Кочубеев Юрий World IT Systems 1 Кто такие потенциально опасные пользователи? • Это пользователи с повышенными привилегиями: • • • • • Нанимаемый по контракту персонал IT / Разработчики Поставщики оборудования (Вендоры) Системные интеграторы Службы поддержки инфраструктуры Внутренний IT персонал • Другими словами, это люди, которым для выполнения их работы необходимо предоставлять доступ к некоторым системам внутри корпоративной сети. • При этом, это люди обладающие техническими знаниями, и потенциально могут нанести вред вашим информационным системам. Модель обеспечения безопасности • Возрастающая сложность ИТ систем – требует привлечения для работ внутри вашей критически важной инфраструктуры внешних служб поддержки, проектных команд, специалистов работающих по контракту что существенно меняет модель обеспечения безопасности • Усложняются требования регуляторов – теперь требуется наличие постоянного мониторинга и контроля за действиями пользователей имеющих доступ к критически важной инфраструктуре. • Меняется концепция периметра – все более широкомасштабное использование виртуализации и облачных вычислений кардинально меняют представление периметра обеспечения безопасности “Наибольшей проблемой для профессионалов по информационной безопасности является тот факт что традиционная модель обеспечения безопасности больше не работает” Forrester Research 3 Шлюз доступа Xceedium GateKeeper Шлюз доступа Xceedium использует модель доступа с нулевым уровнем доверия Система контроля доступа реализованная в виде готового к использованию аппаратного устройства: • Принудительное использование политики «Запрещено все что не разрешено» • Доступ ТОЛЬКО на те системы, куда пользователю разрешено • Непрерывный мониторинг и детальное протоколирование для аудита безопасности управления рисками Единственный продукт на рынке, который способен не выпускать пользователя за пределы отведенных ему систем без изменения конфигурации сети 4 Схема использования Xceedium Интернет DMZ Интегрируется с различными системами внешней аутентификации: RSA SecurID Active Directory PKI/CAC, Radius Противодействие атакам LeapFrog (Прыгающая Лягушка) – не выпускает пользователя за пределы разрешенных ему систем Центр обработки данных Сетевое оборудование Windows Linux Unix Изоляция приложений Blades Администратор безопасности VM1 VM2 Hypervisor SSL туннель • Специалисты по контракту • Службы поддержки • Администраторы 5 Предотвращение атак LeapFrog в виртуализованных средах Унаследованное оборудование/POS Мэйнфреймы Не сетевые устройства Аудит и контроль безопасности • Непрерывная запись сессий пользователя как для командной строки, так и для RDP • Легкое воспроизведение записанных сессий с поиском моментов попытки нарушения безопасности • Генерация отчетов для стороннего аудита Электропитание Клавиатурные консоли • Специалисты по контракту • Службы поддержки • Администраторы Последовательные порты Атака типа LeapFrog («Прыгающая лягушка») Enforce Access Policy Доступ Разрешен Инженер технической поддержки Разрешенный маршрутизатор Доступ Разрешен Пользователь пытается вести команду “Telnet” Блокирована атака Leapfrog Пользователь пытается открыть соединение на 23-й порт Блокирована атака Разрешенный Leapfrog сервер UNIX, Linux или Windows 6 НЕ разрешенная IT система Не разрешенная IT система Применение политики безопасного доступа • Не требуется ничего устанавливать на клиентской машине • Не требуется никаких изменений в сетевой инфраструктуре • Запускаемые через WEB браузер Java аплеты выполняют роль «песочницы» для пользователей не давая ему возможности копировать файлы, распечатывать документы, распространять вирусы пользоваться эксплойтами. • Пользователь «не видит» сетевую инфраструктуру, сетевое взаимодействие ведется только с Шлюзом Xceedium • Полное протоколирование действий пользователя • Механизм обратного туннеля для экзотических приложений Обратное туннелирование 7 Как выглядит работа пользователя Централизованное управление зонами полномочий для пользователей Telnet Applet OUT-OF-BAND & POWER CONTROL VNC Applet for X Windows RDP Applet Зоны полномочий • Пользователи • Сети • Устройства • Порты • Командная строка • Приложения 8 Запись всех пользовательских действий Xceedium ведет полный протокол выполняемых действий Просмотр протокола действий в командной строке 9 Централизованный отчет о всей пользовательской активности 10 Вопросы? Юрий Кочубеев консультант по решениям компании World IT Systems [email protected] 11