Для того чтобы оптимально настроить системы защиты информации, аудита и расследования ИБ-инцидентов в крупной корпоративной сети, администратору информационной безопасности обычно требуется целый ряд инструментов. Новая разработка центра защиты информации ГК «Конфидент» — кросс-платформенный «Единый центр управления» (ЕЦУ) Dallas Lock — заменяет собой эти инструменты и позволяет осуществлять управление через один интерфейс.
- Введение
- Типовая схема централизованного управления устройствами
- Что такое ЕЦУ Dallas Lock
- Преимущества ЕЦУ Dallas Lock на практике
- Старые функции в новом центре управления
- Переход с «Сервера безопасности» на ЕЦУ Dallas Lock
- Развитие ЕЦУ Dallas Lock
- Выводы
Введение
Если в организации имеется более 10 автоматизированных рабочих мест (АРМ), проблема централизованного управления защитой информации становится актуальной. Чем больше количество АРМ, тем сложнее приходится администратору информационной безопасности. Повышается трудоёмкость ручной настройки политик безопасности, мониторинга соответствующих событий и обновления средств защиты информации на каждом АРМ. Когда корпоративная сеть разрастается, администратор ИБ зачастую подключает целый набор инструментов для централизованного управления. Такой подход оправдан для относительно небольших сетей, но в крупных становится крайне неудобным. Чтобы понять, почему это так, рассмотрим типовую схему централизованного управления.
Типовая схема централизованного управления устройствами
В качестве примера приведём решения, которые знаем лучше всего, — наши собственные.
Центр защиты информации ООО «Конфидент» выстраивает централизованное управление несколькими компьютерами в локальной сети с помощью «Сервера безопасности» (СБ) Dallas Lock. СБ Dallas Lock устанавливается на отдельный компьютер с системой защиты информации от несанкционированного доступа (СЗИ от НСД) Dallas Lock 8.0 и позволяет объединять защищаемые компьютеры в домен безопасности для централизованного и оперативного управления. Чтобы понять все преимущества и недостатки такого подхода, разберёмся в нюансах.
Преимущества Dallas Lock
СБ Dallas Lock позволяет создавать отказоустойчивые домены безопасности и предоставляет следующие основные возможности:
- централизованное управление пользователями и их группами на клиентских АРМ;
- централизованное управление политиками безопасности клиентских АРМ;
- централизованный сбор журналов;
- централизованное управление доступом к ресурсам файловой системы и к устройствам;
- контроль целостности объектов в рамках всего домена безопасности;
- просмотр состояния отдельных клиентских АРМ и удалённое управление ими;
- объединение клиентов в группы.
Если требуется решение для крупных сетей, в том числе распределённых, в которых нужно создать несколько доменов безопасности, то необходимо применить «Менеджер серверов безопасности» (МСБ) Dallas Lock. Он позволяет создавать трёхуровневую модель централизованного управления защитой информации, включая под своё управление несколько «Серверов безопасности» и тем самым создавая так называемый лес безопасности (см. рис. 1).
Рисунок 1. Лес безопасности
Ограничения Dallas Lock
Однако СБ и МСБ Dallas Lock имеют некоторые архитектурные ограничения. Во-первых, агентская схема защиты конечных точек не позволяет контролировать другие элементы ИТ-инфраструктуры — например, активное сетевое оборудование. Во-вторых, допускается только «плоская» структура доменов безопасности. Выстроить иерархию доменов невозможно. В-третьих, функционирование СБ и МСБ Dallas Lock возможно только под управлением ОС Windows. Кроме того, в ИТ-инфраструктурах, в которых количество АРМ превышает несколько десятков тысяч, требуется создавать несколько доменов безопасности для безотказной работы системы защиты информации. При этом «Сервер безопасности» Dallas Lock не может управлять клиентскими АРМ, которые находятся за NAT (Network Address Translation).
Рекомендации для защиты гетерогенных систем
Для защиты гетерогенных систем (большого количества компьютеров, работающих на различных ОС, и сетевого оборудования) необходимы полноценное централизованное управление и целый ряд инструментов.
На рисунке 2 представлены рекомендации по применению инструментов централизованного управления продуктовой линейки Dallas Lock в зависимости от количества клиентских рабочих станций.
Рисунок 2. Рекомендации по применению инструментов централизованного управления в зависимости от количества рабочих станций
Исходя из рисунка 2 можно сделать вывод, что когда количество компьютеров в инфраструктуре заказчика составляет несколько десятков тысяч штук, применение СБ Dallas Lock подразумевает создание нескольких доменов безопасности, а также применение МСБ Dallas Lock и, рекомендательно, развёртывание «Сервера лицензий» Dallas Lock. Последний является специализированным серверным приложением, которое упрощает управление лицензиями в рамках сети защищённых компьютеров.
Как мы видим, процесс централизованного управления в крупных корпоративных сетях (от пяти тысяч АРМ и далее) подразумевает применение шести инструментов. Именно поэтому ЦЗИ «Конфидент» разработал новое решение, которое фактически заменяет вышеперечисленные инструменты («Сервер безопасности», «Менеджер серверов безопасности») и обеспечивает простоту и удобство управления рабочими станциями на крупных внедрениях.
По предварительным оценкам специалистов ООО «Конфидент», новое решение может успешно и без перебоев функционировать в гетерогенных инфраструктурах с количеством рабочих станций более 100 000 шт.
Что такое ЕЦУ Dallas Lock
«Единый центр управления» Dallas Lock — это кросс-платформенный программный комплекс, который позволяет работать через единый интерфейс. Он контролирует целостность настроек активного сетевого оборудования, решает задачи централизованного управления решениями продуктовой линейки Dallas Lock (СЗИ от НСД Dallas Lock 8.0, СЗИ от НСД Dallas Lock Linux, СЗИ ВИ Dallas Lock, СДЗ Dallas Lock) и, по сути, заменяет собой «Сервер безопасности» и «Менеджер серверов безопасности» Dallas Lock, о которых мы писали ранее.
Рисунок 3. Централизованное управление через ЕЦУ Dallas Lock
Преимущества ЕЦУ Dallas Lock на практике
В первой версии продукта стоит отметить несколько возможностей, которые выгодно отличают его от аналогов.
Во-первых, это контроль состояния (целостности настроек) активного сетевого оборудования. ЕЦУ Dallas Lock идентифицирует сетевое оборудование как объекты домена безопасности и позволяет осуществлять мониторинг изменений конфигурации для таких объектов по протоколу SNMP. Из особенностей стоит подчеркнуть следующее:
- поддержку разных версий протокола (SNMPv1, SNMPv2c, SNMPv3);
- сканирование сети для обнаружения активных SNMP-клиентов;
- контроль целостности конфигурации активного сетевого оборудования, в том числе отдельных параметров на основе OID;
- сигнализацию о нарушении целостности;
- поддержку собственной расширяемой базы конфигурационных файлов.
Во-вторых, это создание иерархической структуры доменов безопасности с наследованием значений параметров защиты. Дерево доменов безопасности может быть сколь угодно большим и сложным. Переключение между настройками каждого домена безопасности происходит интуитивно понятным образом, что значительно упрощает и ускоряет работу.
В-третьих, это совместимость с ОС семейств Windows и Linux. Работоспособность обеспечивается в том числе на российских дистрибутивах, список которых постоянно обновляется: Astra Linux Common Edition (релиз «Орёл»), Astra Linux Special Edition (релиз «Смоленск»), «Альт Рабочая станция».
И, наконец, это возможность управления средствами защиты информации Dallas Lock на клиентских АРМ, находящихся за NAT (Network Address Translation). Это стало особенно актуально в связи с пандемией COVID-19 и переходом на удалённый режим работы. В таких условиях сотрудники компаний используют домашние ПК, которые почти не защищены и часто находятся за NAT, а канал связи далеко не всегда хорош, но всегда нагружен. Новая технология сетевого взаимодействия СЗИ позволяет защищать информацию на удалённых компьютерах в сложных сетях. Для корректного функционирования механизмов централизованного управления достаточно того, чтобы клиентские АРМ «видели» ЕЦУ Dallas Lock.
Старые функции в новом центре управления
Помимо новых возможностей, перечисленных выше, ЕЦУ Dallas Lock во многом повторяет функциональность СБ Dallas Lock, делая её доступной на различных платформах под управлением ОС семейств Windows и Linux: репликация функциональности серверов, «бесшовная» интеграция с другими решениями продуктовой линейки Dallas Lock, настраиваемая система оповещений об инцидентах в безопасности, управление доступом на основе ролей, отображение структуры домена в виде дерева, объединение компьютеров в группы для удобства аудита и управления, общая графическая панель мониторинга защищённости системы с отображением статистики, оповещения в консоли об инцидентах из области безопасности. Все эти преимущества сохранены и в новом продукте.
Переход с «Сервера безопасности» на ЕЦУ Dallas Lock
Для пользователей, которые уже применяют СБ Dallas Lock, реализована возможность перевода клиентских АРМ существующего домена безопасности (включая настройки установленных на них средств защиты информации семейства Dallas Lock) с «Сервера безопасности» на «Единый центр управления» с помощью механизма сканирования сети. В дальнейшем «Конфидент» предоставит возможность миграции всего домена безопасности, построенного с использованием СБ Dallas Lock и сохранением иерархии клиентских АРМ.
Развитие ЕЦУ Dallas Lock
В ЕЦУ Dallas Lock уже реализовано большинство функций СБ Dallas Lock, и продукт позволяет контролировать конфигурации активного сетевого оборудования по протоколу SNMP. Более того, ЕЦУ Dallas Lock не имеет архитектурных ограничений, присущих СБ Dallas Lock. В следующих версиях планируется расширить спектр способов выявления изменений в настройках и протоколах взаимодействия с сетевым оборудованием:
- анализ конфигураций активного сетевого оборудования и выработка рекомендаций по его настройке исходя из лучших практик;
- анализ инцидентов на основе данных поступающих от внешних SIEM-систем;
- учёт информационных активов организации;
- реализация информационной подсистемы нормативного обеспечения;
- управление рисками в информационной безопасности;
- оценка влияния ИБ на ключевые показатели эффективности организации.
Выводы
«Единый центр управления» Dallas Lock — это новый шаг в развитии инструментов централизованного управления одноимённой продуктовой линейки. Этим решением ООО «Конфидент» постаралась создать наиболее эффективный и унифицированный инструмент, который позволял бы контролировать безопасность всей ИТ-инфраструктуры организации вне зависимости от её структуры и масштаба.
Во многом сохранив функциональные возможности «Сервера безопасности» Dallas Lock, новый продукт получил ряд существенных преимуществ. ЕЦУ Dallas Lock является кросс-платформенным решением, которое работает в том числе на российских ОС, что особенно актуально в связи с политикой импортозамещения. Он контролирует конфигурации активного сетевого оборудования, а также управляет всеми решениями продуктовой линейки Dallas Lock, в том числе АРМ находящимися за NAT — это особенно актуально в связи с пандемией и переходом на домашние ПК. Кроме того, ЕЦУ Dallas Lock поддерживает сколь угодно большую и сложную иерархическую структуру множества доменов безопасности, а благодаря широким функциональным возможностям и единому интерфейсу удобен во внедрении и эксплуатации в организациях с большим количеством рабочих станций.