Менеджер паролей для MSP: управление данными клиентов
Пространства BearPass для MSP: как IT-аутсорсеры управляют данными десятков клиентов
Инженер на аутсорсинге обслуживает одновременно 15 компаний. У каждой свои серверы, свои учётные записи, свои пароли от инфраструктуры. Как хранить всё это так чтобы данные клиента А никогда не пересекались с данными клиента Б — даже случайно, даже через поиск?
Это не теоретический вопрос. Это базовое требование к безопасности в MSP-бизнесе, от которого зависит доверие клиентов и соответствие требованиям 152-ФЗ.
Почему стандартные подходы не работают
У большинства IT-аутсорсеров хранение паролей клиентов выглядит примерно одинаково: общая папка в KeePass, раздельные файлы на диске или, в лучшем случае, разные группы в одном корпоративном менеджере паролей.
Проблема в том, что все эти подходы основаны на ограничении доступа через права, а не на архитектурной изоляции. Инженер, имеющий достаточно прав, может найти через поиск данные чужого клиента. При экспорте можно случайно захватить лишнее. LDAP-синхронизация перемешивает пользователей разных организаций.
Для MSP это риск трёх типов: репутационный (клиент узнал что его данные были доступны другим), юридический (152-ФЗ, ответственность оператора) и операционный (инцидент у одного клиента распространяется на остальных).
Единственное надёжное решение — архитектурная изоляция, при которой данные разных клиентов физически разделены на уровне системы.
Как устроены Пространства в BearPass
В версии 2.26.0 BearPass реализовал полноценную мультитенантную архитектуру через модуль «Пространства».
Каждое пространство — изолированный контур. Пользователь видит и работает только с теми пространствами, в которые его добавил администратор. Остальные для него не существуют даже в интерфейсе.
Изоляция распространяется на всё без исключений. Поиск паролей ищет только в текущем пространстве. Импорт и экспорт работают в его границах. LDAP-синхронизация настраивается отдельно для каждого пространства. Ролевая модель существует независимо в каждом контуре.
При создании пространства для клиента администратор просто перетаскивает нужных инженеров из общего списка в список участников. Три инженера работают с клиентом А — только они видят это пространство. Тот же принцип для клиента Б, В, Г.
Сколько клиентских данных у вас сейчас хранится без изоляции?
BearPass разворачивается на вашем сервере за 1–2 часа. Пространства для всех клиентов настраиваются в первый день. До 5 пользователей бесплатно навсегда.
Инженер работает с несколькими клиентами одновременно
Инженер Алексей обслуживает 8 клиентов. Каждое утро он открывает BearPass и видит только пространства тех клиентов, где у него есть задачи на сегодня. Переключиться в пространство другого клиента он не может физически — его там просто нет.
Когда он вводит запрос в поиск, система ищет только в активном пространстве. Никакого риска что пароль клиента А появится в результатах поиска при работе с клиентом Б.
Добавление нового клиента
Клиентская база выросла. Нужно завести пространство для нового заказчика. Администратор создаёт пространство, добавляет туда трёх инженеров которые будут работать с этим клиентом, и при необходимости настраивает LDAP-подключение к Active Directory заказчика — отдельное, независимое от других пространств.
Всё. Новый клиент изолирован с первой минуты.
Завершение работы с клиентом
Контракт закончился. Пространство клиента нужно закрыть. Сначала очистить — вывезти данные в согласованном формате или передать клиенту через экспорт. Затем удалить пространство (система не даст удалить непустое — защита от случайной потери данных).
Журнал действий инженеров в этом пространстве сохраняется. При необходимости можно восстановить историю кто, что и когда делал с учётными данными клиента.
Модель прав: кто что видит
Для MSP принципиально важно разграничить три уровня.
Системный администратор управляет всеми пространствами: создаёт, редактирует состав участников, видит структуру. При этом у него нет доступа к паролям внутри пространств — только к их архитектуре.
Администратор пространства управляет конкретным клиентским пространством: добавляет пользователей, настраивает роли, видит журнал событий. Другие пространства ему недоступны.
Инженер работает только с данными своих пространств. Видит папки и пароли согласно своей роли. Не знает о существовании других клиентов в системе.
Это разделение — основа compliance. При проверке регулятора или аудите клиента вы можете документально подтвердить что данные были изолированы архитектурно, а не только политически.
BearPass для MSP
Один сервер. Десятки клиентов. Полная изоляция данных.
Пространства · Независимый LDAP на каждого клиента · RBAC · Kill Switch Журнал событий · On-premise · Реестр РФ №15427
MSP который имеет доступ к персональным данным клиентов — оператор или обработчик в зависимости от договора. В обоих случаях архитектурная изоляция данных разных заказчиков является технической мерой защиты которую регулятор будет проверять.
Без изоляции: данные персонала клиента А технически доступны инженеру работающему с клиентом Б. Это нарушение принципа минимальных привилегий и потенциальный предмет для претензий как от регулятора так и от самого клиента.
С Пространствами BearPass: изоляция подтверждается архитектурно. Журнал событий фиксирует кто и когда обращался к данным каждого клиента. При любой проверке — готовая доказательная база.
Договор поручения обработки с клиентом в связке с архитектурной изоляцией и журналом действий — это полноценная система compliance для MSP.
Чеклист: как организовать работу с клиентами в BearPass
Создать отдельное пространство для каждого клиента при старте работы
Назначить каждому инженеру доступ только к пространствам его клиентов
Настроить отдельное LDAP-подключение для клиентов с Active Directory
Включить уведомления в модуле «Правила» при экспорте данных из любого пространства
Настроить срок хранения журнала не менее 6 месяцев
Заключить договор поручения обработки персональных данных с каждым клиентом
При завершении контракта — экспортировать данные клиенту, затем удалить пространство
Итог
Мультитенантная архитектура для MSP — это не опциональная фича, а базовое требование безопасности. BearPass решает эту задачу через Пространства: архитектурная изоляция, независимые LDAP-подключения, разделение административных и операционных прав.
Один сервер вместо десятков, один договор вместо множества лицензий, один журнал событий для всей клиентской базы.
BearPass — корпоративный менеджер паролей
Ведите всех клиентов в одной системе с полной изоляцией данных
Пространства · RBAC · Kill Switch · Журнал событий On-premise · Данные на вашем сервере · Реестр РФ №15427 · Шифрование ГОСТ
Как MSP изолировать данные разных клиентов в одном менеджере паролей? Через мультитенантную архитектуру. В BearPass это реализовано модулем «Пространства»: каждый клиент получает изолированный контур с независимыми данными, LDAP-подключением и ролевой моделью.
Может ли инженер MSP случайно получить доступ к данным другого клиента? Нет. Данные разных пространств изолированы на уровне архитектуры. Поиск, экспорт и синхронизация работают только в границах своего пространства.
Сколько клиентов можно вести в одной установке BearPass? Количество пространств не ограничено. Одна установка поддерживает неограниченное количество изолированных клиентских контуров.