Экономика стран

К сожалению, большинство людей, которые будут ими затронуты почти весь мир, не будут иметь никакого влияния на результат. Вести Экономика Дайджест иностранной прессы за 14 августа.
Вести Экономика Греции снова придется списывать долги Греция не сможет самостоятельно расплатиться по долгам, и понадобится новая реструктуризация долгов, чтобы спасти страну от банкротства.

Аптымізацыя працы ІТ-службы з Wallix AdminBastion

  2. магчымасці прадукту
  3. варыянты прымянення
  4. Кіраванне серверам Windows
  5. Кіраванне серверам Linux
  6. Кіраванне праз вэб-інтэрфейс
  7. Абмежаванне часу доступу
  8. высновы

Праца ІТ-службы часта застаецца бескантрольнай: ні кіраўніцтва дэпартамента, ні спецыялісты па інфармацыйнай бяспекі не ведаюць чым і калі займаюцца сістэмныя адміністратары. Wallix AdminBastion - прадукт, які дазваляе наладзіць кантроль над працай ІТ-спецыялістаў і аптымізаваць дзейнасць ІТ-службы.

1. Увядзенне

2. Магчымасці прадукту

3. Варыянты прымянення

3.1. Кіраванне Windows-серверам

3.2. Кіраванне Linux-серверам

3.3. Кіраванне праз вэб-інтэрфейс

4. Абмежаванне часу доступу

5. Высновы

ўвядзенне

Дадзены артыкул працягвае цыкл публікацый пра ўжыванне Wallix AdminBastion заказчыкамі з розных галін для кантролю дзеянняў прывілеяваных карыстальнікаў.

Часцей за ўсё інтарэсы службаў ІТ і ІБ разыходзяцца. Сістэмныя адміністратары пярэчаць ўкараненню новых ахоўных сістэм, так як іх абслугоўванне адымае дадатковы час і дадае праблем у адносінах з карыстальнікамі. Пры гэтым каштоўнасць абароны інфармацыі работнікамі ІТ часта недаацэньваецца, а магчымыя рызыкі - не ўлічваюцца. Але бывае так, што прадукт, першапачаткова распрацаваны для інфармацыйнай бяспекі, знаходзіць прымяненне ў службы ІТ, падвышаючы зручнасць працы і аптымізуючы дзейнасць цэлага аддзела.

Існуе мноства праблем, звязаных з некрытычным прывілеяваным доступам: так, напрыклад, немагчыма адсачыць большую частку дзеянняў сістэмных адміністратараў, інжынераў, якія займаюцца наладай сеткавага абсталявання, і спецыялістаў на аўтсорсінгу, якія выконваюць абслугоўванне ІТ-інфраструктуры па дамове. Пры гэтым паўнамоцтвы дадзеных спецыялістаў самыя шырокія - поўны доступ да ўсіх ІТ-сістэмам, што багата рызыкамі для бяспекі. Акрамя таго, немагчымасць адсочвання дзейнасці можа несці і фінансавыя рызыкі, звязаныя з недастатковым выкананнем супрацоўнікамі і аутсорсера сваіх абавязкаў. Праца ІТ-службы амаль заўсёды патрабуе кантролю і можа быць аптымізавана.

Аптымізаваць службы ІТ можна ў двух асноўных напрамках. Першае - аўтаматызацыя і павышэнне хуткасці працы, другое - узмацненне кантролю за дзейнасцю сістэмных адміністратараў. Wallix AdminBastion дазваляе спрасціць працу сістэмных адміністратараў і здымае асноўную «галаўны боль» - кіраванне паролямі да кіраваным серверам і сеткавага абсталявання. А кіраўніцтва ІТ-службы атрымлівае зручны інструмент кантролю дзеянняў прывілеяваных супрацоўнікаў.

Акрамя таго, у працы сістэмных адміністратараў і аутсорсеров нярэдка адбываюцца выпадковыя ці наўмысныя памылкі. Іх расследаванне адымае шмат часу і таму звычайна не праводзіцца. Кіраўніцтва ІТ-службаў даруе сваім супрацоўнікам хібы або карае ўвесь аддзел. Wallix AdminBastion дапаможа вырашыць і гэтую праблему - можна хутка ўсталяваць, хто працаваў з администрируемым серверам або сеткавым абсталяваннем і якія дзеянні выконваў.

магчымасці прадукту

Асноўныя магчымасці Wallix AdminBastion ўжо разгледжаны ў нашых папярэдніх аглядах , Таму адразу пяройдзем да тых функцый, якія могуць аптымізаваць працу ІТ-службаў і дапамагчы іх кіраўнікам.

Wallix AdminBastion ў спрошчаным выглядзе ўяўляе сабой проксі-сервер, транслявальны трафік па пратаколах RDP ( «Падключэнне да выдаленага працоўнага стала»), SSH, Telnet і HTTP (S) (вэб-інтэрфейсы). Названыя пратаколы ахопліваюць практычна ўсе варыянты адміністрацыйных інтэрфейсаў, з якімі працуюць сістэмныя адміністратары. Па пратаколе RDP ажыццяўляецца кіраванне Windows-серверамі і працоўнымі станцыямі карыстальнікаў. Па пратаколах SSH і Telnet кіруюцца Unix-падобныя сервера і вялікая частка сеткавага абсталявання. Астатняя частка сеткавага абсталявання, а таксама розныя спецыфічныя сістэмы кіруюцца праз вэб-інтэрфейс па пратаколе HTTP / HTTPS.

Функцыянал Wallix AdminBastion, які можа быць ужыты для ІТ-службаў, падзяляецца на дзве катэгорыі - кіраванне доступам і кантроль дзеянняў. Ўласная сістэма доступу прывілеяваных карыстальнікаў (якія маюць асаблівыя правы доступу да ІТ-інфраструктуры ў арганізацыі) праз вэб-інтэрфейс рэалізуе адзіную кропку ўваходу (SSO, Single Sign-On) - карыстальнік аўтарызуецца адзін раз і затым падключаецца да сэрвісаў без паўторнага ўводу пароля.

Служба аўтэнтыфікацыі Wallix AdminBastion можа быць інтэграваная з LDAP-серверамі (уключаючы Active Directory), KERBEROS-серверамі (уключаючы Microsoft Kerberos) і RADIUS-серверамі, якія нярэдка выкарыстоўваюцца ў буйных сетках для аўтарызацыі сеткавых падлучэнняў па пратаколе 801.1x і для аўтарызацыі аддаленых карыстальнікаў - напрыклад, па мадэмным і VPN-падключэння.

Інтэграцыйныя функцыі Wallix AdminBastion па аўтарызацыі карыстальнікаў дазваляюць падбудавацца пад аўтарызацыйныя палітыкі практычна любой лакальнай сеткі і выключаюць неабходнасць паўторнага прызначэння пароляў і выканання ўмоў па іх абнаўлення для карыстальнікаў.

Малюнак 1. Налады інтэграцыі Wallix AdminBastion з RADIUS-серверам

Доступ прывілеяваных карыстальнікаў да абараняемым серверам, прыладам і службам ажыццяўляецца з дапамогай стварэння матрыцы сувязяў паміж карыстацкімі ўліковымі запісамі і абараняць сістэмамі. Пры даданні абараняюцца прыкладанняў і прылад задаюцца пратаколы падлучэння, якія выкарыстоўваюцца лакальныя ўліковыя запісы, заведзеныя на гэтых кампутарах і прыладах, і наладжваюцца дадатковыя параметры.

Малюнак 2. Даданне администрируемого роутера ў Wallix AdminBastion

Даданне администрируемого роутера ў Wallix AdminBastion

Размежаванне доступу ажыццяўляецца з дапамогай механізму груп. Групы прадугледжаны як для карыстальнікаў, так і для абараняюцца службаў. Такі падыход значна скарачае час налады і выключае неабходнасць працы з асобнымі сутнасцямі пры неабходнасці хутка змяніць існуючыя правілы доступу.

Пры ўваходзе ў вэб-інтэрфейс Wallix AdminBastion з выкарыстаннем карыстацкага акаўнта на галоўным экране адкрываецца пералік даступных для кіравання сервераў і прылад. Доступ па RDP ажыццяўляецца стандартнымі сродкамі RDP-кліента па загружаць файлы з наканаваных наладамі падключэння. Доступ па SSH выконваецца аналагічна, але для празрыстай працы патрабуецца спецыяльная праграма - WABPutty, рэалізаваная на базе SSH-кліента Putty з падтрымкай загружанага файла з наладамі падключэнняў. Доступ па HTTP / HTTPS ажыццяўляецца з таго ж браўзэра простым пераходам па адмыслова сфармаванай спасылцы для падлучэння.

Малюнак 3. Выбар сервера для падлучэння ў карыстацкім інтэрфейсе Wallix AdminBastion

Выбар сервера для падлучэння ў карыстацкім інтэрфейсе Wallix AdminBastion

Wallix AdminBastion ўлічвае ўсе дзеянні прывілеяваных карыстальнікаў, у працэсе працы вядуцца падрабязныя часопісы набіраных сістэмнымі адміністратарамі каманд і іх вынікаў. Для RDP-сесіі ажыццяўляецца відэазапіс сеансу і распазнаванне тэкставых фраз на экране (OCR).

Якія прадстаўляюцца Wallix AdminBastion механізмы па аператыўным адсочванні дзеянняў у рэжыме рэальнага часу і часопісы, якія захоўваюць ўсе дзеянні прывілеяваных карыстальнікаў, дазваляюць кіраўніку ІТ-службы кантраляваць працу сістэмных адміністратараў і, у выпадку дапушчаных памылак, праводзіць вывучэнне іх дзеянняў.

З дапамогай гэтых механізмаў можна кантраляваць дзеянні супрацоўнікаў ІТ-дэпартамента, бачыць, якія аперацыі на абслугоўваюцца серверах выраблялі калегі і падначаленыя. Акрамя таго, у выпадку інцыдэнту не складзе працы хутка вызначыць прычыну і вінаватых, а таксама ацаніць ступень сур'ёзнасці праблемы. У асаблівых выпадках дадзеныя аўдыту Wallix AdminBastion могуць быць выкарыстаны і для расследавання інцыдэнтаў, звязаных з наўмыснымі парушэннямі з боку супрацоўнікаў.

Малюнак 4. Прагляд сеансу работы карыстальніка ў Wallix AdminBastion

варыянты прымянення

Разгледзім працу з трыма асноўнымі сэрвісамі - кіраванне Windows Server па RDP, кіраванне серверам Linux па SSH і кіраванне роўтарам праз вэб-інтэрфейс.

Кіраванне серверам Windows

Для кіравання Windows Server праз Wallix AdminBastion неабходна дадаць яго ў спіс абараняюцца кампутараў. Пры даданні ўказваецца назва сервера, яго адрас і які выкарыстоўваецца пратакол - RDP. Пасля гэтага задаюцца дадзеныя для доступу на сервер - у раздзеле Accounts выбіраецца патрэбная пазіцыя, і ў выпадальным меню дадаецца новы рахунак. Для Windows Server часцей за ўсё такім акаўнтам з'яўляецца уліковы запіс лакальнага адміністратара. Увод дадзеных для доступу да сервера неабходны для скразны аўтэнтыфікацыі прывілеяваных карыстальнікаў. Пры жаданні уліковы запіс можна не задаваць, тады сістэмны адміністратар павінен будзе ўводзіць дадзеныя для ўваходу кожны раз пры доступе. Аднак пры гэтым губляецца адна з асноўных функцый Wallix AdminBastion, з дапамогай якой аптымізуецца праца ІТ-службы.

Малюнак 5. Налада ўліковых запісаў абараняюцца сервераў у Wallix AdminBastion

Сістэмны адміністратар аўтарызуецца ў інтэрфейсе Wallix AdminBastion, выбірае з спісу Windows Server, загружае файл з наладамі злучэнняў і, падлучаючыся да Wallix AdminBastion, аўтаматычна трапляе на патрэбны сервер. Калі ў наладах абараняецца сервера ўстаноўлена запіс усіх сеансаў, сістэмны адміністратар атрымлівае апавяшчэнне аб пачатку запісу, тэкст якога можа быць зменены ў наладах. Такое паведамленне дадаткова стымулюе работніка больш уважліва ставіцца да сваіх службовых абавязкаў і папярэджвае яго аб тым, што магчымыя негатыўныя дзеянні будуць хутка вылічаныя і вызначаны яго кіраўніцтвам.

Малюнак 6. Папярэджаньне пра запіс сеансу ў Wallix AdminBastion

Папярэджаньне пра запіс сеансу ў Wallix AdminBastion

Калі сістэмны адміністратар працуе ў RDP-сеансе, кіраўнік ІТ-службы або спецыяліст па бяспецы можа назіраць за ўсімі яго дзеяннямі ў рэжыме рэальнага часу.

Малюнак 7. Назіранне за RDP-сеансам ў рэжыме рэальнага часу ў Wallix AdminBastion

Любы адкрыты сеанс можна маментальна разарваць, пры гэтым карыстальніку будзе выдадзена паведамленне аб спыненні злучэння. Завершаныя сеансы можна вывучыць у часопісе Wallix AdminBastion. У аўдыт па RDP-злучэнням трапляюць: поўная відэазапіс сеансу, здымкі экрана, зробленыя праз пэўныя прамежкі часу, і поўная расшыфроўка дадзеных, уведзеных з клавіятуры і паказу на экране (прымяняецца тэхналогія OCR - аптычнае распазнаванне тэксту).

Кіраванне серверам Linux

Сервер Linux дадаецца ў Wallix AdminBastion аналагічна Windows Server, пры гэтым выбіраецца пратакол SSH і адзначаюцца дазволеныя варыянты прымянення дадзенага пратаколу (суб-пратаколы) - тэрмінальны доступ, выдаленае выкананне каманд, перадача файлаў праз SCP і SFTP і аддалены доступ да графічнага сервера X11 / x .org. Разгледзім толькі найпросты сцэнар - тэрмінальны доступ.

Сістэмнаму адміністратару неабходна загрузіць і ўсталяваць прыкладанне WABPutty, а затым падлучэнне адбываецца па аналагічным з RDP сцэнару - загружаецца файл у фармаце WABPutty, і падлучэнне адбываецца аўтаматычна.

Малюнак 8. Падключэнне праз WABPutty да Linux-серверу ў Wallix AdminBastion

Падключэнне праз WABPutty да Linux-серверу ў Wallix AdminBastion

Гэтак жа як і для RDP, даступны прагляд актыўных сесій праз адміністрацыйны інтэрфейс з магчымасцю разарваць любое падлучэнне. У часопісе аўдыту захоўваецца поўны лог працы з SSH-тэрміналаў.

Кіраванне праз вэб-інтэрфейс

Для кантролю кіравання праз вэб-інтэрфейсы ў Wallix AdminBastion дадаецца які абараняецца сервер або прылада, якое працуе па пратаколе HTTP / HTTPS. Гэтак жа як і ў RDP- і SSH-падлучэннях, магчыма захаванне парольной інфармацыі для празрыстай аўтарызацыі прывілеяваных карыстальнікаў. Падтрымліваецца мноства варыянтаў аўтарызацыі - basic, digest, вэб-формы і іншыя тыпы. Wallix AdminBastion пакрывае абсалютная большасць спосабаў аўтарызацыі ў вэб-інтэрфейсах. У якасці прыкладу разгледзім basic-аўтарызацыю, якая прымяняецца ў многіх роутерах з кіраваннем праз вэб.

Малюнак 9. Спроба прамога доступу да сервера, закрытая basic-аўтарызацыяй, і паспяховы ўваход у вэб-інтэрфейс з дапамогай Wallix AdminBastion

Прамы доступ застаецца закрытым аўтарызацыяй, але доступ праз Wallix AdminBastion ажыццяўляецца напрамую, калі прывілеяваны карыстальнік прайшоў аўтарызацыю ў Wallix AdminBastion.

У адрозненне ад RDP- і SSH-злучэнняў, актыўныя сесіі для вэб-інтэрфейсу не адсочваюцца Wallix AdminBastion з-за асаблівасцяў пратаколу - сесія доўжыцца роўна з моманту запыту інфармацыі і да моманту перадачы ўсіх дадзеных, таму разарваць сесію па запыце нельга. Але запіс у часопіс сесій адбываецца ў поўным аб'ёме - запісваюцца GET- і POST-запыты з указаннем URL-адрасоў старонак і перададзеных параметраў.

Абмежаванне часу доступу

Дадатковым механізмам кантролю доступу ў Wallix AdminBastion з'яўляецца магчымасць абмежаваць магчымы час доступу для прывілеяваных карыстальнікаў. Абмежаванні наладжваюцца ў асобным раздзеле налад (Timeframes), у кожнага абмежаванні ёсць сваю назву і апісанне. Падтрымліваецца даданне некалькіх часовых перыядаў да аднаго элементу часовага абмежаванні. У якасці часовых параметраў паказваецца дата пачатку дзеяння, дата заканчэння тэрміну дзеяння, дні тыдня і час сутак.

Малюнак 10. Стварэнне новага перыяду часу доступу ў Wallix AdminBastion

Складнікі спісаў часовых абмежаванняў могуць прызначацца для груп карыстальнікаў. У выпадку, калі карыстальнік уваходзіць у некалькі груп з рознымі часовымі абмежаваннямі, яны сумуюцца і карыстальнік атрымае доступ толькі ў той час, якое дазволена адразу ва ўсіх наладах часовых абмежаванняў.

З дапамогай механізму абмежаванні часу доступу можна не толькі кантраляваць працоўны дзень сістэмных адміністратараў і забараняць доступ, напрыклад, у выхадныя дні і начныя частыя, але і ствараць часовыя ўліковыя запісы з указаннем даты пачатку і заканчэння работ у інфраструктуры. Такія абмежаванні зручна прызначаць для спецыялістаў-аутсорсеров: пасля заканчэння зададзенага часу ўваход у сістэму будзе аўтаматычна заблякаваны, і рызыкі, звязаныя з несанкцыянаваным доступам, зводзяцца да мінімуму.

высновы

Wallix AdminBastion пацвярджае сваё званне універсальнага прадукту, які задавальняе патрэбы не толькі аддзела інфармацыйнай бяспекі па кантролі за прывілеяванымі карыстальнікамі, але і актыўна дапамагае аптымізаваць працу службы ІБ з дапамогай адзінай кропкі ўваходу і поўнага кантролю ўсіх сесій сістэмных адміністратараў. Універсальнасці дадае шырокі пералік падтрымоўваных пратаколаў, якія ахопліваюць практычна ўсе кіраваныя сервера і прылады. Кантроль кіравання Linux-сервераў у Wallix AdminBastion па магчымасцях не саступае кантролі кіравання Windows-сервераў, таму прадукт можна рэкамендаваць для ўсіх арганізацый, па-за залежнасці ад сервернай інфраструктуры.

Для кіраўнікоў ІТ-службаў Wallix AdminBastion уяўляе шырокі функцыянал па маніторынгу за дзеяннямі падначаленых, які можна прымяніць як для кантролю працоўнага часу і хуткасці апрацоўкі заявак, так і для расследавання інцыдэнтаў, выкліканых выпадковымі памылкамі падначаленых ці наўмыснымі дзеяннямі. Акрамя таго, Wallix AdminBastion, нагадваючы пра сябе і папярэджваючы пра кантроль, зніжае рызыку памылак, так як ІТ-спецыялісты, ведаючы, што іх кантралююць, імкнуцца лепш выконваць сваю працу.

Навигация сайта
Реклама
Панель управления
Регистрация
Забыли пароль ?
Календарь новостей
Популярные новости
Информация
Экономика стран www.mp3area.ru © 2005-2016
При копировании материала, ссылка на сайт обязательна.