными компаниями. Период регуляторного обзора будет использован для планирования дорожной карты. Возможности StrongDM появятся на платформе Delinea вскоре после завершения сделки.
Привилегированный доступ эволюционирует. Успешны те организации, которые смогут обеспечить безопасность автоматизации и ИИ, не жертвуя скоростью инженерных процессов. Именно такую экосистему создает Delinea.
Источник: Why We’re Acquiring StrongDM: Bringing Continuous Authorization to the Delinea Platform
