Экономика стран

К сожалению, большинство людей, которые будут ими затронуты почти весь мир, не будут иметь никакого влияния на результат. Вести Экономика Дайджест иностранной прессы за 14 августа.
Вести Экономика Греции снова придется списывать долги Греция не сможет самостоятельно расплатиться по долгам, и понадобится новая реструктуризация долгов, чтобы спасти страну от банкротства.

Оптимізація роботи ІТ-служби з Wallix AdminBastion

  1. можливості продукту
  2. варіанти застосування
  3. Управління сервером Windows
  4. Управління сервером Linux
  5. Управління через веб-інтерфейс
  6. Обмеження часу доступу
  7. висновки

Робота ІТ-служби часто залишається безконтрольною: ні керівництво департаменту, ні фахівці з інформаційної безпеки не знають чим і коли займаються системні адміністратори. Wallix AdminBastion - продукт, який дозволяє налаштувати контроль над роботою ІТ-фахівців і оптимізувати діяльність ІТ-служби.

1. Введення

2. Можливості продукту

3. Варіанти застосування

3.1. Управління Windows-сервером

3.2. Управління Linux-сервером

3.3. Управління через веб-інтерфейс

4. Обмеження часу доступу

5. Висновки

Вступ

Дана стаття продовжує цикл публікацій про застосування Wallix AdminBastion замовниками з різних галузей для контролю дій привілейованих користувачів.

Найчастіше інтереси служб ІТ та ІБ розходяться. Системні адміністратори опираються впровадженню нових захисних систем, так як їх обслуговування забирає додатковий час і додає проблем у відносинах з користувачами. При цьому цінність захисту інформації працівниками ІТ часто недооцінюється, а можливі ризики - не враховуються. Але буває так, що продукт, спочатку розроблений для інформаційної безпеки, знаходить застосування у служби ІТ, підвищуючи зручність роботи і оптимізуючи діяльність цілого відділу.

Існує безліч проблем, пов'язаних з безконтрольним привілейованим доступом: так, наприклад, неможливо відстежити більшу частину дій системних адміністраторів, інженерів, що займаються настроюванням мережного устаткування, і фахівців на аутсорсингу, що виконують обслуговування ІТ-інфраструктури за договором. При цьому повноваження даних фахівців найширші - повний доступ до всіх ІТ-систем, що загрожує ризиками для безпеки. Крім того, неможливість відстеження діяльності може нести і фінансові ризики, пов'язані з недостатнім виконанням співробітниками і аутсорсерами своїх обов'язків. Робота ІТ-служби майже завжди вимагає контролю і може бути оптимізована.

Оптимізувати служби ІТ можна в двох основних напрямках. Перше - автоматизація і підвищення швидкості роботи, друге - посилення контролю за діяльністю системних адміністраторів. Wallix AdminBastion дозволяє спростити роботу системних адміністраторів і знімає основну «головний біль» - управління паролями до керованим серверів і мережевого устаткування. А керівництво ІТ-служби отримує зручний інструмент контролю дій привілейованих співробітників.

Крім того, в роботі системних адміністраторів і аутсорсеров нерідко відбуваються випадкові або навмисні помилки. Їх розслідування забирає багато часу і тому зазвичай не проводиться. Керівництво ІТ-служб прощає своїм співробітникам помилки або карає весь відділ. Wallix AdminBastion допоможе вирішити і цю проблему - можна швидко встановити, хто працював з адміністрованим сервером або мережевим обладнанням і насамперед виконував.

можливості продукту

Основні можливості Wallix AdminBastion вже розглянуті в наших попередніх оглядах , Тому відразу перейдемо до тих функцій, які можуть оптимізувати роботу ІТ-служб і допомогти їх керівникам.

Wallix AdminBastion в спрощеному вигляді являє собою проксі-сервер, який транслює трафік за протоколами RDP ( «Підключення до віддаленого робочого столу»), SSH, Telnet і HTTP (S) (веб-інтерфейси). Зазначені протоколи охоплюють практично всі варіанти адміністративних інтерфейсів, з якими працюють системні адміністратори. За протоколом RDP здійснюється управління Windows-серверами і робочими станціями користувачів. За протоколами SSH і Telnet управляються Unix-подібні сервера і велика частина мережевого обладнання. Частина, що залишилася мережевого обладнання, а також різні специфічні системи управляються через веб-інтерфейс по протоколу HTTP / HTTPS.

Функціонал Wallix AdminBastion, який може бути застосований для ІТ-служб, розділяється на дві категорії - управління доступом і контроль дій. Власна система доступу привілейованих користувачів (які мають особливі права доступу до ІТ-інфраструктурі в організації) через веб-інтерфейс реалізує єдину точку входу (SSO, Single Sign-On) - користувач авторизується один раз і потім підключається до сервісів без повторного введення пароля.

Служба аутентифікації Wallix AdminBastion може бути інтегрована з LDAP-серверами (включаючи Active Directory), KERBEROS-серверами (включаючи Microsoft Kerberos) і RADIUS-серверами, які нерідко використовуються в великих мережах для авторизації здійснювати підключення до мережі по протоколу 801.1x і для авторизації віддалених користувачів - наприклад, по модемним і VPN-підключень.

Інтеграційні функції Wallix AdminBastion по авторизації користувачів дозволяють підлаштуватися під авторизовані політики практично будь-якої локальної мережі і виключають необхідність повторного призначення паролів і дотримання умов по їх оновленню для користувачів.

Малюнок 1. Налаштування інтеграції Wallix AdminBastion з RADIUS-сервером

Доступ привілейованих користувачів до захищених серверів, пристроїв і службам здійснюється за допомогою створення матриці зв'язків між призначеними для користувача обліковими записами і захищеними системами. При додаванні захищаються додатків і пристроїв задаються протоколи підключення, використовувані локальні облікові записи, заведені на цих комп'ютерах і пристроях, і налаштовуються додаткові параметри.

Малюнок 2. Додавання адміністрованого роутера в Wallix AdminBastion

Додавання адміністрованого роутера в Wallix AdminBastion

Розмежування доступу здійснюється за допомогою механізму груп. Групи передбачені як для користувачів, так і для захищаються служб. Такий підхід значно скорочує час настройки і виключає необхідність роботи з окремими сутностями при необхідності швидко змінити існуючі правила доступу.

При вході в веб-інтерфейс Wallix AdminBastion з використанням призначеного для користувача аккаунта на головному екрані відкривається перелік доступних для управління серверів і пристроїв. Доступ по RDP здійснюється стандартними засобами RDP-клієнта по завантажуваного файлу з зумовленими налаштуваннями підключення. Доступ по SSH виконується аналогічно, але для прозорої роботи потрібна спеціальна програма - WABPutty, реалізована на базі SSH-клієнта Putty з підтримкою завантаження з настройками підключень. Доступ по HTTP / HTTPS здійснюється з того ж браузера простим переходом по спеціально сформованої посиланням для підключення.

Малюнок 3. Вибір сервера для підключення в інтерфейсі Wallix AdminBastion

Вибір сервера для підключення в інтерфейсі Wallix AdminBastion

Wallix AdminBastion враховує всі дії привілейованих користувачів, в процесі роботи ведуться детальні журнали набираються системними адміністраторами команд і їх результатів. Для RDP-сесії здійснюється відеозапис сеансу і розпізнавання текстових фраз на екрані (OCR).

Надані Wallix AdminBastion механізми по оперативному відстеженню дій в режимі реального часу і журнали, що зберігають всі дії привілейованих користувачів, дозволяють керівнику ІТ-служби контролювати роботу системних адміністраторів і, в разі допущених помилок, проводити вивчення їх дій.

За допомогою цих механізмів можна контролювати дії співробітників ІТ-департаменту, бачити, які операції на обслуговуваних серверах виробляли колеги і підлеглі. Крім того, в разі інциденту не важко швидко визначити причину і винних, а також оцінити ступінь серйозності проблеми. В особливих випадках дані аудиту Wallix AdminBastion можуть бути використані і для розслідування інцидентів, пов'язаних з навмисними порушеннями з боку співробітників.

Малюнок 4. Перегляд сеансу роботи користувача в Wallix AdminBastion

варіанти застосування

Розглянемо роботу з трьома основними сервісами - управління Windows Server по RDP, управління сервером Linux по SSH і управління роутером через веб-інтерфейс.

Управління сервером Windows

Для управління Windows Server через Wallix AdminBastion необхідно додати його в список захищаються комп'ютерів. При додаванні вказується назва сервера, його адреса і використовуваний протокол - RDP. Після цього задаються дані для доступу на сервер - в розділі Accounts вибирається потрібна позиція, і в випадаючому меню додається новий акаунт. Для Windows Server найчастіше таким членством є обліковий запис локального адміністратора. Введення даних для доступу до сервера необхідний для наскрізної аутентифікації привілейованих користувачів. При бажанні обліковий запис можна не ставити, тоді системний адміністратор повинен буде вводити дані для входу кожен раз при доступі. Однак при цьому втрачається одна з основних функцій Wallix AdminBastion, за допомогою якої оптимізується робота ІТ-служби.

Малюнок 5. Налаштування облікових записів захищаються серверів в Wallix AdminBastion

Системний адміністратор авторизується в інтерфейсі Wallix AdminBastion, вибирає зі списку Windows Server, завантажує файл з настройками з'єднань і, підключаючись до Wallix AdminBastion, автоматично потрапляє на потрібний сервер. Якщо в налаштуваннях сервера, що захищається встановлена ​​запис всіх сеансів, системний адміністратор отримує повідомлення про початок запису, текст якого може бути змінений в налаштуваннях. Таке повідомлення додатково стимулює працівника уважніше ставитися до своїх службових обов'язків і попереджає його про те, що можливі негативні дії будуть швидко обчислені і визначені його керівництвом.

Малюнок 6. Попередження про записи сеансу в Wallix AdminBastion

Попередження про записи сеансу в Wallix AdminBastion

Коли системний адміністратор працює в RDP-сеансі, керівник ІТ-служби або фахівець з безпеки може спостерігати за всіма його діями в режимі реального часу.

Малюнок 7. Спостереження за RDP-сеансом в режимі реального часу в Wallix AdminBastion

Будь відкритий сеанс можна моментально розірвати, при цьому користувачу буде видано повідомлення про припинення з'єднання. Завершення сеанси можна вивчити в журналі Wallix AdminBastion. В аудит по RDP-з'єднанням потрапляють: повний відеозапис сеансу, знімки екрану, зроблені через певні проміжки часу, і повна розшифровка даних, введених з клавіатури і відображаються на екрані (застосовується технологія OCR - оптичне розпізнавання тексту).

Управління сервером Linux

Сервер Linux додається в Wallix AdminBastion аналогічно Windows Server, при цьому вибирається протокол SSH і зазначаються дозволені варіанти застосування даного протоколу (суб-протоколи) - термінальний доступ, віддалене виконання команд, передача файлів через SCP і SFTP і віддалений доступ до графічного сервера X11 / x .org. Розглянемо тільки найпростіший сценарій - термінальний доступ.

Системного адміністратора необхідно завантажити і встановити додаток WABPutty, а потім підключення відбувається за аналогічним з RDP сценарієм - завантажується файл у форматі WABPutty, і підключення відбувається автоматично.

Малюнок 8. Підключення через WABPutty до Linux-сервера в Wallix AdminBastion

Підключення через WABPutty до Linux-сервера в Wallix AdminBastion

Так само як і для RDP, доступний перегляд активних сесій через адміністративний інтерфейс з можливістю розірвати будь-яке підключення. У журналі аудиту зберігається повний лог роботи з SSH-терміналів.

Управління через веб-інтерфейс

Для контролю управління через веб-інтерфейси в Wallix AdminBastion додається захищається сервер або пристрій, що працює по протоколу HTTP / HTTPS. Так само як і в RDP- і SSH-підключених, можливо збереження пральний інформації для прозорої авторизації привілейованих користувачів. Підтримується безліч варіантів авторизації - basic, digest, веб-форми та інші типи. Wallix AdminBastion покриває абсолютну більшість способів авторизації в веб-інтерфейси. Як приклад розглянемо basic-авторизацію, яка застосовується в багатьох роутерах з керуванням через веб.

Малюнок 9. Спроба прямого доступу до сервера, закрита basic-авторизацією, і успішний вхід в веб-інтерфейс за допомогою Wallix AdminBastion

Прямий доступ залишається закритим авторизацією, але доступ через Wallix AdminBastion здійснюється безпосередньо, якщо привілейований користувач пройшов авторизацію в Wallix AdminBastion.

На відміну від RDP- і SSH-з'єднань, активні сесії для веб-інтерфейсу не відслідковуються Wallix AdminBastion через особливості протоколу - сесія триває рівно з моменту запиту інформації і до моменту передачі всіх даних, тому розірвати сесію на вимогу не можна. Але запис в журнал сесій відбувається в повному обсязі - записуються GET- і POST-запити із зазначенням URL-адрес сторінок і переданих параметрів.

Обмеження часу доступу

Додатковим механізмом контролю доступу в Wallix AdminBastion є можливість обмежити можливий час доступу для привілейованих користувачів. Обмеження налаштовуються в окремому розділі налаштувань (Timeframes), у кожного обмеження є своя назва і опис. Ви можете додавати кількох часових періодів до одного елементу тимчасового обмеження. В якості тимчасових параметрів вказується дата початку дії, дата закінчення дії, дні тижня і час доби.

Малюнок 10. Створення нового періоду часу доступу в Wallix AdminBastion

Елементи списку тимчасових обмежень можуть призначатися для груп користувачів. У разі якщо користувач входить в кілька груп з різними часовими обмеженнями, вони підсумовуються і користувач отримає доступ тільки в той час, який дозволено відразу у всіх налаштуваннях тимчасових обмежень.

За допомогою механізму обмеження часу доступу можна не тільки контролювати робочий день системних адміністраторів і забороняти доступ, наприклад, у вихідні дні і нічні часті, але і створювати тимчасові облікові записи із зазначенням дати початку та закінчення робіт в інфраструктурі. Такі обмеження зручно призначати для фахівців-аутсорсеров: після закінчення заданого часу вхід в систему буде автоматично заблокований, і ризики, пов'язані з несанкціонованим доступом, зводяться до мінімуму.

висновки

Wallix AdminBastion підтверджує своє звання універсального продукту, який задовольняє потреби не тільки відділу інформаційної безпеки з контролю за привілейованими користувачами, але і активно допомагає оптимізувати роботу служби ІБ за допомогою єдиної точки входу і повного контролю усіх сесій системних адміністраторів. Універсальності додає широкий перелік підтримуваних протоколів, що охоплюють практично всі керовані сервера і пристрої. Контроль управління Linux-серверів в Wallix AdminBastion по можливостях не поступається контролю управління Windows-серверів, тому продукт можна рекомендувати для всіх організацій, незалежно від серверної інфраструктури.

Для керівників ІТ-служб Wallix AdminBastion представляє широкий функціонал з моніторингу за діями підлеглих, який можна застосувати як для контролю робочого часу і швидкості обробки заявок, так і для розслідування інцидентів, викликаних випадковими помилками підлеглих або навмисними діями. Крім того, Wallix AdminBastion, нагадуючи про себе і попереджаючи про контроль, знижує ризик помилок, так як ІТ-фахівці, знаючи, що їх контролюють, намагаються краще виконувати свою роботу.

Навигация сайта
Реклама
Панель управления
Календарь новостей
Популярные новости
Информация
Экономика стран www.mp3area.ru © 2005-2016
При копировании материала, ссылка на сайт обязательна.