Безопасное управление UNIX-инфраструктурой. Часть 1

Управление идентификацией и доступом в UNIX-системах обладает своей спецификой. В этой статье подробно описаны сложности, с которыми сталкиваются при управлении доступом и предоставлены советы по их преодолению с помощью правильных практик и инструментов. Соблюдение этих рекомендаций позволит повысить безопасность, обеспечить соответствие нормативным требованиям и увеличить эффективность работы.

В настоящий момент сложно представить компанию, не использующую в инфраструктуре UNIX-подобных операционных систем.

В рамках данной статьи термин ‘UNIX’ будет использован для обозначения всего диапазона систем на основе UNIX (включая Linux и MacOS). UNIX существовал до Windows и будет существовать еще долго. Благодаря своей стабильности, рентабельности и открытости UNIX продолжает развиваться, а количество его поклонников неуклонно растет.

При внедрении UNIX, как и в случае с любой другой технологией, возникают моменты, которые необходимо учитывать. За последние 20 лет требования к уровню безопасности серьезно выросли. Современная организация, основанная на UNIX, должна учитывать более строгую среду соответствия, быть готовой противостоять более сложным и разнообразным угрозам, а также не забывать про потребность в совместимости с широким спектром систем, в том числе, работающих на Microsoft Windows.

Четыре ‘A’

При использовании любой системы, в том числе работающей на UNIX, нужно позаботиться о правильном уровне доступа. Ключевые принципы управления идентификацией и доступом можно сформулировать в четырех ‘А’.

• Аутентификация – проверка личности, запрашивающей доступ.
• Авторизация – предоставление соответствующего уровня доступа аутентифицированному пользователю.
• Администрирование - действия по управлению жизненным циклом доступа пользователей.
• Аудит – проверки, подтверждающие чтобы аутентификация, авторизация и администрирование выполнялись в соответствии с установленными правилами и лучшими практиками.

Каждая система UNIX включает каталог учетных записей (УЗ) пользователей. Доступ предоставляется на основе УЗ в каталоге и связанных с ней прав. Среди административных действий, необходимых для поддержания этой учетной записи, наиболее распространенными являются: подготовка (настройка УЗ), деинициализация (прекращение действия УЗ) и управление паролями (первоначальная настройка, периодические изменения и соблюдение правил безопасности, таких как требования к длине и сложности).

Сложности с UNIX 

Обладатели крупных UNIX-инфраструктур понимают насколько сложно управлять идентификацией и доступом встроенными средствами UNIX. Обычно каждая UNIX-система имеет собственный каталог и локальные правила аутентификации, авторизации и администрирования. При проведении аудита идентичные действия должны быть произведены на каждом UNIX-сервере.

Государственное учреждение произвело расчет затрат на администрирование идентификационных данных для крупной компании, имеющей около 250 000 пользователей с доступом к UNIX-системам. На подготовку и удаление учетных записей UNIX, а также на выполнение рутинных административных задач, таких как сброс пароля, ежегодно уходило более 45 миллионов долларов.

Аналогичные результаты были получены на предприятиях, ориентированных на UNIX, во всем диапазоне отраслей: от финансов до технологий, от энергетики до образования и от производства до розничной торговли.

Причина высокой стоимости заключается в том, что требуется выполнять одно и то же действие снова и снова в системах, не использующих единую инфраструктуру идентификации. Процесс управления идентификационными данными и доступом для множества UNIX-систем является сложным и неэффективным, поскольку системы не имеют централизованного управления. Давайте рассмотрим конкретные проблемы с каждым из четырех ‘A’ в UNIX.

Одно государственное учреждение сообщает, что ежегодно тратит более 45 миллионов долларов на подготовку и отключение учетных записей UNIX, а также на такие рутинные административные задачи, как сброс пароля.

Аутентификация в UNIX 

Отсутствие встроенного функционала SSO вынуждает пользователей иметь несколько учетных записей 

Аутентификация в крупных UNIX-инфраструктурах выглядит довольно сложно. У каждого пользователя должна быть учетная запись в каждой системе, к которой необходим доступ. При этом нет простого способа убедиться, что учетные записи совпадают. В результате множества факторов один пользователь может быть представлен десятками (иногда сотнями или тысячами) отдельных учетных записей, которые не имеют связи друг с другом. Имена пользователей, их идентификаторы (UID), пароли, срок их действия и парольные политики с высокой вероятностью будут отличаться.

Ранние попытки консолидировать идентификационные данные в UNIX (например, NIS), к сожалению, не соответствуют современным стандартам и требованиям по безопасности. Например, NIS отправляет пароли по сети в виде открытого текста, что является очевидным нарушением практически всех нормативных требований.

Администраторы должны создавать каждую УЗ отдельно 

Учетные записи UNIX представляют проблемы как для администраторов, так и для конечных пользователей. Изначально невозможно подготовить все УЗ UNIX для пользователя в одно действие. Учетная запись должна быть настроена индивидуально для каждого сервера. Это не большая проблема в случае с одним, двумя или даже десятью UNIX-серверами и несколькими пользователями. Но ситуация в корне меняется когда количество серверов увеличивается до сотен или тысяч и количество пользователей также растет.

Решения для аутентификации в Active Directory для UNIX-инфраструктуры могут упростить управление 

С начала 21 века существуют технологии, позволяющие преодолеть недостатки как собственной аутентификации UNIX, так и NIS.

Решения для аутентификации в Active Directory (AD) для UNIX повышают безопасность и управляемость, а также привносят возможности использования протоколов Kerberos и LDAP для UNIX, Linux и Mac OS X.

Решения данного класса позволяют предоставлять доступ ко всему диапазону UNIX-серверов с использованием единой аутентификации в AD. Одна учетная запись в AD для каждого пользователя - это все, что необходимо подготовить, чем нужно будет управлять и нужно будет отозвать в случае необходимости.

Внимательно подойдите к выбору решения для аутентификации UNIX в AD, чтобы не усложнять другие ‘А’.

Не все решения для аутентификации в AD для UNIX одинаковы. Проверка подлинности не единственная проблема. Последствия подключения UNIX к AD выходят за рамки аутентификации. Не стоит забывать про влияние на авторизацию, администрирование и аудит.

Правильное решение для аутентификации в AD для UNIX предоставит вам удобство аутентификации, не усложняя при этом авторизацию, администрирование и аудит. Другими словами, чем прозрачнее будет решение, тем лучше.

Safeguard Authentication Services - самый зрелый и надежный продукт на рынке для аутентификации в AD для UNIX. Он стал пионером на рынке решений данного класса и с 2004 года обеспечивает единую аутентификацию для систем на базе UNIX. Инсталляции Safeguard Authentication Services обеспечивают безопасность более 100 000 пользователей и десятков тысяч серверов. 10 крупнейших инсталляций решений данного класса используют Safeguard Autentication Services (в крупнейшем из них около 100000 серверов).

Авторизация в UNIX 

Подобно аутентификации, каждая система UNIX требует собственной авторизации. Сложности, связанные с этим, также могут быть решены благодаря аутентификации в AD.

Авторизация, основанная на членстве в группе AD, помогает преодолеть проблемы администрирования, безопасности и соответствия нормативным требованиям, связанные с созданием и принудительным применением авторизации индивидуально на каждом сервере на базе UNIX.

Важно выбрать решение для аутентификации в AD, которое обеспечивает авторизацию без дополнительных сложностей. Safeguard Authentication Services обеспечивает наиболее прозрачную интеграцию между AD и UNIX и использует знакомые инструменты и устоявшиеся методы администрирования Active Directory.

Администрирование: управление УЗ в UNIX 

Подготовка учетных записей отнимает у администраторов много времени 

Ни аутентификация, ни авторизация в UNIX-среде не может происходить должным образом, если управление УЗ не находится под контролем. Опять же, проблема с UNIX заключается в том, что УЗ должны существовать на каждом устройстве. Подготовка УЗ пользователей встроенными средствами UNIX требует ручной настройки на десятках, сотнях или тысячах серверов. Практически невозможно поддерживать единообразие имен пользователей и UID. К тому же это негативно влияет на эффективность работы админов, так как вся работа по подготовке УЗ в UNIX-системах обычно выполняется администраторами, основная работа которых не связана с поддержкой пользователей.

Процессы ручной деинициализации УЗ сопряжены со значительными рисками 

Предоставление доступа – трудоемкий процесс, а отзыв – потенциально несущий опасности. Задержки в прекращении доступа в лучшем случае представляют собой нарушение нормативных требований, а в худшем - открывают дверь злоумышленникам. Известный инцидент в Fannie Mae был прямым результатом задержек с прекращением доступа к UNIX-системам. С учетом широкого распространения UNIX, ручного управления УЗ и отсутствия централизованного контроля, встроенного в UNIX, просто чудо, что подобные инциденты не происходят регулярно.

Управление паролями утомляет как пользователей, так и администраторов 

Учетная запись должна быть на каждом сервере, а для каждой УЗ требуется пароль. Управление этими паролями, включая обеспечение соблюдения требований к паролям, необходимость периодической смены и сброс забытых паролей, существенно снижают операционную эффективность.

Унификация УЗ на предприятии с помощью Safeguard Authentication Services дает значительную экономию 

Предыдущий пример, когда государственное учреждение тратит миллионы долларов в год на задачи управления УЗ, далеко не единственный. Один из первопроходцев технологии аутентификации в AD для UNIX сообщил, что его ежемесячные расходы на управление паролями UNIX в размере 1 миллиона долларов были вдвое сокращены в течение первых нескольких месяцев после централизации всех учетных записей UNIX в Active Directory.

С помощью Safeguard Authentication Services этот крупный банк удалил тысячи учетных записей пользователей в своих UNIX-системах в пользу единой учетной записи в AD, с помощью которой стал контролироваться весь доступ.

В результате создавалась всего лишь одна УЗ, при необходимости нужно было отключать только одну УЗ, и был один пароль для запоминания каждым пользователем.

Дополнительные инструменты администрирования, такие как Active Roles для управления УЗ в AD и Password Manager для самостоятельного сброса паролей, оба от One Identity, легко интегрируются с Safeguard Authentication Services, чтобы полностью охватить среду UNIX.

Safeguard Authentication Services обеспечивает наиболее полную и гибкую интеграцию UNIX с AD, приводит к сокращению расходов, не оказывает отрицательного воздействия на производительность AD, расширяет возможности аутентификации в UNIX-инфраструктуре и открывает новые возможности управления идентификацией и доступом, например, автоматическое выделение ресурсов, управление доступом, многофакторная аутентификация, отслеживание изменений и аудит, а также управление привилегированными учетными записями.

Аудит в UNIX 

Повышенное внимание к соответствию требованиям и безопасности увеличивает важность прозрачности в правах доступа и действиях пользователей, которые они выполняют с этими правами. Общая тема разрозненности в UNIX также применима к аудиту: встроенными средствами практически невозможно качественно выполнить аудит большой UNIX-инфраструктуры.

Аудит Active Directory проще из-за наличия доступных инструментов. Перенос учетных записей, процессов аутентификации, авторизации и администрирования из UNIX в AD означает, что аудит AD выявит многое из того, что необходимо, но не все. В UNIX есть уникальные потребности (например, отчеты о доступе к root), которые аудит AD просто не покрывает.

Safeguard Authentication Services предоставляет широкие возможности по управлению учетными данными UNIX, включая аудит, оповещение и отслеживание изменений всей UNIX ориентированной информации, управляемой через AD.

О компании One Identity 

One Identity – глобальный вендор, специализирующийся на технологиях управления доступом (Identity and Access Management). Широкий портфель интегрированных между собой продуктов позволяет заказчикам One Identity комплексно решать задачи управления доступом и обеспечивает удобство поддержки от одного вендора. Технологии One Identity существуют на рынке уже более 20 лет. Подробнее на сайте www.oneidentity.com.