Bezbedan centralizovani pristup IT resursima

Bezbednost-nova | Business&IT | Business&IT-br.18 | Infrastruktura-nova | Studije slučaja

U prethodnoj godini jedna od najvećih logističkih i distributivnih kompanija u regionu, sa više od 5.000 zaposlenih, obratila se COMING-u u cilju pronalaženja IT rešenja koje bi na najbolji način zadovoljilo njihove potrebe. Pred naš tim izneti su jasni zahtevi i očekivanja…

Izazov na koji je COMING-ov security tim trebalo da odgovori bio je pronalaženje odgovarajućeg rešenja koje bi zaposlenima u kompaniji omogućilo privilegovan pristup resursima. Među uslovima koje je trebalo ispuniti bila je mogućnost snimanja korisničkih sesija i unetih komandi, kao i rotacija lokalnih korisničkih kredencijala. Uz to, neophodno je bilo da predloženo rešenje pruža mogućnost skladištenja potrebnih kredencijala i njihovo bezbedno deljenje između članova tima, kao i da omogući bezbedan pristup eksternih saradnika bez korišćenja VPN klijenta, implementacijom MFA (Multi Factor Autentification) principa, uz praćenje korisničkih sesija i mogućnost odobrenja sesija na zahtev sa/bez korišćenja SSO (Single Sign-On) principa pristupa. Skalabilnost rešenja i distribuirana arhitektura, uz jednostavnu administraciju, bili su takođe neophodni preduslovi za traženo rešenje. Naravno, svemu treba dodati i mogućnost jednostavne integracije rešenja u postojeću infrastrukturu, sa što manje uticaja na njenu arhitekturu i bez potrebe za instalacijom agenta na serverskoj/klijentskoj strani.

Business-IT-#18_za_odobrenje_mali.pdf-image-109

Nakon inicijalnog sastanka postalo je jasno da na ovaj skup zahteva ne može da odgovori samo jedno rešenje, već da je neophodan multidisciplinarni pristup, koji podrazumeva integraciju nekoliko rešenja.

Bastion na delu

Detaljna analiza korisničkih zahteva rezultirala je zaključkom da najadekvatniji odgovor na njih mogu da ponude rešenja iz Wallix portfolija. Wallix Bastion (Session Manager, Password Manager i Password Vault moduli), Wallix Access Manager i Wallix IDaaS (Identity as a Service) bili su deo pred- loga COMING tima.

Osnovna arhitektura predloženog Wallix Bastion rešenja predstavljena je na slici. Centralnu tačku predstavlja Bastion Appliance, koji služi za upravljanje i monitoring privilegovanih naloga. Bastion se postavlja inline između administratora i željenog servera, mrežne opreme ili aplikacije, tako da kroz njega prolazi celokupan saobraćaj. Primarna uloga Bastion Appliancea ogleda se u Session Management modulu, koji je zadužen za snimanje sesija. Ovaj modul obezbeđuje granularno dodeljivanje privilegija administratoru, vodeći se least privilege principom. Sekundarna uloga Bastiona ogleda se u Password Manager modulu, koji ima za cilj da obezbedi siguran pristup prilikom upravljanja lokalnim nalozima servera. Pomoću ovog modula omogućava se redovna izmena lozinki lokalnih naloga na svim uređajima, tako da odgovara domenskoj politici kompanije. Password Vault modul pruža bezbedno enkriptovano skladište za upravljanje korisničkim kredencijalima.

Password manager modul ima za cilj da obezbedi siguran pristup prilikom upravljanja lokalnim nalozima servera

Access Manager (AM) Appliance predstavlja DMZ (Demilitarized Zone Network) komponentu na koju se asocira Bastion Appliance. Ovo rešenje koristi se u scenarijima kada je administratoru potreban pristup samo preko jedne tačke, u slučaju deploymenta više instanci Bastion Appliancea ili u slučaju pristupa korisnika bez korišćenja VPN-a, preko javno dostupnog portala, sa ili bez opcije multifaktorske autentifikacije.

Wallix IDaaS, odnosno Trustelem portal, uz omogućenu funkcionalnost multifaktorske autentifikacije, služi kao dodatna zaštita prilikom prijavljivanja, a takođe omogućava i pojednostavljen korisnički pristup aplikacijama. Zahvaljujući ovom rešenju, omogućeno je kreiranje nezavisnih korisničkih naloga i njihovo korišćenje u cilju definisanja potrebnih autorizacija korisnika, vodeći se IAM (Identity Access Management) principom.

Bezbedan pristup sistemu

Iz aspekta korisničkog pristupa sistemu definisana su dva neophodna scenarija: bezbedan pristup administratora sistema i bezbedan pristup eksternih saradnika. Nakon dužeg razmatranja predloga arhitekture pronađen je optimalan način implementacije rešenja, uz njegovo postepeno uvođenje, koje bi imalo minimalan uticaj na korisnike.

Odlučeno je da zaposleni koji poseduju administratorske privilegije pristupaju željenim IT resursima iz interne mreže, posredno, koristeći isključivo Wallix Bastion rešenje. Zahvaljujući izvršenoj integraciji Active Directory i Wallix Bastion rešenja, interni korisnici za pristup Bastionu koriste postojeće domenske kredencijale. Na osnovu korisničkog članstva u domenskoj grupi, definisani su IT resursi koji su na raspolaganju određenom korisniku. Na ovaj način ostaje zabeleška o pravom identitetu korisnika, iako su korisceni generički nalozi za pristup IT resursu (admin, root). Svaki korisnik je jednoznačno identifikovan, uz snimanje korisničkih sesija u video formatu, kao i praćenje unetih komandi u tekstualnom zapisu. Internim korisnicima na raspolaganju je i rešenje za bezbedno upravljanje, odnosno razmenu i skladištenje kredencijala. S obzirom da se na Wallixu čuvaju poverljivi podaci o sesijama korisnika, omogućeno je čuvanje svih informacija u enkriptovanom obliku, uz implementaciju dodatnih mehanizama koji onemogućavaju izmenu podataka i njihovo uklanjanje.

Wallix idaas služi kao dodatna zaštita prilikom prijavljivanja i pojednostavljuje pristup aplikacijama

Pristup eksternih saradnika realizuje se preko internet portala <ime_ kompanije>.trustelem.com, uz korišćenje dodatnog faktora autentifikacije – MFA (Google Autentificator), bez potrebe za kreiranjem korisničkih VPN naloga. Za pristup se koriste lokalni korisnički nalozi, kreirani na Wallix IDaaS rešenju, čiji username odgovara korisničkoj e-mail adresi. Kao dodatni vid zaštite, podešene su zahtevana kompleksnost korisničke lozinke i njena rotacija, a na raspolaganju su i dodatna ograničenja, kao što je restrikcija pristupa korisnika sa određenih IP adresa, geolokacija i slično. Nakon uspešnog pristupanja, korisniku su na raspolaganju određeni IT resursi. Za pojedine korisnike se prilikom pokušaja pristupanja resursima kreira korisnički zahtev, koji prvo mora biti odobren od strane odgovornih lica, nakon čega se korisniku omogućava pristup, sa ili bez vremenskog ograničenja. Prilikom pristupanja IT resursima vrši se automatski login korisnika (SSO), bez potrebe za unosom dodatnih kredencijala za traženi IT resurs. Korisnik nije svestan naloga koji se koriste za pristup IT resursima, jer Wallix vrši menadžment lokalnih naloga za IT resurse i automatsku rotaciju lozinki za ove naloge, uz odgovarajuću zahtevanu kompleksnost. Za određene servere/servise definisane su i odgovarajuće restrikcije, kao što su kopiranje fajla sa servera ili na server, korišćenje servera kao jump mašine za pristup drugim resursima IT sistema i slično. Omogućeno je praćenje aktivnosti korisnika u realnom vremenu, uz mogućnost terminacije korisničkih sesija.

Business-IT-#18_za_odobrenje_mali.pdf-image-114

Integracijom Wallix rešenja sa mail sistemom i podešavanjem odgovarajućih alerta omogućeno je pravovremeno obaveštavanje o aktivnostima korisnika u sistemu. Veliki broj korisnih dashboard prikaza, uz slanje log zapisa sa Wallix sistema na SIEM i kreiranje izveštaja, pružaju transparentan uvid u korisničke aktivnosti. Implementacijom ovog rešenja olakšan je audit kreiranih korisnika, njihovih privilegija i izvršenih aktivnosti, čime je poslovanje kompanije dodatno usklađeno sa bezbednosnim regulativama i standardima.

Bio je ovo još jedan interesantan i izazovan projekat za COMING, koji je našem security timu pružio mogućnost kreativnog pristupa projektovanja rešenja koje bi zadovoljilo korisničke potrebe i omogućilo značajno povećanje sigurnosti IT sistema.