Subject-Matter Item Details

ITEM DESCRIPTION

PAM/PIM systém Licence pro 5 uživatelů a 50 zařízení nebo 5 souběžných připojení. Včetně SW maintenance výrobce na 1 rok • Systém podporuje instalaci v režimu vysoké dostupnosti. • Nástroj musí být dodán jako fully packaged software (obsahuje i OS) s podporou pro virtuální prostředí VMWARE. • Nástroj musí fungovat jako přístupová proxy s podporou minimálně SSH a RDP protokolů na primárním spojení (mezi privilegovaným uživatelem a proxy). • Nástroj musí podporovat sekundární připojení (mezi proxy a monitorovaným systémem) minimálně prostřednictvím protokolů SSH, RDP, VNC a TELNET. • Nástroj nesmí vyžadovat žádné instalace software (agentů) na monitorovaný systém. • Nástroj musí umožnit zaznamenávání administrativních relací jakožto síťového provozu a následně poskytnout prostřednictvím webového rozhraní možnost shlédnutí záznamu relace • Nástroj musí umožnit následný export videozáznamu do běžně podporovaného typu souboru (.mp4 či .flv) • Nástroj musí zaznamenávat a uchovávat všechny uživatelem zadané příkazy v průběhu SSH a RDP relací. • Nástroj musí umožnit zaznamenávat a uchovávat názvy všech oken otevřených v průběhu RDP relace • Nástroj musí umožnit sběr metadata v průběhu RDP relace alespoň v rozsahu: změna aktivního okna, operace s tlačítkem v okně, volba na radio buttonu či check boxu v okně, změna obsahu textového pole v okně, změna rozložení kláves, začátky a ukončení procesů, manipulace se soubory prostřednictvím clipboardu, manipulace se soubory prostřednictvím přesměrovaných lokálních diskových jednotek. • Nástroj musí podporovat integraci se SIEM/SYSLOG. • Nástroj musí umožnit nastavení blokace všech, či vybraných TCP spojení zahájených z monitorovaného RDP serveru za účelem navázání neautorizovaných spojení. • Nástroj musí poskytnout ochranu hesel zadávaných v průběhu RDP relace prostřednictvím detekce vstupu kurzoru do pole pro vyplnění hesla či UAC (User Account Control) okna. • Nástroj musí podporovat integraci s externím uživatelským adresářem v minimálním rozsahu LDAP/LDAPS/Microsoft Active Directory/RADIUS/KERBEROS/TACACS+ • Integrace s LDAP či Active Directory nesmí záviset na periodických synchronizacích. Systém musí mapovat schémata uživatelských skupin z LDAP/AD do lokálních PAM skupin. • Nástroj musí poskytovat různé metody autentizace privilegovaných uživatelů na monitorovaných systémech, minimáně: o Autentizace privilegovaného uživatele na monitorovaném systému pomocí stejných přihlašovacích údajů, které byly využity pro autentizaci na proxy. o Autentizace privilegovaného uživatele na monitorovaném systému pomocí statických a bezpečně uložených přihlašovacích údajů. (např. root, admin, privilegovaný lokální účet). o Vyzváním uživatele k opětovnému zadání přihlašovacích údajů k monitorovanému systému, bez jejich zaznamenání. • Nástroj musí umožnit nastavení časových rámců, ve kterých nebude možné navázat spojení (den/čas). • Nástroj musí umožňovat schvalování přístupu privilegovaného uživatele k určitým monitorovaným systémům. Schvalování přístupu musí fungovat minimálně v následujícím rozsahu: o Privilegovaný uživatel požádá o přístup. o Určitý počet PAM administrátorů obdrží žádost o přístupu. o Minimální definovaný počet PAM administrátorů schválí žádost. o Privilegovaný uživatel získá přístup k monitorovanému systému. • Nastroj musí umožňovat ukládání zaznamenaných relací lokálně či na externí úložiště CIFS/NFS. • Správce nástroje / auditor musí mít možnost pozorovat probíhající relace v reálném čase, včetně možnosti pozorovanou relaci uknočit. • Při auditu či kontrole proběhlé relace nástroj musí mít možnost zobrazit metadata a videozáznam relace na jedné stránce. • Licencování nástroje nesmí být omezeno na počet jeho instancí nainstalovaných v infrastruktuře zadavatele. • Systém musí podporovat shodu se standardy minimálně ISO 27001, HIPAA, SOX, PCI-DSS a další • Systém dokáže fungovat jako jednotný přístupový bod pro několik instancí v necentralizované infrastructure • Systém poskytuje schopnost pracovat se sdílenými účty • Systém je spravován pomocí jednotné centrální konzole