Экономика стран

К сожалению, большинство людей, которые будут ими затронуты почти весь мир, не будут иметь никакого влияния на результат. Вести Экономика Дайджест иностранной прессы за 14 августа.
Вести Экономика Греции снова придется списывать долги Греция не сможет самостоятельно расплатиться по долгам, и понадобится новая реструктуризация долгов, чтобы спасти страну от банкротства.

Optymalizacja usług IT dzięki Wallix AdminBastion

  1. Cechy produktu
  2. Opcje aplikacji
  3. Windows Server Management
  4. Zarządzanie serwerami Linux
  5. Zarządzanie przez Internet
  6. Limit czasu dostępu
  7. Wnioski

Praca serwisu IT często pozostaje niekontrolowana: ani kierownictwo działu, ani specjaliści ds. Bezpieczeństwa informacji nie wiedzą, co i kiedy robią administratorzy systemu. Wallix AdminBastion to produkt, który pozwala dostosować kontrolę nad pracą specjalistów IT i zoptymalizować działania usług IT.

1. Wprowadzenie

2. Cechy produktu

3. Opcje aplikacji

3.1. Windows Server Management

3.2. Zarządzanie serwerami Linux

3.3. Zarządzanie przez Internet

4. Ograniczenie czasu dostępu

5. Wnioski

Wprowadzenie

W tym artykule kontynuowany jest cykl publikacji na temat używania Wallix AdminBastion przez klientów z różnych branż w celu kontrolowania działań uprzywilejowanych użytkowników.

Najczęściej interesy usług IT i bezpieczeństwa informacji różnią się. Administratorzy systemu sprzeciwiają się wprowadzaniu nowych systemów bezpieczeństwa, ponieważ ich konserwacja wymaga dodatkowego czasu i powoduje problemy w relacjach z użytkownikami. Jednocześnie wartość bezpieczeństwa informacji pracowników IT jest często niedoceniana, a potencjalne ryzyko nie jest brane pod uwagę. Zdarza się jednak, że produkt, pierwotnie zaprojektowany dla bezpieczeństwa informacji, jest wykorzystywany przez serwis IT, poprawiając użyteczność i optymalizując działania całego działu.

Istnieje wiele problemów związanych z niekontrolowanym uprzywilejowanym dostępem: na przykład niemożliwe jest śledzenie większości działań administratorów systemu, inżynierów zaangażowanych w tworzenie urządzeń sieciowych i specjalistów outsourcingu, którzy wykonują konserwację infrastruktury IT na podstawie umowy. W tym przypadku uprawnienia tych specjalistów są najszersze - pełny dostęp do wszystkich systemów informatycznych, które są obarczone ryzykiem bezpieczeństwa. Ponadto niemożność śledzenia działań może również wiązać się z ryzykiem finansowym związanym z nieodpowiednim wykonywaniem obowiązków przez pracowników i zleceniodawców. Praca serwisu IT prawie zawsze wymaga kontroli i może być zoptymalizowana.

Możliwe jest zoptymalizowanie usług IT w dwóch głównych kierunkach. Pierwszym z nich jest automatyzacja i wzrost prędkości, drugim jest wzmocnienie kontroli nad działaniami administratorów systemu. Wallix AdminBastion pozwala uprościć pracę administratorów systemu i odciążyć główny „ból głowy” - zarządzanie hasłami do zarządzanych serwerów i urządzeń sieciowych. A zarząd IT otrzymuje wygodne narzędzie do monitorowania działań uprzywilejowanych pracowników.

Ponadto, przypadkowe lub celowe błędy często występują w pracy administratorów systemu i zleceniodawców. Ich dochodzenie jest czasochłonne i dlatego zazwyczaj nie jest prowadzone. Kierownicy działów IT wybaczają swoim pracownikom nadzór lub karzą cały dział. Wallix AdminBastion pomoże rozwiązać ten problem - możesz szybko ustalić, kto pracował z administrowanym serwerem lub sprzętem sieciowym i jakie działania wykonał.

Cechy produktu

Główne funkcje Wallix AdminBastion są już opisane w naszym poprzednie recenzje dlatego natychmiast przejdziemy do funkcji, które mogą zoptymalizować pracę usług IT i pomóc ich menedżerom.

Wallix AdminBastion w uproszczonej formie to serwer proxy, który nadaje ruch poprzez protokoły RDP (Remote Desktop Connection), SSH, Telnet i HTTP (S) (interfejsy internetowe). Określone protokoły obejmują praktycznie wszystkie warianty interfejsów administracyjnych, z którymi pracują administratorzy systemu. Protokół RDP zarządza serwerami Windows i stacjami roboczymi użytkowników. Protokoły SSH i Telnet zarządzają serwerami podobnymi do Uniksa i większością urządzeń sieciowych. Reszta sprzętu sieciowego, jak również różne specyficzne systemy, są kontrolowane przez interfejs WWW przy użyciu protokołu HTTP / HTTPS.

Funkcjonalność Wallix AdminBastion, którą można zastosować do usług IT, dzieli się na dwie kategorie - kontrolę dostępu i kontrolę działania. Własny system dostępu dla uprzywilejowanych użytkowników (posiadający specjalne prawa dostępu do infrastruktury IT w organizacji) za pośrednictwem interfejsu internetowego realizuje pojedynczy punkt wejścia (SSO, Single Sign-On) - użytkownik jest autoryzowany raz, a następnie połączony z usługami bez ponownego wprowadzania hasła.

Usługa uwierzytelniania AdminBastion Wallix może być zintegrowana z serwerami LDAP (w tym Active Directory), serwerami KERBEROS (w tym Microsoft Kerberos) i serwerami RADIUS, które są często używane w dużych sieciach do autoryzacji połączeń sieciowych za pomocą protokołu 801.1x i autoryzowania użytkowników zdalnych - na przykład przez połączenia modemowe i VPN.

Funkcje integracyjne Wallix AdminBastion do autoryzacji użytkownika pozwalają dostosować się do zasad autoryzacji prawie każdej sieci lokalnej i wyeliminować konieczność ponownego przypisywania haseł i przestrzegać warunków ich aktualizacji dla użytkowników.

Rysunek 1. Ustawienia integracji AdminBastion Wallix z serwerem RADIUS

Uprzywilejowani użytkownicy mogą uzyskać dostęp do chronionych serwerów, urządzeń i usług, tworząc macierz połączeń między kontami użytkowników i chronionymi systemami. Podczas dodawania chronionych aplikacji i urządzeń, protokołów połączeń, kont lokalnych używanych na tych komputerach i urządzeniach są konfigurowane i konfigurowane są dodatkowe parametry.

Rysunek 2. Dodawanie zarządzanego routera do Wallix AdminBastion

Dodawanie zarządzanego routera do Wallix AdminBastion

Kontrola dostępu odbywa się za pomocą mechanizmu grupowego. Grupy są udostępniane zarówno użytkownikom, jak i usługom chronionym. Takie podejście znacznie skraca czas instalacji i eliminuje potrzebę pracy z poszczególnymi jednostkami, jeśli to konieczne, aby szybko zmienić istniejące reguły dostępu.

Kiedy logujesz się do interfejsu internetowego Wallix AdminBastion przy użyciu konta użytkownika, główny ekran wyświetla listę dostępnych serwerów i urządzeń do zarządzania. Dostęp przez RDP jest wykonywany przy użyciu standardowych narzędzi klienta RDP w pliku do pobrania z predefiniowanymi ustawieniami połączenia. Dostęp SSH jest wykonywany w ten sam sposób, ale przejrzysta praca wymaga specjalnego programu - WABPutty, zaimplementowanego na podstawie Putty klienta SSH z obsługą pliku do pobrania z ustawieniami połączenia. Dostęp przez HTTP / HTTPS odbywa się z tej samej przeglądarki, po prostu klikając specjalnie utworzony link, aby się połączyć.

Rysunek 3. Wybór serwera do połączenia w interfejsie użytkownika AdminBastion Wallix

Wybór serwera do połączenia w interfejsie użytkownika AdminBastion Wallix

Wallix AdminBastion uwzględnia wszystkie działania uprzywilejowanych użytkowników, w trakcie pracy przechowywane są szczegółowe dzienniki poleceń wpisywanych przez administratorów systemu i ich wyniki. W przypadku sesji RDP wykonywane jest nagrywanie wideo sesji i rozpoznawanie fraz tekstowych na ekranie (OCR).

Mechanizmy monitorowania w czasie rzeczywistym działań realizowanych w czasie rzeczywistym przez Wallix AdminBastion i dzienniki, które zachowują wszystkie działania uprzywilejowanych użytkowników, pozwalają kierownikowi IT monitorować pracę administratorów systemu oraz, w przypadku błędów, przeprowadzić badanie ich działań.

Korzystając z tych mechanizmów, możesz kontrolować działania pracowników działu IT, sprawdzać, jakie operacje na obsługiwanych serwerach wykonywali koledzy i podwładni. Ponadto w przypadku incydentu nie będzie trudno szybko określić przyczynę i sprawców, a także ocenić powagę problemu. W szczególnych przypadkach dane kontrolne AdminBastion Wallix mogą być również wykorzystywane do badania incydentów związanych z celowymi naruszeniami ze strony pracowników.

Rysunek 4. Przeglądanie sesji użytkownika w Wallix AdminBastion

Opcje aplikacji

Rozważ pracę z trzema głównymi usługami - zarządzanie Windows Server przez RDP, zarządzanie serwerem Linux przez SSH i zarządzanie routerem przez interfejs WWW.

Windows Server Management

Aby zarządzać Windows Server poprzez Wallix AdminBastion, musisz dodać go do listy chronionych komputerów. Podczas dodawania nazwy serwera, jego adresu i używanego protokołu - RDP. Następnie ustawiane są dane dostępu do serwera - w sekcji Konta wybrana jest wymagana pozycja, a nowe menu jest dodawane w menu rozwijanym. W przypadku systemu Windows Server jest to zazwyczaj lokalne konto administratora. Wprowadzanie danych w celu uzyskania dostępu do serwera jest wymagane dla uwierzytelniania tranzytowego uprzywilejowanych użytkowników. W razie potrzeby nie można ustawić konta, wtedy administrator systemu będzie musiał wprowadzić dane logowania przy każdym dostępie. Jednak traci to jedną z głównych funkcji Wallix AdminBastion, która służy do optymalizacji pracy usługi IT.

Rysunek 5. Ustawianie kont chronionych serwerów w AdminBastion Wallix

Administrator systemu loguje się do interfejsu Wallix AdminBastion, wybiera serwer Windows z listy, ładuje plik z ustawieniami połączenia i, łącząc się z Wallix AdminBastion, automatycznie trafia do właściwego serwera. Jeśli zapis wszystkich sesji jest ustawiony w ustawieniach chronionego serwera, administrator systemu otrzyma powiadomienie o rozpoczęciu nagrywania, którego tekst można zmienić w ustawieniach. Taka wiadomość dodatkowo pobudza pracownika do uważniejszego zwracania uwagi na jego obowiązki służbowe i ostrzega go, że ewentualne negatywne działania zostaną szybko obliczone i określone przez jego kierownictwo.

Rysunek 6. Ostrzeżenie o nagrywaniu sesji w programie Wallix AdminBastion

Ostrzeżenie o nagrywaniu sesji w programie Wallix AdminBastion

Gdy administrator systemu pracuje w sesji RDP, menedżer IT lub specjalista ds. Bezpieczeństwa może monitorować wszystkie swoje działania w czasie rzeczywistym.

Rysunek 7. Monitorowanie sesji RDP w czasie rzeczywistym w Wallix AdminBastion

Każda otwarta sesja może zostać natychmiast zakończona, a użytkownik otrzyma komunikat o zakończeniu połączenia. Zakończone sesje można przeglądać w dzienniku AdminBastion Wallix. Audyt połączeń RDP obejmuje: pełne wideo sesji, zrzuty ekranu robione w regularnych odstępach czasu, pełne dekodowanie danych wprowadzanych z klawiatury i wyświetlane na ekranie (przy użyciu technologii OCR - optyczne rozpoznawanie tekstu).

Zarządzanie serwerami Linux

Serwer Linux jest dodawany do Wallix AdminBastion w taki sam sposób jak Windows Server, a protokół SSH jest wybrany, a dozwolone opcje korzystania z tego protokołu (podprotokoły) są oznaczone - dostęp do terminala, zdalne wykonywanie poleceń, transfer plików przez SCP i SFTP oraz zdalny dostęp do serwera graficznego X11 / x. .org. Rozważ tylko najprostszy scenariusz - dostęp do terminala.

Administrator systemu musi pobrać i zainstalować aplikację WABPutty, a następnie połączyć się przy użyciu tego samego scenariusza RDP - plik zostanie pobrany w formacie WABPutty, a połączenie zostanie nawiązane automatycznie.

Rysunek 8. Łączenie przez WABPutty z serwerem Linux w AdminBastion Wallix

Łączenie przez WABPutty z serwerem Linux w AdminBastion Wallix

Podobnie jak w przypadku protokołu RDP, możliwe jest wyświetlanie aktywnych sesji za pośrednictwem interfejsu administracyjnego z możliwością zakończenia dowolnego połączenia. Dziennik kontroli przechowuje pełny dziennik pracy z terminalami SSH.

Zarządzanie przez Internet

Aby kontrolować zarządzanie za pomocą interfejsów internetowych, do Wallix AdminBastion jest dodawany zabezpieczony serwer lub urządzenie działające za pośrednictwem protokołu HTTP / HTTPS. Podobnie jak w przypadku połączeń RDP i SSH, możliwe jest zapisanie informacji o hasłach w celu przejrzystej autoryzacji uprzywilejowanych użytkowników. Obsługiwane są różnorodne opcje autoryzacji - podstawowe, skrótowe, formularze internetowe i inne typy. Wallix AdminBastion obejmuje absolutną większość metod autoryzacji w interfejsach internetowych. Jako przykład rozważmy podstawową autoryzację używaną w wielu routerach sterowanych przez sieć.

Rysunek 9. Próba bezpośredniego dostępu do serwera, zamknięta przez podstawową autoryzację, i pomyślne zalogowanie się do interfejsu WWW przy użyciu Wallix AdminBastion

Bezpośredni dostęp pozostaje zamkniętą autoryzacją, ale dostęp przez Wallix AdminBastion jest przeprowadzany bezpośrednio, jeśli uprzywilejowany użytkownik przeszedł autoryzację w Wallix AdminBastion.

W przeciwieństwie do połączeń RDP i SSH, aktywne sesje dla interfejsu internetowego nie są monitorowane przez Wallix AdminBastion ze względu na funkcje protokołu - sesja trwa dokładnie od momentu zażądania informacji do momentu przesłania wszystkich danych, więc nie można zakończyć sesji na żądanie. Jednak rejestrowanie sesji odbywa się w całości - żądania GET i POST są rejestrowane wraz z adresami URL stron i parametrami przekazanymi.

Limit czasu dostępu

Dodatkowym mechanizmem kontroli dostępu w Wallix AdminBastion jest możliwość ograniczenia możliwego czasu dostępu dla uprzywilejowanych użytkowników. Ograniczenia są konfigurowane w osobnej sekcji ustawień (Ramy czasowe), każde ograniczenie ma własną nazwę i opis. Obsługuje dodawanie wielu okresów do pojedynczego elementu limitu czasu. Jako parametry czasu podaje się datę rozpoczęcia akcji, datę wygaśnięcia, dni tygodnia i porę dnia.

Rysunek 10. Tworzenie nowego okresu czasu dostępu w Wallix AdminBastion

Elementy listy limitów czasowych można przypisać do grup użytkowników. Jeśli użytkownik wprowadzi kilka grup o różnych limitach czasowych, zostaną one zsumowane i użytkownik uzyska dostęp tylko w czasie dozwolonym we wszystkich ustawieniach limitu czasu.

Korzystając z mechanizmu ograniczania czasu dostępu, można nie tylko kontrolować dzień roboczy administratorów systemu i zabraniać dostępu, na przykład w weekendy i często w nocy, ale także tworzyć tymczasowe konta wskazujące daty rozpoczęcia i zakończenia pracy w infrastrukturze. Wygodnie jest przypisać takie ograniczenia do zleceniodawców: po upływie określonego czasu wejście do systemu zostanie automatycznie zablokowane, a ryzyko związane z nieautoryzowanym dostępem zostanie zminimalizowane.

Wnioski

Wallix AdminBastion potwierdza swój tytuł uniwersalnego produktu, który spełnia wymagania nie tylko działu bezpieczeństwa informacji w zakresie kontroli uprzywilejowanych użytkowników, ale także aktywnie pomaga zoptymalizować pracę usługi bezpieczeństwa informacji poprzez pojedynczy punkt wejścia i pełną kontrolę nad wszystkimi sesjami administratora systemu. Wszechstronność dodaje szeroki zakres obsługiwanych protokołów, obejmujących prawie wszystkie zarządzane serwery i urządzenia. Kontrola zarządzania serwerami Linux w Wallix AdminBastion jest równie dobra jak kontrola zarządzania serwerami Windows, więc produkt może być zalecany dla wszystkich organizacji, niezależnie od infrastruktury serwera.

Dla menedżerów IT, Wallix AdminBastion zapewnia rozbudowaną funkcjonalność do monitorowania działań podrzędnych, które mogą być używane do monitorowania czasu pracy i szybkości przetwarzania żądań oraz do badania incydentów spowodowanych przypadkowymi błędami podwładnych lub celowych działań. Ponadto Wallix AdminBastion, przypominając sobie i ostrzegając o kontroli, zmniejsza ryzyko błędów, ponieważ specjaliści IT, wiedząc, że są kontrolowani, starają się wykonywać swoją pracę lepiej.

Навигация сайта
Реклама
Панель управления
Календарь новостей
Популярные новости
Информация
Экономика стран www.mp3area.ru © 2005-2016
При копировании материала, ссылка на сайт обязательна.