Обзор Passwork 7.0: корпоративный менеджер паролей для вашего сервера
С годами количество используемых нами сервисов резко возросло, а вместе с ним и необходимость защищать свои учетные данные. В те времена, которые я называю «эпохой невинности», мы записывали пароли на бумаге или использовали один и тот же «password123» для пяти разных аккаунтов. Давайте будем честны: эти дни прошли. Нравится нам это или нет, менеджеры паролей стали неотъемлемой частью кибергигиены и одной из первых линий обороны от несанкционированного доступа.
Знакомьтесь: Passwork 7.0 — локальное решение для бизнеса
Passwork недавно представил версию 7.0 своего локального менеджера паролей, созданного для команд любого масштаба — от небольших групп до крупных предприятий. Как локальное решение, Passwork работает на вашем собственном сервере, предоставляя вашей команде возможность создавать, редактировать и делиться паролями, в то время как администраторы отслеживают активность и контролируют доступ к конфиденциальным данным, хранящимся локально.
На данный момент доступны расширение для браузера (совместимое со всеми основными браузерами) и мобильное приложение для iOS и Android. Согласно плану развития Passwork, настольные приложения для macOS и Windows ожидаются к выпуску в течение следующих трех месяцев.
Passwork работает на PHP и MongoDB и может быть установлен на Windows или Linux, с Docker или без него. Он поддерживает как однопользовательские, так и многопользовательские конфигурации для тех, кому требуется избыточность или отказоустойчивость. Благодаря скромным системным требованиям его можно развернуть локально или в облаке, в зависимости от ваших потребностей.
Все данные шифруются с помощью AES-256 и надежно хранятся на вашем собственном сервере. Всем управляют ваши системные администраторы, что дает вам полный контроль и позволяет избежать зависимости от сторонних серверов.
Для более сложных сред есть возможность включить шифрование на стороне клиента во время настройки. Это добавляет дополнительный уровень защиты, шифруя данные как при передаче, так и при хранении с использованием уникального мастер-пароля для каждого пользователя. Это повышает безопасность, но также усложняет внутреннюю работу Passwork.
Признаюсь, я был приятно удивлен, обнаружив, что Passwork предлагает аудируемый исходный код. Это не то, что встречается каждый день, и хотя это важно не для всех, для некоторых команд это может стать ценным дополнением.
Стандартная лицензия включает основные функции, такие как двухфакторная аутентификация, интеграция с AD/LDAP, полный доступ к API и опции импорта/экспорта (JSON, CSV, KeePass XML). Для расширенных функций, таких как единый вход SAML с Okta и Azure AD, а также поддержка кластеризации и отказоустойчивости, требуется расширенная лицензия.
Что нового в Passwork 7.0
Версия Passwork 7.0 представляет значительные улучшения в пяти ключевых областях:
1. Пользовательские роли
Вы больше не ограничены суперадминистраторами, администраторами и обычными пользователями. Теперь вы можете создавать роли, такие как «аудитор» или «менеджер пользователей», с любой комбинацией разрешений, что обеспечивает большую гибкость и контроль.
2. Расширенные возможности API
Раньше API был ограничен доступом к хранилищам и папкам. Теперь он может управлять пользователями, настраивать системные параметры и выполнять почти всё, что можно сделать вручную. Это особенно полезно для автоматизации и интеграционных процессов.
3. Инструментарий Passwork для DevOps
В него входят официальный Python-коннектор и утилита Passwork CLI, которые предоставляют расширенные возможности интеграции и автоматизации.
4. Улучшения интерфейса и пользовательского опыта
Интерфейс был доработан на основе отзывов пользователей, став более чистым и последовательным. Новая гибкая компоновка позволяет изменять размер панелей, переупорядочивать разделы и настраивать рабочее пространство. Вы также можете назначать цветовые метки папкам для лучшей визуальной организации.
5. Улучшенное логирование и уведомления
Полная видимость каждого действия и изменения в системе. Благодаря отслеживанию в реальном времени и мгновенным оповещениям администраторы могут быстро обнаруживать подозрительную активность и всегда обеспечивать соответствие требованиям.
Вид пользователя по умолчанию
Организация паролей с помощью хранилищ и разрешений
Открыв Passwork, вы обнаружите, что данные структурированы в хранилищах — контейнерах верхнего уровня. Внутри них вы можете создавать папки и подпапки для организации паролей любым удобным способом. Вы можете переименовывать папки и предоставлять доступ определённым пользователям или группам.
Существует два типа хранилищ:
- Личные хранилища (видны только владельцу)
- Общие хранилища (после предоставления доступа они перемещаются из личного раздела в общий)
Администраторы могут решать, кому разрешено создавать хранилища. Это право можно ограничить определёнными ролями, например, руководством.
Общее хранилище
Рассмотрим пример общего хранилища под названием «IT-отдел». При его открытии отображаются три вкладки:
1. Подробности: Отображает логин, пароль, URL и TOTP (для двухфакторной аутентификации)
2. История действий: Кто создал, поделился или изменил пароль
3. Версии: Предыдущие версии пароля, которые можно просмотреть или скопировать
Общий доступ к учётным данным
Для предоставления доступа к паролям доступно несколько вариантов:
- Предоставить доступ к хранилищу или конкретной папке, добавляя пользователей или группы и назначая права — администратор, полный доступ, чтение/редактирование, только чтение или запрет доступа.
- Поделиться отдельными паролями, отправляя их напрямую или во внутренние почтовые ящики пользователей (в Passwork). Это не копии, а ссылки на исходные пароли. Изменения в оригинале будут отражены только если получателю были предоставлены соответствующие права, например, на чтение или чтение/редактирование.
- Создавать ссылки для внешнего доступа. Они могут быть одноразовыми или многоразовыми, с ограничением по времени. Это полезно для работы с подрядчиками или клиентами, хотя некоторые организации отключают эту функцию по соображениям безопасности.
- Создавать ярлыки на пароль в другом хранилище или папке без его дублирования. Редактирование оригинала автоматически обновляет все связанные ярлыки.
Управление пользователями
Панель администратора и управление пользователями
В разделе управления системные администраторы получают полный контроль над пользователями, ролями и доступом.
Администраторы могут:
- Просматривать всех пользователей
- Настраивать доступ к хранилищам и папкам
- Блокировать или удалять пользователей
- Управлять настройками двухфакторной аутентификации
Роли и разрешения
Роли контролируют доступ к функциям и настройкам Passwork. Каждая роль определяет, какие действия доступны пользователю — например, управление пользователями, редактирование хранилищ или изменение параметров безопасности.
Группы, в свою очередь, контролируют права доступа к конкретным хранилищам и папкам. Добавляя пользователей в группы, вы определяете, какие хранилища или папки они могут просматривать или редактировать.
Пользователей можно:
- Добавлять вручную
- Приглашать по электронной почте
- Импортировать из LDAP (при наличии расширенной лицензии)
Passwork также поддерживает сопоставление групп LDAP, позволяя синхронизировать группы напрямую с группами безопасности LDAP.
Единый вход и системные настройки
Passwork поддерживает интеграцию с такими сервисами, как Okta и Azure AD, для упрощения входа и централизации аутентификации.
Администраторы могут настраивать политики паролей, параметры интерфейса, опции браузерных расширений и права доступа к хранилищу и папкам.
Панель управления помогает выявлять слабые, устаревшие или потенциально скомпрометированные пароли. Например, она может помечать пароли, последний раз использованные бывшими сотрудниками. Passwork выполняет эти проверки исключительно внутренними средствами, без обращения к внешним базам данных. Более продвинутые функции запланированы в будущих обновлениях.
Панель безопасности
Журнал активности
Журнал активности отображает все системные события: действия с паролями, изменения пользователей, обновления настроек. Вы можете фильтровать записи по пользователю, дате или типу действия. Логи можно интегрировать с Журналом событий Windows или Syslog для использования в SIEM-системах, что является отличным дополнением к стандартному ведению журналов.
Заключительные мысли
В ходе моего тестирования установка Passwork прошла гладко, без технических проблем. Для более сложных конфигураций, таких как кластеризация или отказоустойчивость, процесс может потребовать больше технических знаний, но опытный системный администратор справится без труда. Благодаря поддержке LDAP/AD и SSO, Passwork хорошо масштабируется от небольших команд до крупных предприятий, предлагая гибкое управление доступом для организаций любого размера.
Расширенный API также делает его надежным вариантом для DevOps-команд, желающих автоматизировать рабочие процессы с помощью скриптов — возможность, которую предлагают не все менеджеры паролей. Повседневное использование было простым и понятным, и видно, что команда разработчиков прислушивается к отзывам пользователей. Мне не пришлось столкнуться с типичными проблемами вроде неудобного общего доступа к учетным данным или ограниченного контроля доступа. В целом, это простое и целенаправленное приложение, которое делает именно то, что от него требуется.
Если и есть область, где Passwork мог бы улучшиться, так это текущее отсутствие настольных приложений и поддержки физических устройств для двухфакторной аутентификации. Впрочем, эти функции уже включены в план разработки Passwork и ожидаются в ближайшем будущем.
Хотя мне не потребовалось обращаться в службу поддержки во время тестирования, стоит отметить, что Passwork известен своей оперативной поддержкой: пользователи с расширенной лицензией получают соглашение об уровне обслуживания с временем реакции 3 часа. Такая поддержка может иметь решающее значение в критической ситуации.
Модель лицензирования гибкая, позволяя бизнесу масштабироваться по мере роста. Фиксированные тарифы покрывают организации от 10 до 100 пользователей, а для более крупных внедрений доступны индивидуальные предложения. Также по запросу доступен вариант пожизненной подписки.
Поскольку пользователи часто являются самым слабым звеном в цепи безопасности, предоставление им безопасного и простого способа управления учётными данными крайне важно. Passwork решает эту задачу, предлагая удобное решение. Ваша задача — внедрить его и вовлечь в процесс свою команду.