Как защитить доступ к серверам и рабочим станциям в условиях гибридной ИТ-инфраструктуры?

Использование ненадёжных паролей и общих учётных записей при доступе к серверам, а также отсутствие у пользователей и администраторов централизованно управляемого доступа к сервисам размещённым в «облаке» — с этим может столкнуться бизнес любого масштаба, использующий гибридную инфраструктуру. Расскажем о том, как можно защитить серверы и устройства сотрудников, в том числе в территориально распределённых компаниях.

Современная гибридная ИТ-инфраструктура состоит из ряда неоднородных компонентов — систем, микросервисов, серверов и рабочих станций, — которые находятся как внутри защищённого контура, так и за его пределами. К первой группе компонентов относятся рабочие станции сотрудников, которые работают в офисе, и серверы в локальной (on-premise) инфраструктуре. Во вторую группу входят серверы в облачных инфраструктурах и корпоративные ноутбуки той части команды, что работает удалённо. У такой инфраструктуры, безусловно, немало преимуществ. Низкие капитальные затраты на аренду облачных сервисов, возможность быстрого наращивания вычислительных мощностей, доступ к инновационным облачным инструментам — лишь некоторые из них. В сегодняшних реалиях востребованность гибридной ИТ-инфраструктуры растёт вместе с популярностью гибридного формата работы: многие предпочитают большую часть времени работать удалённо, лишь периодически посещая офис. Кроме того, компании стали намного чаще нанимать сотрудников из других регионов, что также повышает востребованность гибридной ИТ-инфраструктуры.

Гибридная ИТ-инфраструктура: есть нюансы

В условиях гибридной ИТ-инфраструктуры не всегда просто защитить доступ к корпоративным информационным системам, серверам и рабочим станциям. Во-первых, как правило, сотрудники используют для доступа и к корпоративному ноутбуку, и к рабочей станции всего лишь пароль — и не всегда надёжный. Его компрометация приводит к тому, что злоумышленник может получить доступ не только к устройству, на котором зачастую хранятся критически важные для бизнеса данные: одновременно компрометируются учётные записи в большом количестве информационных систем, с которыми работает пользователь. При этом, если мы говорим о ноутбуках, администратор не всегда может оперативно помочь сотруднику — иногда он просто не узнаёт о проблемах с безопасностью. К сожалению, ситуация, когда у администратора есть запись в базе инвентаризации, что устройство выдано, но нет полноценного и безопасного доступа к нему — не редкость. Во-вторых, часто для доступа администраторов к серверам в гибридных окружениях используются общие учётные записи (УЗ), так как персональные требуют значительных ресурсов на сопровождение. Это не самый безопасный подход: например, администратор может покинуть компанию, но сохранить данные учётной записи и, следовательно, доступ к серверам за пределами контролируемого периметра. С учётом того что в дальнейшем удалённый формат работы с периодическими визитами в офис наверняка сохранит свою популярность, бизнесу крайне важно защитить доступ к серверам и рабочим станциям в условиях гибридной ИТ-инфраструктуры.

Какие подходы к защите доступа к серверам и рабочим станциям существуют?

Проблему с общими учётными записями в облачных инфраструктурах можно решить несколькими путями. Один из них — применение решения класса Privileged Access Management (PAM), которое позволяет фиксировать действия привилегированных пользователей, к которым относятся системные администраторы, и анализировать эти действия, что упрощает расследование возможных инцидентов. Однако такой контроль со стороны PAM-решения не всегда необходим в полном объёме. При этом сохраняется проблема выдачи персональных учётных записей для всех остальных элементов инфраструктуры помимо управляемых PAM-решением серверов. Второй путь — использовать решение класса Identity & Access Management (IAM), которое будет осуществлять централизованный контроль учётных записей. Система удостоверяет личности администраторов с использованием персональных УЗ для работы с каждым сервисом, а также, поскольку они являются привилегированными пользователями, обеспечивает для них надёжную многофакторную аутентификацию. Благодаря защите аутентификации всегда можно отключить администратора от доступа к серверу или системе. Ещё одним преимуществом является то, что решение IAM позволяет централизовать аутентификацию и контроль доступа применительно не только к серверам, но и к другим компонентам инфраструктуры — рабочим станциям, ноутбукам и информационным системам. Чтобы защитить ноутбук сотрудника, необходимо взять под контроль аутентификацию в операционной системе и на корпоративных ресурсах. Это возможно с помощью IAM-решений с поддержкой аутентификации в операционных системах и на рабочих станциях. Администраторы получают контроль надо всеми корпоративными операционными системами в части аутентификации, в том числе могут обеспечить надзор за ноутбуками сотрудников за пределами защищённого периметра и корпоративного домена. В случае компрометации устройства сотрудника либо «дистанционного» увольнения последнего можно централизованно отключить ему доступ ко всем устройствам и ресурсам. Если, например, работник потерял ноутбук, злоумышленник не сможет попасть в систему без прохождения аутентификации под контролем сотрудника и администраторов. IAM-решения, предоставляющие возможности для автоматизации контроля доступа в связке с SIEM-системами и платформами Incident Response, позволяют автоматизировать реагирование на подозрительную активность, что даёт администраторам возможность максимально быстро принимать необходимые меры. Ещё один важный элемент защиты корпоративных устройств — использование многофакторной аутентификации. Поскольку ноутбук всегда находится в недоверенной среде, без неё вряд ли можно обойтись.

Что касается защиты рабочих станций, то в этом случае вопрос ограничения доступа к устройству не стоит. Важнее использовать многофакторную аутентификацию: даже если пароль будет скомпрометирован, злоумышленник, пусть даже внутренний, не сможет получить доступ к устройству сотрудника без участия последнего.
Важно, чтобы выбранное решение поддерживало работу с разными операционными системами. Сейчас мы видим, что в силу разных причин бизнес активно использует как Windows — для ноутбуков и рабочих станций, так и Linux — для серверов. На фоне импортозамещения многие компании рассматривают переход на ОС на базе Linux для рабочих станций пользователей, поэтому поддержка подключаемых модулей аутентификации (Pluggable Authentication Modules) в Linux и Unix (Linux PAM во всех Linux-системах, OpenPAM для Mac OS X) на сегодня является критически значимым требованием к IAM.

Выстраиваем защиту доступа к серверам и рабочим станциям: как это работает?

Описанные выше трудности актуальны для средних и крупных организаций, которые столкнулись с необходимостью перевода значительной части сотрудников на режим удалённой работы. Рассмотрим то, как с ними справиться, на конкретном примере.Описание ситуации в компании: модернизация ИТ-инфраструктуры
Организация провела модернизацию инфраструктуры в связи с переводом большого числа сотрудников в режим удалённой работы. Теперь порядка 30% информационных систем расположены в облаке, а значительная часть сотрудников — больше 70% — работает с использованием корпоративных ноутбуков в режиме домашнего офиса. Штат территориально распределён: филиальная сеть компании представлена несколькими регионами, сотрудники находятся в разных городах. В компании все АРМ сотрудников в офисе и более 70% ноутбуков работают под управлением ОС Windows, порядка 30% ноутбуков — под управлением Linux-систем. В части серверной инфраструктуры используется более 10 виртуальных машин в локальном (on-premise) исполнении и порядка 40 виртуальных машин распределённых между тремя PaaS-провайдерами.

Проблемные задачи, с которыми столкнулась компания

По итогам модернизации инфраструктуры и перехода на гибридный режим работы ИТ- и ИБ-руководители компании столкнулись со следующими проблемами:
  1. Для обеспечения интеграции расположенных в облаке информационных систем с локальными сервисами была организована синхронизация паролей на основе домена. Теперь компрометация паролей в домене, расположенном за пределами защищённого периметра организации, может привести к непредвиденным последствиям для всей инфраструктуры компании.
  2. Корпоративные ноутбуки сотрудников, которые работают удалённо, оказались вне защищённого контура организации. Возросла угроза утечек информации и компрометации учётных записей. При этом администраторы не могут обеспечить контроль за доступом сотрудников к корпоративным устройствам.
  3. Рабочие станции сотрудников в офисе также оказались недостаточно защищены: для входа требовался только пароль.
  4. Администраторам требовались дополнительные инструменты, которые позволили бы оперативно решать возникающие на стороне пользователей вопросы, а также обеспечили бы безопасный доступ к устройствам и достаточный их контроль в части управления правилами аутентификации.
  5. Облачные инфраструктуры не связаны между собой, а синхронизация локальных учётных записей из домена обеспечивается только для одной из PaaS-инфраструктур. Остальные инфраструктуры управлялись вручную, что было весьма затратно с точки зрения сопровождения и не позволяло ИБ-специалистам отслеживать доступ сотрудников ко критически важным элементам облачной инфраструктуры.

Использование «штатного» облачного решения для многофакторной аутентификации оказалось чрезмерно затратным, при этом оно позволяло защитить аутентификацию лишь для незначительного ряда систем — только вход в ОС на базе Windows и только компоненты расположенные в одном из используемых PaaS. Для всех остальных систем и элементов инфраструктуры, размещённых локально, этот механизм был негативно воспринят блоком ИБ, так как возникала зависимость всей внутренней инфраструктуры от сервиса размещённого в интернете.

Таким образом, перед компанией стояла цель: обеспечить информационную безопасность в условиях сложной и новой для себя гибридной инфраструктуры, решить описанные выше проблемы.

Достигаем цели: пять главных шагов

Основным решением стало внедрение единой корпоративной системы аутентификации локально (on-premise). В ходе работ компания использовала несколько инструментов:
  1. При доступе ко внутренним информационным системам была обеспечена защита VPN (Cisco AnyConnect) при доступе к локальной инфраструктуре. Исходно аутентификация осуществлялась с использованием доменного пароля, поэтому с целью повышения безопасности VPN был подключён к системе аутентификации. В качестве второго фактора используется механизм OTP. Система позволяет тем сотрудникам, у которых не выполнена настройка приложения-аутентификатора, использовать в качестве запасного второго фактора одноразовый код, доставляемый посредством SMS. Для решения этой задачи была выполнена актуализация личных и корпоративных телефонных номеров для всех сотрудников. Для доставки SMS был выбран и подключён к системе аутентификации один из предлагаемых на рынке SMS-шлюзов с поддержкой HTTP для отправки сообщения. Далее планируется полный переход всех сотрудников на обязательную аутентификацию в VPN с использованием приложения-аутентификатора в качестве второго фактора.
  2. С целью повышения контроля за «мобильной» инфраструктурой была проведена работа по подключению корпоративных ноутбуков к системе аутентификации. В комплекте внедряемой системы поставлялся набор компонентов Logon Providers, которые обеспечивали централизованную аутентификацию при входе в операционную систему. Как и в случае с VPN, в качестве второго фактора использовался код, который отправлялся сотруднику по SMS. Теперь пользователи Windows и Linux проходят двухфакторную аутентификацию: указывают логин и пароль, а затем вводят одноразовый SMS-код или подтверждают запрос на аутентификацию через мобильное приложение. В случае недоступности сети сотрудники могут аутентифицироваться по одноразовым кодам восстановления.
  3. Часть пользователей работали под доменными учётными записями, а часть — под локальными. Для централизованной доставки Logon Provider на доменные компьютеры под управлением Windows был использован механизм Group Policy от Microsoft Active Directory. Для компьютеров с локальными учётными записями установка производилась вручную администраторами. Доставка Logon Provider (в виде подключаемого модуля аутентификации) на ноутбуки и рабочие станции под управлением Linux обеспечивалась используемой в организации системой администрирования конфигурации Linux-инфраструктуры.Было важно, что Logon Provider корректно поддерживает работу с локальными учётными записями и с доменными УЗ из нескольких LDAP-каталогов для проверки паролей. Это позволило без проблем подключить филиалы со своей разрозненной инфраструктурой к единой системе аутентификации. Защита передачи данных между филиалами обеспечивалась VPN-соединением, при этом филиалы пользуются услугой аутентификации от системы размещённой в головном офисе.
  4. Третье решение касалось компьютеров в офисе. В качестве фактора на автоматизированном рабочем месте использовалась аутентификация по сертификатам на токенах сотрудников. Для этого решение по аутентификации было интегрировано с системой управления PKI в части загрузки сертификатов пользователей.
  5. Четвёртое решение касалось интеграции PaaS-инфраструктур с локальной системой аутентификации. Благодаря тому что все используемые провайдеры поддерживали удостоверение личности по протоколу SAML, было принято решение интегрировать их с локальной системой в части доступа администраторов и пользователей. За счёт этого удалось полностью отказаться от общих учётных записей и встроить доступ к управлению PaaS-инфраструктурой в общий процесс аутентификации.
  6. Наконец, формируемые системой аутентификации ИБ-события стали направляться по протоколу Syslog в SIEM-систему для контроля со стороны администраторов.

Практические преимущества единой системы аутентификации

Сотрудники благодаря внедрённому решению смогли пользоваться единым набором факторов аутентификации для доступа как к рабочим станциям в офисе и носимым устройствам, так и к информационным системам компании. Специалисты по ИБ получили не только контроль над инфраструктурой, но и возможность отслеживать попытки доступа ко всем её элементам в динамике и в рамках единой платформы аутентификации, а также анализировать статистику и использование ресурсов компании сотрудниками.

Администраторы получили возможность управлять доступами сотрудников в разрезе информационных систем, а также в рамках пользовательских устройств вне зависимости от их расположения — в защищённом периметре организации или за его пределами.

Также администраторам стало значительно проще сопровождать пользователей и сбрасывать их пароли. Каждый сотрудник смог самостоятельно управлять своими аутентификаторами и восстанавливать доступ к учётным записям. Участие администратора стало требоваться только в самых серьёзных случаях. Это помогло обеспечить бесперебойную удалённую работу сотрудников — в том числе из других регионов.
За счёт централизации аутентификации появилась возможность автоматизированного реагирования на инциденты. Это немаловажно для организаций, которые используют SIEM-решения, а также для тех, к кому предъявляются требования согласно федеральному закону о критической информационной инфраструктуре (КИИ).

Выводы

Реализованный проект показал важность своевременно принятого решения о внедрении системы аутентификации. Проект реализовывался параллельно с переводом части сотрудников на постоянную удалённую работу, что позволило значительно снизить сложность подготовки устройств пользователей. Администраторы инфраструктуры получили инструмент для контроля всех доступов сотрудников к большинству критически важных компонентов. Для блокировки доступа работника ко всем системам, в том числе носимым корпоративным устройствам, теперь достаточно заблокировать его учётную запись в системе аутентификации.

Дмитрий Грудинин, системный архитектор компании «Аванпост»

Другие новости

    Форма
    контакты
    Телефон
    E-mail
    129 085, г. Москва
    ул. Годовикова, д. 9, стр. 17
    Адрес
    Все права защищены © Avanpost 2024