Dostęp zdalny i nagrywanie sesji
Systemy zapewniające dostęp zdalny i nagrywanie sesji gwarantują efektywną i bezpieczną współpracę z zewnętrznymi dostawcami. Dzięki takim systemom można w łatwy, a zarazem kontrolowany sposób umożliwić kontraktorom dostęp do wewnętrznych zasobów serwerowych i systemów informatycznych. Wśród typów platform do jakich najczęściej łączą się zewnętrzni dostawcy znajdują się systemy Windows Serwer, Linux, Unix, urządzenia sieciowe, interfejsy administracyjne http/https i wszelkiego rodzaju systemy OT. Nieodzowną bolączką związaną z obsługą takich dostępów jest zapewnienie bezpieczeństwa i możliwości wykonania audytu.
- Systemy umożliwiające dostęp zdalny, powinny gwarantować mechanizmy redukujące ryzyko wystąpienia incydentu bezpieczeństwa. Mechanizmy te to m.in. nagrywanie sesji, ochrona haseł, logowanie aktywności.
- Istotnym elementem podnoszącym bezpieczeństwo dostępu zdalnego jest możliwość kontroli prac wykonywanych przez kontraktorów w czasie rzeczywistym oraz współpraca w obrębie jednej sesji.
- Elementy zapewniające bezpieczeństwo, nie mogą ograniczać funkcjonalności narzędzi i szybkości działania.
- Uniwersalność rozwiązania i obsługa szerokiego zakresu protokołów komunikacyjnych (RDP, SSH, telnet, http/https, VNC) pozwala zredukować koszty i uszczelnia procesy dostępowe.
- Narzędziem promowanym przez EMS Partner jest BeyondTrust Privileged Remote Access.
Warto przeczytać
Bezpieczeństwo klasy enterprise
Coraz trudniej firmom czy organizacją zatrudniać ekspertów od wszystkich systemów IT, które są używane. Zazwyczaj część zadań utrzymaniowych i wsparcia realizowanych jest przez zewnętrznych dostawców. Jest to łatwy i szybki sposób zapewnienia właściwej obsługi technicznej systemów IT w efektywny sposób. Niestety jeśli dostęp taki jest zrealizowany w sposób niewłaściwy niesie z sobą podniesienie ryzyka wystąpienia incydentów bezpieczeństwa. Incydenty takie mogą wynikać z różnych przyczyn. Może być to kwestia błędów w oprogramowaniu, jego niepoprawnej konfiguracji co może zostać wykorzystane do nieautoryzowanego dostępu do maszyn, ale również mogą się zdarzyć umyślne działania osób trzecich, zmierzające do wykorzystania zdalnego dostępu w niewłaściwy i niebezpieczny sposób lub po prostu wynikające z nierozwagi jego użytkowników. Dlatego kluczowym zadaniem jest zbudowanie systemu zdalnego dostępu i rejestracji sesji gdzie zaadresowane są wszystkie aspekty wpływające na jego bezpieczeństwo. Zarówno kwestie architektury, uprawnień oraz późniejszego audytu.
Architektura zapewniająca minimalizację płaszczyzny potencjalnego ataku np. poprzez wykorzystanie najmniejszej liczby portów komunikacyjnych, zabezpieczenie dostępu do sieci wyizolowanych, zapewnienie szyfrowania komunikacji w trakcie sesji. System musi zapewnić zabezpieczenie dostępu do niego np. poprzez zastosowanie wieloskładnikowego uwierzytelnienia (2FA/MFA) oraz implementacji restrykcji sieciowych dla interfejsu administracyjnego. Nie bez znaczenia jest też możliwość dostarczenia systemu w sposób dostosowany do potrzeb jego użytkownika gdzie np. ze względów formalnych niektóre podmioty z definicji wykluczają usługi chmurowe i wymagają aby całość systemu działała w infrastrukturze zamawiającego.
Bezpieczeństwo poświadczeń uprzywilejowanych jest jednym z kluczowych zagadnień w obszarze IT i nie jest tylko związane z dostępem zdalnym. Zewnętrzni dostawcy częstą muszą wykonywać zadania, które wymagają uprawnień administratora. Jawne wydawanie poświadczeń uprzywilejowanych jest w tym przypadku znaczącym wzrostem ryzyka. W takim przypadku najlepszym rozwiązaniem jest odseparowanie kontraktorów od znajomości hasła, i jedynie udostępnienie w drodze przydziału uprawnień możliwości wstrzyknięcia poświadczeń przy logowaniu się do zdalnego zasobu. Drugim istotnym krokiem jest rezygnacja z wykorzystania kont uprzywilejowanych w ogóle. Zamiast tego powinny być stosowane konta słabe w przypadku których selektywnie podnosi się uprawnienia dla precyzyjnie zdefiniowanych zadań wykonywanych przez kontraktorów. Są to systemy typu EPM (endpoint privilege management).
Granularne uprawnienia pozwalają tworzyć role niezbędne do zapewnienia bezpieczeństwa działania procesów organizacyjnych. Za pomocą ustalenia szczegółowych uprawnień, kontraktorzy mogą łączyć się wyłącznie do zdefiniowanych zasobów a w tracie sesji są im udostępnione wyłącznie narzędzia zaakceptowane przez dział bezpieczeństwa np. zabrania się im kopiowania plików czy synchronizacji schowka. W ogólności tworzone są grupy użytkowników z ograniczonymi uprawnieniami i zdefiniowanymi dla nich czynnościami, które mogą wykonywać. Typowymi rolami są kontraktor-serwisant, wewnętrzny administrator systemów, audytor bezpieczeństwa.
Audyt i rejestracja sesji
Rejestracja sesji przeprowadzanych przez zewnętrznych dostawców jest jednym z kluczowych funkcji jaką powinien charakteryzować się system dostępu zdalnego. Szczegółowe logi z sesji i nagrania pozwalają na późniejszy audyt i uzyskanie informacji o sposobie wykonywanych prac. Funkcje te stają się krytycznie istotne w przypadku poszukiwania przyczyny niepoprawnego działania systemu wynikające z jego niepoprawnej wcześniejszej konfiguracji. Oprócz walorów rozliczalności prac, nagrania takie mogą posłużyć do budowy bazy wiedzy. Co ciekawe wielu użytkowników takich systemów zauważa także pewną poprawę w jakości wykonywanych prac, która wynika z tego, że serwisanci i administratorzy wiedząc, że sesje są rejestrowane kroki konfiguracyjne są lepiej przemyślane i mniej ryzykowne.
- Nagrywanie sesji zdalnych powinno być centralnie zarządzane, to znaczy wymuszenie rejestracji sesji musi odbywać się w sposób niezależny od kontraktora, a same nagrania powinny być składowane centralnie w środowisku klienta.
- Rejestracja logów z sesji jest istotna szczególnie wtedy gdy chcemy mieć wgląd w pewne dane statystyczne związane z rozliczalnością pracy zewnętrznego dostawcy np. ilość sesji i ich czas trwania w zadanym okresie czasu lub szukamy informacji jaki pliki kontraktor kopiował na maszyny do których się łączył.
- Współpraca z kontraktorem w czasie rzeczywistym oraz komunikacja na czacie, jest bardzo cenną funkcją w przypadku gdy potrzebujemy w czasie rzeczywistym współpracować z kontraktorem i wspólnie rozwiązywać problem. Całość komunikacji na czacie powinna być także rejestrowana i dostępna w logach związanych z przeprowadzoną sesją, tak żeby można było przeanalizować treść rozmów pomiędzy pracownikami a zewnętrznymi dostawcami.
- Powiadomienia i możliwość wprowadzenia procesu akceptacji wniosków dostępowych wprowadza dodatkowy krok w procesie nawiązywania sesji do zasobów przez zewnętrznego kontraktora. Dzięki takiej funkcji wewnętrzni administratorzy lub dział bezpieczeństwa są zawsze świadomi kiedy i z jakiego powodu wykonywane są sesje do ich zasobów. Ponieważ mogą otrzymać powiadomienie lub dodatkowo zanim kontraktor będzie w stanie nawiązać sesję muszą taki czasowy dostęp zatwierdzić.
Wysoka funkcjonalność
Chociaż poprawa bezpieczeństwa dostępu zdalnego oraz możliwość rejestracji sesji są zazwyczaj priorytetowe to należy pamiętać, że taki system staje się jednym z podstawowych narzędzi pracy administratora. Nie może więc prowadzić do ograniczenia jego efektywności pracy. Jest to szczególnie ważne jeśli system taki wdrażany jest także na potrzeby rejestracji sesji dla wewnętrznych zespołów administratorów. Przy wyborze takiego systemu należy zwrócić szczególną uwagę na takie aspekty jak szybkość działania, prostota obsługi oraz funkcje mające na celu usprawnić typowe czynności wykonywane przez zewnętrznych dostawców i administratorów.
Obsługa wszystkich protokołów komunikacyjnych takich jak RDP, SSH, telnet, http/https czy VNC pozwalające połączyć się za pomocą jednego spójnego narzędzia praktycznie do dowolnego systemu, i co najważniejsze nałożyć na wszystkie te typy połączeń wspólne i spójne polityki bezpieczeństwa.
Możliwość współdzielenia sesji z operatorami stacji roboczych jest kluczową funkcją wszędzie tam gdzie zadaniem zewnętrznego dostawcy jest pomoc i wsparcie operatora stacji roboczej. W takim przypadku musi działać możliwość dołączenia serwisanta do sesji operatora stacji roboczej. Oprócz wykorzystania VNC powinny się też znaleźć metody zapewniające szerszy wachlarz dostępnych funkcji i zabezpieczeń chociażby szyfrowana komunikacja z wykorzystaniem TLS. Dostęp taki typowo realizowany jest za pomocą agenta instalowanego na stacji roboczej.
Wykorzystanie magazynu haseł, oprócz niezaprzeczalnych walorów bezpieczeństwa, może przyspieszyć pracę administratorów. Zamiast stosować zewnętrzne narzędzia do przechowywania haseł, wszyscy posługują się magazynem online zintegrowanym z narzędziem do realizacji sesji, dzięki czemu w trakcie procesu logowania administrator wybiera poświadczenia których chce użyć. Proste usprawnienie przemnożone przez setki sesji które są realizowane przez każdego z administratorów dają wymierne korzyści w oszczędności czasu.
Wbudowane narzędzia jak chociażby kopiowanie plików, zmiana ilości kolorów w sesji wpływająca na jej płynność, wieloosobowy czat, możliwość współpracy między wieloma administratorami w ramach jednej sesji istotnie wpływają na komfort i efektywność pracy użytkowników systemu dostępu zdalnego.