При внедрении кибербезопасности в ЦОДах ключевыми становятся не столько модели угроз, сколько практическая польза, бюджет и риск создания громоздкой надстройки. Руководителям важнее понять, какую реальную задачу решит инструмент, а не следовать абстрактной теории.
Автор: Владимир Алтухов, руководитель технического отдела “АйТи Бастион”
Системы управления привилегированным доступом (PAM, от англ. Privileged Access Management) часто попадают в зону сомнений. Фактически такие решения напрямую вмешиваются в рабочие процессы, заставляя перестроить привычную рутину администрирования. Почему нельзя оставить все как есть, если команда небольшая? Зачем контролировать тех, кто и так работает по регламенту? Чем это отличается от уже внедренных средств защиты? Давайте разбираться.
Почему нельзя доверять админам? Они же наши сотрудники!
Вопрос доверия в данном случае вторичен. Практика показывает, что большинство проблем возникает не из-за злого умысла, а из-за абсолютной уверенности администратора в том, что ситуация находится под его контролем. Тем не менее срочные исправления, ночные включения и временно открытые доступы (иногда и забытые после работ) никуда не уходят. Через несколько месяцев никто уже не сможет восстановить цепочку изменений, а инфраструктура начнет вести себя непредсказуемо.
PAM устанавливается не для тотального контроля и не из-за недоверия к сотрудникам – человеческая память и журналы отдельных серверов попросту не образуют единой картины. В определенный момент компании понадобится не вера в специалистов, а воспроизводимость их действий – и тогда PAM окажется очень кстати. И, говоря откровенно, инсайдерская угроза будет актуальна всегда: списывать ее со счетов не стоит.
Чем плох общий аккаунт администратора на конкретную смену? Это ведь быстрее
Да, это очень удобно – не нужно почти никаких согласований, привычные процессы не ломаются и передача смены проходит быстро и без задержек.
Общий аккаунт может сильно ускорять работу до тех пор, пока не случится нештатная ситуация. Когда происходят ошибки в работе инфраструктуры ЦОД, сбои или компрометация, становится невозможно отследить ее источник: связь с конкретным человеком уже потеряна. В результате сложности будут возникать не только в расследовании инцидентов, но и при обычной эксплуатации системы. Помимо этого, общий аккаунт всегда чреват распространением учетных данных – в заметках, в личных переписках и даже в руках подрядчиков. Дело опять же не в злом умысле – просто людям так удобнее выполнять работу. Внедрение PAM не усложнит процедуру входа, но вернет возможность однозначно определять, что происходит и в результате чьих конкретно действий. Формально администратор продолжит работать от имени root-пользователя, но система будет знать, кто именно стоит за этой сессией.
У нас уже есть сетевой экран и антивирус, зачем нам тратить бюджет еще и на PAM?
Средства защиты периметра и контроля вредоносного кода решают свои конкретные задачи: первые – контролируют сетевые взаимодействия, вторые – поведение программ. Они рассчитаны на ситуации с попытками несанкционированного входа или запуск вредоносного ПО. В случае, когда вход выполняется под действующей учетной записью через штатный VPN, никакого нарушения модели угроз таких систем не происходит. С точки зрения сети, соединение разрешено, а с точки зрения антивируса, – никаких нареканий тем более нет.
В этом сценарии проблема лежит в использовании уже выданных привилегий. И здесь нужны инструменты другого класса, которые контролируют не факт подключения и не код, а сами действия внутри привилегированной сессии. Сегодня инциденты чаще построены не на обходе защиты, а на использовании того, что разрешено. Это значит, что, например, команда, выполненная в консоли сервера, будет логироваться так же, как повседневная администраторская работа. Без отдельного уровня контроля все такие действия (изменения в конфигурации, создание новых пользователей, выгрузка данных) будут оставаться легитимными по всем внешним признакам. PAM не дублирует защиту, он закрывает свой опасный участок, который не распознают другие инструменты.
У нас не было ни одного инцидента. Зачем доплачивать, когда все работает четко?
Отсутствие проблем не означает, что их нет. Вы можете о них просто не знать. Несанкционированные привилегированные операции не всегда вызывают незамедлительные последствия, обычно это игра в долгую. Ошибка может проявить себя через месяцы – исходные логи уже исчезли, а сотрудники и подавно не помнят, что происходило.
Это также распространенный вектор атак. После получения доступа злоумышленник не станет спешить что-то ломать. Напротив, его задача – закрепиться в инфраструктуре, понять ее устройство и завладеть контролем. Сначала появится дополнительная учетная запись, затем доступ к соседним системам, а после – к резервным копиям или системе управления. Каждое такое действие будет выглядеть вполне легально – как обычная административная операция.
Долгое отсутствие инцидентов иногда свидетельствует не об устойчивости инфраструктуры, а лишь об отсутствии квалифицированного наблюдателя. Если действия с привилегиями нигде централизованно не фиксируются, различить штатную эксплуатацию и скрытое присутствие практически невозможно.
Все наши подрядчики работают по договорам с NDA, ограничение их технических возможностей только усложнит работу
Подрядчик может быть добросовестным, но никто не застрахован от ошибки. Для инфраструктуры нет разницы – подписан NDA или нет. Кроме того, часто подрядные специалисты работают с личных устройств (вы их не контролируете). Поэтому, передавая подрядчику полный административный доступ, компания фактически расширяет свою доверенную зону на абсолютную неизвестную инфраструктуру.
Ограничения продукта по контролю доступа не помешают: подрядчик продолжит выполнять все необходимые операции, но для нерабочих задач система останется закрытой. К тому же, с помощью PAM очень удобно оценивать эффективность работы специалиста – если сессия активна несколько недель, а реальных действий в ней едва ли на два дня, возможно, стоит пересмотреть уровень оплаты подрядчика. Один из недавних примеров: кейс аэропорта "Пулково" и системы СКДПУ НТ, когда PAM помог сэкономить бюджет благодаря мониторингу удаленных подключений и возможности контролировать время работы подрядного специалиста1.
Почему нельзя просто вручную отключить временный доступ подрядчика?
Можно и нужно! Но ручное отключение предполагает, что кто-то обязательно должен вспомнить, что это надо сделать. На практике временный доступ практически всегда выдается во внештатной ситуации, после завершения которой внимание легко переключается, а отзыв откладывается.
А даже если доступ все-таки закрыт, есть много побочных эффектов: ключи, сохраненные пароли, созданные пользователи. Проверить все это вручную довольно сложно, а значит, нужна единая точка контроля. Автоматический отзыв прав по времени или по завершении сессии полностью уберет зависимость от человеческого фактора: доступ исчезнет независимо от занятости сотрудников. Система зафиксирует, что после работ не осталось активных привилегированных каналов.
Такая защита нужна только ЦОДам федерального значения. Зачем нам сложные решения, если у нас маленький ЦОД?
От размера площадки зависит разве что количество оборудования, но характер рисков остается тем же. Даже небольшой ЦОД обслуживает критичные для бизнеса сервисы, но при этом возможностей для длительного расследования и резерва на случай простоев у него нет. То есть последствия ошибок будут ощущаться раньше и больнее. В небольших инфраструктурах зависимость от конкретных специалистов куда выше, потому что производится много ручных операций. В таком случае система контроля привилегий играет роль не столько шлюза входа, сколько механизма упорядочивания хаотичной и ручной работы. Со временем она поможет экономить ресурсы: упростит и ускорит передачу смены, аудит, снизит время поиска причин сбоев и других инцидентов. Для небольших площадок это может быть даже важнее, чем для крупных – для разбора каждого инцидента команды нет, но система поможет сэкономить бюджет на зарплаты.
Во всех подобных вопросах есть общая логика: инфраструктура в первую очередь строится на человеке и удобстве его работы. Пока система небольшая и команда рядом, отсутствие внятной воспроизводимости процессов почти не ощущается. Однако со временем обязательно появятся новые подрядчики, внеурочные смены, одни решения потребуют глобальных обновлений, а другие появятся неожиданно из-за очередных требований регуляторов. Количество действий вырастет стремительно, и удержать все изменения в голове уже не получится. Основным риском станет не атака извне, а невозможность определить, что происходило внутри.
Внедрение PAM – не столько реакция на угрозы, сколько возможность их предвосхищать и переходить от устных договоренностей к проверяемым и воспроизводимым процессам. Безопасность в этой модели – следствие того, что инфраструктура стала понятнее, эффективнее и надежнее.
При возникновении вопросов (в том числе и глупых) о применении PAM в центрах обработки данных, вы можете обратиться за консультацией к "АйТи Бастион" – лидирующему производителю PAM-систем в России.
Реклама: ООО «АйТи БАСТИОН». ИНН 7717789462. Erid: 2SDnjeWWtVG