9 августа, 2018, BIS Journal №3(30)/2018

Страх и ненависть при удаленном доступе


Михеев Дмитрий

технический директор ("АйТи БАСТИОН")

Три свежих проекта компании «АйТи БАСТИОН»

Проблемы безопасности беспокоили банки задолго до возникновения такого феномена как ИТ. Более того, многие практики и способы решения проблем, принятые в том, что мы сейчас называем информационной безопасностью, были разработаны, опробованы и отточены как часть инфраструктуры обеспечения финансовых операций. Разграничение полномочий, эшелонирование средств защиты, вопросы, связанные с формальным подтверждением эффективности – все это в том или ином виде много лет назад использовали и венецианские банковские дома и конторы Ганзейского союза.

Говоря о современной практике ИБ, мы можем увидеть, что существует много способов добиваться необходимого уровня управления рисками: сколько банков, столько и подходов к решению задач. Задачи же у всех примерно одни и те же. За текущий год у нашей технической команды было несколько интересных проектов по задачам ИБ по направлению обеспечения контроля действий администраторов, как внешних подрядчиков, так и внутренних исполнителей. Проекты отличались как по масштабу, так и по фокусу усилий в рамках проекта.

ПРОЕКТ ПЕРВЫЙ. С ПОРТАЛОМ ДОСТУПА

Например, в одном из проектов мы старались решить задачу предоставления единой точки доступа для внешних подрядчиков в рамках распределенной инфраструктуры банка. Ключевыми требованиями проекта, помимо собственно предоставления доступа внешним подрядчикам, было обеспечение контроля данных доступов разнообразными средствами защиты.

Кроме того, так как у банка организовано несколько точек концентрации оборудования, система контроля внедрялась в каждой из этих точек. Таким образом, этот проект оказался хорошей возможностью применить так называемый Портал доступа – дополнительный модуль, позволяющий реализовать единую точку входа, для работы с которым достаточно только браузера, способного работать в режиме html5.  Так как Портал – это веб-приложение, с ним удобно взаимодействовать как в целях балансировки на надежность и производительность, а также обеспечивать необходимые дополнительные средства защиты, например, использовать WAF.

В результате проведенных работ удалось отказаться от существующих нескольких точек доступа для подрядчиков, объединив необходимые пути входа в рамках нового узла доступа, с сохранением привычных возможностей. Заказчик получил возможность всегда знать, кто и когда выполняет работы, а также средство для проведения оперативного контроля выполняемых действий.

ПРОЕКТ ВТОРОЙ. ДЛЯ УДОБСТВА АУДИТА

Еще одним проектом с использованием модуля Портала стал проект, где основной задачей ставилось удобство аудита действий внешних подрядчиков и работающих удаленно собственных сотрудников.

Понятно, что специалистам по безопасности сложно сочетать в одном предложении «удаленный доступ» и «инфраструктура банка». Тем не менее, учитывая высокие требования к показателям работоспособности различных элементов информационного хозяйства банка, а также сложности  с кадрами, приходится решать и такие задачи тоже. Для удаленного доступа в инфраструктуре банка были выделены необходимые ресурсы для удаленной работы, отработан регламент предоставления таких доступов и особенности жизненного цикла таких вариантов входа.

Конечно, это потребовало серьезных усилий – все-таки, это банк, и требования к подобного рода организациям серьезные, как и последствия за нарушения. Тем не менее для обеспечения продуктивной работы руководство банка на такие жертвы идет – это, по-видимому, наиболее прямой способ добиваться результата имеющейся подготовленной и сработавшейся командой. Чтобы сохранять необходимый контроль угроз и минимизировать риски, для доступа к определенным элементам инфраструктуры было применено наше решение по контролю действий администраторов, с интеграцией с подсистемой многофакторной авторизации, использующейся в компании.  Для авторизации внешних исполнителей систему дополнительной авторизации удалось подключить по протоколу Radius минимальными усилиями. В качестве «токена» выбранное решение позволяет использовать авторизатор на смартфоне, что снижает затраты на управление доступом.

По мнению специалистов банка, это решение позволяет исполнителям выполнять технические задачи наиболее оперативно, без компрометации требований по безопасности.  Для удобства работы офицеров безопасности, на которых легла обязанность контролировать доступ привилегированных пользователей, был внедрен модуль Портала доступа. Одной из возможностей Портала является возможность полнотекстового поиска по всем данным сессий удаленной работы, где зафиксированы команды, вводившиеся с клавиатуры, открытые окна, URL адреса и другие мета-данные, которые наша система собирает в процессе предоставления доступа. Средства полнотекстового поиска и «легкий» веб-интерфейс позволяют аудиторам выполнять оперативный мониторинг и действия по расследованию возникающих инцидентов за минимальное время, часто – непосредственно до завершения сессии удаленной работы, вызвавшей вопросы.

Таким образом, поставленные задачи проекта были успешно решены штатным функционалом нашей системы контроля действий администраторов. Средства поиска и анализа инцидентов позволяют контролировать и расследовать инциденты, связанные с удаленными работами, а выбранные технические решения – с минимальными затратами обеспечивать жизненный цикл заявок на предоставление доступа.

ПРОЕКТ ТРЕТИЙ. БОЛЬШАЯ ИНФРАСТРУКТУРА

Если два упомянутых проекта различались «фокусом», на котором сосредотачивались усилия при внедрении, то третий проект, который хочется вспомнить, оказался очень серьезным испытанием для нашей технической команды. Огромная инфраструктура, с которой нам пришлось столкнуться, потребовала напряженной работы как на этапе проектирования, так и на стадии внедрения и опытной эксплуатации.  Нам поставили задачу автоматизировать контроль доступа к элементам инфраструктуры, предоставляемой как сервис в рамках облачной системы банка.

Для выполнения этих задач, мы реализовали слой интеграции с VmWare Orchestrator, чтобы при выполнении задач по развертыванию блоков инфраструктуры по заявкам от рабочих групп, необходимые административные доступы автоматически добавлялись в политику системы контроля доступа.  Так как инфраструктура в сети заказчика разделена на несколько непересекающихся сегментов, такие узлы интеграции потребовалось организовать для каждого из них. Бизнес-логика оркестратора полностью отделена от слоя интеграции и предоставления доступа, к системе контроля от нее приходят наборы команд на добавление и удаление объектов политики.

Кроме того, так как инфраструктура заказчика расположена более чем в двух дата-центрах, потребовалось реализовать нестандартный механизм репликации настроек и политики узлов системы, чтобы обеспечить управляемость, требования к надежности системы в целом.  

Для реализации этого механизма, мы использовали возможности штатного программного интерфейса, предоставляемого нашей системой. Это позволило не использовать в реализации такие под ходы как синхронизация баз данных, физическую репликацию. Хотя программный интерфейс не проектировался для выполнения конкретно данного сценария работы, нам удалось добиться необходимого результата без изменения ядра системы, в короткие сроки.

Выбранные технические решения позволяют построить распределенную систему контроля доступа к ресурсам с коротким жизненным циклом, минимизировать ручные операции по предоставлению доступа, а также реализовать контроль рисков, связанных с нарушением сетевой связности сети управления.

Сложность проекта заключалась не только в количестве доработок, но и в масштабе – очень большая инфраструктура, очень много правил и крайне серьезный уровень «бумажной» проработки, т.к. проект был частью крупного проекта по модернизации ИБ, с участием нескольких крупных интеграторов и других подрядчиков.  Обычно на пилотных проектах и изначальных внедрениях мы начинаем взаимодействовать с подрядчиками ближе к завершению работ, здесь же наши коллеги и партнеры оказали нам неоценимую помощь, за что им, конечно, огромная благодарность.

Как можно наблюдать по этим историям, задачи у разных финансовых организаций довольно схожи – в частности, вопросы контроля доступа администраторов к критичным элементам, обрабатывающим персональные или финансовые данные, возникают и требуют обработки. При этом в зависимости от состояния инфраструктуры и сложившихся традиций и подходов, детали реализации могут серьезно отличаться. Наши задачи, как разработчика системы контроля, – обеспечить  в продукте достаточную гибкость и техническую готовность поддерживать разные подходы, как с технической точки зрения, так и в части желания идти на потенциально сложные проекты. Кроме того, что это позволяет лучше решать задачи заказчиков, такие проекты еще и довольно интересны нам, как специалистам по ИБ.