Сертификат AM Test Lab
Номер сертификата: 321
Дата выдачи: 07.12.2020
Срок действия: 07.12.2025
- Введение
- Функциональные возможности СКДПУ «Компакт»
- Архитектура СКДПУ «Компакт»
- Технические характеристики СКДПУ «Компакт»
- Сценарии использования СКДПУ «Компакт»
- 5.1. Сценарий 1. Настройка RDP-сеанса и работа с ним через СКДПУ «Компакт»
- 5.2. Сценарий 2. SSH-подключение с предварительным запросом разрешения при использовании СКДПУ «Компакт»
- 5.3. Сценарий 3. Аудит соединений, его возможности и преимущества в СКДПУ «Компакт»
- 5.4. Сценарий 4. Шифрование видеозаписей и защита от выноса в СКДПУ «Компакт»
- Выводы
Введение
В 2020 году вышло несколько значимых аналитических отчётов о решениях для управления привилегированным доступом (Privileged Access Management, PAM), согласно которым предвидится значительный рост этого сегмента рынка за счёт высокой заинтересованности потенциальных заказчиков (компаний крупного, среднего и малого бизнеса). При этом отмечается, что по сравнению с запросами 2018 года основные функциональные возможности решений не претерпели сильных изменений, однако требования к форм-фактору и модели потребления стали другими.
Согласно прогнозу аналитического агентства Gartner, к 2024 году 50 % организаций внедрят привилегированный доступ на основе модели «just in time», что предполагает предоставление привилегий в нужное время и в нужном объёме, устранение их избыточности. Как считают эксперты, такой подход позволит значительно снизить количество компрометаций привилегированных учётных записей.
По оценке экспертов независимой европейской аналитической организации KuppingerCole, рынок PAM-решений, на котором в первой половине 2020 года было представлено около 40 основных вендоров, вырастет с 2,2 млрд долларов США в 2020 году до 4,5 млрд к 2025 году. Причинами роста называют цифровую трансформацию, внедрение методологий DevOps, распределённые вычисления и рост киберпреступности. При этом злоумышленники не выбирают цели по размеру организации, они просто ищут все возможные векторы атак для приложения своих усилий — поэтому даже малые и средние организации рискуют столкнуться с хакерской атакой или причинением вреда важной конфиденциальной информации со стороны скомпрометированной учётной записи либо обиженного привилегированного пользователя.
Таким образом, исходя из положения дел на рынке, видится ошибочным мнение, что решения по управлению привилегированным доступом необходимы только крупным корпорациям. Становится понятным, что наряду с привычными крупномасштабными системами всё больше пользуется спросом компактный форм-фактор для средних и малых компаний, а также их удалённых филиалов. Именно таким решением является СКДПУ «Компакт».
СКДПУ «Компакт» основана на программном решении «Система контроля доступа поставщиков ИТ-услуг» от компании «АйТи БАСТИОН». Она функционирует на базе отечественной сертифицированной операционной системы Astra Linux Special Edition и легковесной аппаратной платформы.
СКДПУ «Компакт» была создана в ответ на потребности территориально распределённых компаний, где есть корпоративный центр и удалённые от него точки (такие структуры характерны для предприятий нефтегазовой и добывающей отраслей, энергетики, банковской сферы). Стоит отметить, что система «Компакт» дополняет линейку продуктов «АйТи БАСТИОН» и может работать как часть сложного и широкофункционального распределённого комплекса, в основе которого будет находиться продукт СКДПУ НТ, но в то же время способна и самодостаточно защищать отдельные критически важные узлы без необходимости построения распределённой системы с центральным управлением.
В обзоре основной акцент сделан именно на СКДПУ «Компакт», но в целом важно понимать, что её отличие от программной версии СКДПУ незначительно и заключается лишь в пропускной способности аппаратной платформы. Ранее мы уже делали обзор программной версии СКДПУ, а также сравнительный обзор систем контроля действий привилегированных пользователей.
Функциональные возможности СКДПУ «Компакт»
СКДПУ «Компакт» позволяет надёжно контролировать доступ внутренних сотрудников и внешних поставщиков ИТ-услуг, владельцев учётных записей с расширенными привилегиями и пользователей с повышенными рисками. Система «Компакт» даёт возможность управлять полномочиями ИТ-персонала и гарантирует, что уже не имеющие прав доступа лица не смогут использовать критически важные серверы.
Одно устройство СКДПУ «Компакт» в минимальной комплектации рассчитано на контроль пяти целевых систем (пяти одновременных сессий). Система работает по принципу логического шлюза: привилегированные пользователи — администраторы, аудиторы — взаимодействуют с ключевой информационной инфраструктурой не напрямую, а через шлюз. Каждое устройство СКДПУ «Компакт» посредством защищённых каналов связи может взаимодействовать с головным офисом, откуда администратор безопасности или иное уполномоченное лицо централизованно управляет учётными записями и контролирует действия привилегированных пользователей. Также устройство СКДПУ «Компакт» может быть установлено в офисе небольшой компании для обеспечения полных функциональных возможностей контроля действий привилегированных пользователей.
Таблица 1. Основные возможности СКДПУ «Компакт»
Функциональные возможности | Описание |
Контроль доступа | СКДПУ «Компакт» позволяет создать политику управления доступом на основе прав пользователей: целевые учётные записи, протоколы, интервалы времени и типы сеансов. |
Единая точка входа в систему (SSO) | Для доступа к учётным записям достаточно предоставить имя пользователя и пароль в СКДПУ «Компакт». |
Поддержка нескольких протоколов администрирования | СКДПУ «Компакт» поддерживает такие протоколы администрирования устройств и серверов, как RDP / TSE, SSH, Telnet, VNC, SFTP / SCP и т. д. |
Отслеживание активности и запись сеансов | Регистрация и возможность записи всех действий, выполненных на управляемых устройствах в течение графического сеанса (RDP / TSE, VNC) или сеанса командной строки (SSH, Telnet). |
Управление паролями | СКДПУ «Компакт» позволяет изменять пароли на управляемых устройствах по запросу или через заданные интервалы времени. |
Работа без использования агентов | СКДПУ «Компакт» работает без использования специальных агентов на администрируемых устройствах или рабочих станциях администраторов. |
Статистика и отчёты о действиях | Возможность формировать рабочую статистику / отчёты и экспортировать эти данные в формате CSV через интерфейс администратора. |
Делегирование функций администрирования СКДПУ «Компакт» | Средства управления профилями позволяют определить, какие действия будут доступны каждому пользователю СКДПУ «Компакт» (например, создание пользователей, управление правами и т. д.) |
Анализ потока и распознавание текста | СКДПУ «Компакт» позволяет в режиме реального времени обнаруживать определённые строки символов в сессиях SSH и анализировать содержимое сеансов подключения к удалённому рабочему столу (RDP / TSE). |
Контроль в режиме реального времени | Администраторы СКДПУ «Компакт» могут просматривать активные сеансы подключения к удалённому рабочему столу и SSH в СКДПУ «Компакт» в режиме реального времени. |
Поддержка Web Service | Вся информация о пользователях, учётных записях, устройствах, правах доступа в СКДПУ «Компакт» может вводиться или извлекаться с помощью Web Service API. |
Функциональные возможности соответствуют основным запросам потребителей, а также современным тенденциям решений этого класса.
Архитектура СКДПУ «Компакт»
СКДПУ «Компакт» одинаково удобна в использовании как на распределённых по разным территориям точках крупного бизнеса, так и в информационной инфраструктуре небольших компаний.
В основе физической версии СКДПУ «Компакт» лежат хорошо зарекомендовавшее себя программное решение «Система контроля действий поставщиков ИТ-услуг», ОС Astra Linux Special Edition и низкоэнергозатратная аппаратная платформа, что позволяет внедрять устройство не только в привычной распределённой архитектуре (рис. 1), но и в случае если на защищаемых объектах недостаточно места для размещения полноценного сервера СКДПУ. Например, это актуально в нефтегазовой отрасли (АЗС) или банковской сфере (банкоматы).
Рисунок 1. Распределённая архитектура внедрения СКДПУ «Компакт»
Стоит отметить, что СКДПУ «Компакт» способна полностью удовлетворить запросы в части анализа событий и действий привилегированных пользователей даже без применения центрального узла управления. ИБ-администратору достаточно удалённо подключиться к веб-интерфейсу СКДПУ «Компакт» под своей учётной записью и просматривать аудит сессий, запись действий и многое другое.
Рисунок 2. Защита АЗС при помощи СКДПУ «Компакт»
С практическими кейсами и возможностями мы подробнее ознакомимся в разделе «Сценарии работы». Но прежде рассмотрим технические характеристики.
Технические характеристики СКДПУ «Компакт»
СКДПУ «Компакт» поддерживает различные протоколы передачи данных:
- HTTP (RFC 2616) и HTTPS (HTTP Over TLS – RFC 2818);
- SSH (RFC 4250–4256) и подсистемы указанного протокола;
- Telnet (RFC 854);
- Rlogin (RFC 1282);
- RDP (v. 5–8.1) и VNC (на основе RFB 3.8, RFC 6143) в домене пользователя.
Таблица 2. Характеристики СКДПУ «Компакт»
Характеристика | Значение |
Процессор | Intel Baytrail J1900 Quad Core, 2 ГГц |
Оперативная память | 4 ГБ, максимально до 8 ГБ |
Твердотельный носитель | 16 ГБ mSATA, максимально до 128 ГБ |
Сетевые интерфейсы | 1 LAN-интерфейс 100 Мбит/с |
Горячее резервирование | «Актив–пассив», «актив–актив» |
Размеры (ШхВхГ), мм | 245x192x64 |
Форм-фактор | MiniPC |
В части лицензирования (рис. 3) стоит отметить, что аппаратная платформа позволяет варьировать максимальное число одновременных подключений, устройств и приложений за счёт выбора оптимальных технических характеристик.
Рисунок 3. Лицензирование СКДПУ «Компакт»
Теперь, после того как мы рассмотрели основные функциональные возможности, технические характеристики и предназначение СКДПУ «Компакт», разберём несколько практических сценариев использования данного решения.
Сценарии использования СКДПУ «Компакт»
Для реализации сценариев подключимся к СКДПУ «Компакт» через веб-интерфейс (рис. 4). Также есть возможность задавать часть настроек через консоль.
Рисунок 4. Веб-интерфейс СКДПУ «Компакт», основные настройки
После загрузки открывается меню «Мои настройки», через которое можно произвести изменение основных параметров.
Смоделируем ситуацию, при которой в нашей небольшой компании есть несколько критически важных серверов под управлением разных систем (Windows, Linux), а также домен Active Directory. При этом защищаемые объекты, к которым нужно подключиться, размещены удалённо, т. е. помимо прочего есть риск, что злоумышленник получит физический доступ к СКДПУ «Компакт».
Сценарий 1. Настройка RDP-сеанса и работа с ним через СКДПУ «Компакт»
В целом работа с СКДПУ «Компакт» интуитивно понятна и подкрепляется подробной сопроводительной документацией. В нашем случае мы моделируем ситуацию, при которой мы ранее произвели развёртывание и базовую настройку СКДПУ, а также создали устройства (специальные сущности, описывающие серверы, доступ к которым будет контролироваться).
Начнём работу со знакомства с разделом «Мои авторизации» → «Сессии». Через него мы можем получить перечень доступных нам устройств и данные для подключения к ним (рис. 5).
Рисунок 5. Рабочий раздел, доступный любому пользователю СКДПУ «Компакт» (возможно скачать конфигурационный файл для подключения к сессии)
Подключимся к целевой системе по RDP. В роли RDP-клиента будет выступать mstsc. В качестве сервера для подключения указываем адрес СКДПУ «Компакт». Далее выберем сеанс, доступный нашему пользователю (рис. 6).
Рисунок 6. Аутентификация в системе Windows через СКДПУ «Компакт»
После выбора нужной нам сессии пользователю демонстрируется предупреждающее сообщение, которое легко изменяется под заказчика (рис. 7).
Рисунок 7. Предупреждающее сообщение при подключении к целевой системе через СКДПУ «Компакт»
Факт подключения будет отображаться в разделе «Аудит» → «Текущие соединения» (рис. 8), через который можно также войти в сессию в режиме контролёра (рис. 9).
Рисунок 8. Статус текущих соединений в веб-интерфейсе СКДПУ «Компакт»
Рисунок 9. Контроль действий администратора в сессии RDP посредством СКДПУ «Компакт»
Контролёр в случае обнаружения подозрительных или некорректных действий со стороны администратора может принудительно разорвать сессию (рис. 10).
Рисунок 10. Принудительный разрыв соединения по RDP администратором СКДПУ «Компакт»
В свою очередь, администратор целевой системы, сессию которого прервали, будет проинформирован об этом с указанием причины, что в целом соответствует правилам хорошего тона для PAM-решений (рис. 11).
Рисунок 11. Уведомление для привилегированного пользователя о принудительном разрыве соединения администратором СКДПУ «Компакт»
Также доступна возможность настроить уведомление, отправляемое ИБ-администратору в случае срабатывания правил. Это логично, так как вести постоянный контроль в реальном режиме ресурсозатратно. В частности, для этого предусмотрена возможность сохранять зафиксированные действия в сессиях напрямую на СКДПУ «Компакт» и подключать сетевые хранилища для надёжного резервирования записей.
Просмотр ранее установленных соединений доступен в разделе «Аудит» → «История соединений» (рис. 12), где можно не только увидеть подробности, но и провести аудит сессии через просмотр записанных команд и изучение видеозаписей.
Рисунок 12. История установленных соединений в СКДПУ «Компакт»
Запустим средство просмотра RDP-сессии (рис. 13).
Рисунок 13. Аудит сессий в СКДПУ «Компакт». Запуск средства просмотра сессии RDP
Первое, что становится нам доступно после загрузки просмотрщика, — общая информация и видеозапись (рис. 14).
Рисунок 14. Информация о записанной сессии RDP в СКДПУ «Компакт»
Помимо видеозаписи имеется возможность просмотреть команды, заголовки окон и множество подробнейшей информации о действиях во время сессии (рис. 15). Такой подход позволяет не только анализировать в ретроспективе, но и вдобавок прерывать текущие сеансы при обнаружении запрещённых политиками организации команд или действий — за счёт использования регулярных выражений при анализе. Эти функциональные возможности мы более подробно рассмотрим в следующем сценарии с SSH-сессией.
Рисунок 15. Просмотр записи действий и введённых команд в СКДПУ «Компакт»
Примечание: объём сохраняемых данных будет колебаться в зависимости от глубины изображения и характера сессии (например, RDP или SSH).
Сценарий 2. SSH-подключение с предварительным запросом разрешения при использовании СКДПУ «Компакт»
В предыдущем сценарии была отмечена возможность прерывать сессию за счёт контроля вводимых команд и совершаемых действий. В этом сценарии мы рассмотрим соответствующие функциональные возможности, но прежде обратим внимание на механизм разрешения подключения только по запросу. Если он активирован, то для внешнего ИТ-контрагента или внутреннего администратора подключение будет возможно только при одобрении ИБ-администратором либо по достижении кворума нескольких сотрудников, имеющих полномочия.
Для этого нам потребуется при создании или редактировании очередной авторизации на устройстве проставить галочку напротив пункта «Включение рабочего процесса утверждения» (рис. 16).
Рисунок 16. Управление авторизациями, настройка запроса разрешения на подключение в СКДПУ «Компакт»
Теперь при попытке соединиться у пользователя будет висеть соответствующее сообщение — до тех пор пока подключение не одобрит или не отклонит ИБ-администратор (рис. 17).
Рисунок 17. Запрос на утверждение подключения к целевой системе, находящейся за СКДПУ «Компакт»
ИБ-администратор в свою очередь получает на электронную почту сообщение со ссылкой для возможности оперативно обработать запрос (рис. 18). Стоит отметить, что СКДПУ «Компакт» за счёт открытого API позволяет гибко интегрироваться с практически любыми системами, в том числе тикетными (для обработки заявок), такими как Jira.
Рисунок 18. Сообщение на электронную почту с запросом подтверждения доступа, отправляемое ИБ-администратору
ИБ-администратору также доступен просмотр запросов в веб-интерфейсе СКДПУ «Компакт» (рис. 19).
Рисунок 19. Просмотр запросов в веб-интерфейсе СКДПУ «Компакт»
В качестве альтернативного способа для пользователя СКДПУ «Компакт» возможно создание тикета (заявки) с запросом на разрешение подключения в заранее определённое время (рис. 20).
Рисунок 20. Альтернативный способ создания запроса через веб-интерфейс СКДПУ «Компакт»
Для обработки запроса ИБ-администратору требуется перейти по ссылке из письма или войти в веб-интерфейс СКДПУ «Компакт» (рис. 21). В окне будет доступна возможность утвердить или отклонить запрос, а также задать временной интервал, на который выдаётся доступ, что позволяет гибко контролировать полномочия привилегированных пользователей и не беспокоиться о том, что ИБ-администратор забудет отозвать доступ.
Рисунок 21. Обработка запроса на разрешение доступа ИБ-администратором СКДПУ «Компакт»
После подтверждения запроса пользователю будет выдано приветственное сообщение (рис. 22). После этого можно приступать к работе с целевой системой.
Рисунок 22. Результат обработки запроса на разрешение подключения к целевой системе
После того как доступ будет предоставлен, появится ещё одна полезная возможность — не только пассивно контролировать сессию, но и пресекать ввод запрещённых команд с гибкой настройкой. Для начала рассмотрим разрешение на запуск определённой команды (рис. 23). Как видно, разрыва сессии не произошло.
Рисунок 23. Запуск разрешённой команды в сессии, контролируемой СКДПУ «Компакт»
Однако в случае ввода запрещённой команды в контролируемом СКДПУ «Компакт» сеансе он будет немедленно прерван. При этом система контролирует контекст вводимых символов: даже если привилегированный пользователь решит схитрить и, например, вместо набора команды создать скриптовый файл через текстовый редактор, сессия всё равно будет разорвана (рис. 24).
Рисунок 24. Ввод запрещённой команды в сессии, контролируемой СКДПУ «Компакт»
Информация об инциденте будет зафиксирована со всеми подробностями и отобразится в веб-интерфейсе СКДПУ «Компакт» (рис. 25), а в случае интеграции с SIEM-системой событие будет отправлено в неё для анализа.
Рисунок 25. Фиксация факта разрыва сессии из-за ввода запрещённой команды
Сценарий 3. Аудит соединений, его возможности и преимущества в СКДПУ «Компакт»
Система «Компакт», как уже было отмечено, вполне может быть использована в качестве самодостаточного устройства, обеспечивая не только контроль, но и полный аудит событий, зафиксированных в сессиях (рис. 26).
Рисунок 26. Аудит текущих соединений в СКДПУ «Компакт»
Кроме изучения текущих сессий доступен просмотр в ретроспективе. Для этого необходимо использовать специальный просмотрщик записанных событий (рис. 27).
Рисунок 27. Аудит записанных соединений в СКДПУ «Компакт»
Для потенциального заказчика также может быть важным просмотр аудита действий по учётным записям, заведённым на СКДПУ «Компакт» (рис. 28). Это в совокупности всех данных даёт, несомненно, полную картину ситуации и оценку важности инцидента.
Рисунок 28. Аудит по учётным записям в СКДПУ «Компакт»
В случае необходимости построить график по статистике соединений СКДПУ «Компакт» предоставляет встроенный инструмент, с помощью которого формируются развёрнутые графики с отчётом (рис. 29).
Рисунок 29. Инструмент построения графика по статистике соединений в СКДПУ «Компакт»
Сценарий 4. Шифрование видеозаписей и защита от выноса в СКДПУ «Компакт»
Ранее в сценарии моделировалась потенциальная возможность выноса СКДПУ «Компакт» злоумышленниками. Как раз на этот случай разработчики продукта реализовали дополнительную защиту с помощью закрытого ключа, уникального для каждой инсталляции СКДПУ «Компакт». При включении системы шифрования дополнительно рекомендуется установить пасс-фразу (своего рода пароль) длиной в 16 символов.
Рисунок 30. Защита данных в СКДПУ «Компакт» при помощи шифрования
Единственный минус такой дополнительной защиты — в том, что при утере пасс-фразы будет отсутствовать возможность восстановить данные СКДПУ «Компакт». К тому же пасс-фразу потребуется вводить каждый раз при перезагрузке. Однако можно утверждать, что это — не чрезмерная плата за надёжный способ защитить критически важные данные от физического выноса с объекта, где установлен СКДПУ «Компакт».
Выводы
СКДПУ «Компакт» — малогабаритное, самодостаточное, эффективное решение, способное охватить потребности в части контроля действий администраторов и технического персонала контрагентов любой организации: от крупной с филиальной структурой до совсем небольшой со скромным бюджетом.
Несмотря на компактный форм-фактор, система имеет полный набор функций, способна отслеживать и регистрировать все сеансы работы по протоколам администрирования RDP, SSH, Telnet, VNC, SFTP и прочим (видеозапись всей сессии, а также сопутствующие данные: клавиатурный ввод, заголовки окон и т. д.).
Программно-аппаратный комплекс СКДПУ «Компакт» устанавливается не в разрыв сетевого трафика, т. е. является наложенным средством защиты, и не требует развёртывания агентов на целевых системах.
Изучив функциональные возможности СКДПУ «Компакт» и протестировав её, можно сделать выводы о том, что данное решение соответствует потребностям большинства заказчиков с позиции разумной достаточности, характеризуется хорошими функциональными возможностями и заделом на будущее.
Большим плюсом является возможность централизованного управления с помощью СКДПУ НТ.
Достоинства:
- Легковесное, безагентное решение. Нет необходимости использовать специальные клиенты для подключения (используются стандартные Putty, SSH, RDP). Также нет дополнительной инкапсуляции (не требует расширенного канала).
- Возможность гибкой настройки профилей пользователей в части прав доступа к целевым системам, а также управления паролями на целевых системах. Имеется функциональность по скрытию паролей. Поддерживаются различные варианты авторизации на устройстве.
- Возможность работы в режиме подтверждения подключений к целевым системам. Без одобрения администратора или кворума из назначенных лиц невозможно подключиться к системе.
- Полный аудит сессии (видеопоток, текстовые данные). Возможен контроль вводимых команд с помощью встроенного механизма на основе регулярных выражений, что позволяет блокировать сессию в случае обнаружения недопустимой или запрещённой команды.
- Возможность интеграции с каталогами. Наличие REST API (управление в режиме автоматизации), интеграция с тикетными системами. Объединяется с СКДПУ НТ, ведущим центральный мониторинг. Есть также возможность подключения больших хранилищ данных.
- Кластеризация в режиме «актив–пассив»; доступен вариант кластера в режиме «актив–актив», но для этого режима требуется внешний балансировщик.
- Наличие сертификатов НДВ-4 ФСТЭК России, НДВ-2 Минобороны. Входит в реестр отечественного ПО, работает на Astra Linux SE.
Недостатки:
- На момент написания обзора отсутствуют эксплуатационная документация и справка на русском языке «из коробки» (есть у вендора, но подключить можно только вручную).