Основы безопасности ИТ-инфраструктуры и немного о Zero-Trust

Одна из ключевых характеристик любой корпоративной ИТ-инфраструктуры – её безопасность. Если система не будет надежно защищена, никто не будет интересоваться вашими конкурентными преимуществами, насколько бы выдающимися они не были. В этой статье повторяем основы физической и информационной безопасности в IT и говорим о плюсах и минусах модного нынче Zero-Trust.

Безопасность информационной инфраструктуры компании есть сложнейшая и комплексная задача. Сейчас, когда информационные технологии прочно вошли в нашу жизнь и используются повсюду, аспектам безопасности необходимо уделять самое пристальное внимание в течение всего периода функционирования ваших мощностей.

В последнее время столкновения со случаями невысокой “боевой готовности” в сфере ИБ случаются всё чаще, причем наблюдаются такие инциденты и на базовых уровнях (угрозы несанкционированного физического доступа к серверному оборудованию), так и на более высоких (отсутствие в сетях компаний таких вещей как RBAC, отсутствие шифрования дисков и т.д.). Это связано как с банальной (и пугающей) халатностью персонала, так и с изменившимися правилами игры в современных информационных системах, адаптироваться к которым многие компании просто не успевают.

Раньше специалисты по информационной безопасности видели свою задачу в создании максимально надежного барьера между Интернетом и корпоративной сетью. Они были склонны считать находящуюся под их опекой инфраструктуру безопасной по умолчанию, а большой Интернет – как источник угрозы, и такой подход был оправдан. Сегодня же концепция периметра более недостаточна, поскольку даже самые сложные системы могут быть подвергнуты взлому, а в ряде случаев злоумышленники атакуют ресурсы изнутри компании, в обход защиты.

Концепции систем безопасности изменились в новых условиях, а успели за ними не все. Но об этом чуть позже. Начать обзор инструментов безопасности следует с краеугольного камня - физической защиты.

Физическая защита ИТ-инфраструктуры

В погоне за виртуальными уязвимостями и обсуждениями очередных политик безопасники иногда забывают об угрозах банальных краж и вмешательствах в работу оборудования на уровне “железа”. Порой это приводит к забавным ситуациям. Вот реальный эпизод из жизни – в то время как сотрудники центрального офиса были по уши зарегулированы требованиями своей СБ, в филиале компании доступ в серверную комнату с улицы осуществлялся только с помощью четырехзначного пароля на входной двери, причем за десять лет, как мне известно, эта комбинация не менялась ни разу.

Чтобы обеспечить физическую безопасность ИТ-инфраструктуры должным образом, следует:

• Разместить оборудование в защищенном от неавторизованного доступа помещении (доступ только по биометрии или пропускам, видеонаблюдение, закрытые серверные стойки с выдачей ключей только под роспись и т.д.).
• Обеспечить резервирование в подаче электроэнергии (дополнительные линии питания, ИБП, генераторы), резервирование по сети и по холоду (резервные кондиционеры, чиллеры и т.д).
• Обеспечить систему предупреждения о пожаре и систему пожаротушения.
• Обеспечить резервирование СКС

Вообще, при организации резервирования кабелей важно помнить о правиле двух ковшей экскаватора:

Источник: Microsoft “Zero Trust Essentials eBook”

• Осуществлять мониторинг состояния объекта и оборудования, включая постоянное наблюдение за доступом персонала к оборудованию, вести журналы событий и доступа, периодически проводить проверки.

Для выполнения всех этих требований целесообразно разместить оборудование в хорошем ЦОДе. При соблюдении всего комплекса мероприятий можно считать, что инфраструктура физически защищена.

Защита учетных данных пользователей

Если верить отчету Verizon об исследовании утечек данных за 2015 год, то в 95% случаев утечек также наличествовал факт утечки учетных данных. Очевидно, что данные авторизации и проверки подлинности пользователей (логины, пароли, токены доступа) должны быть надежно защищены в первую очередь. Защитить учетные данные можно с помощью:

• Использования служб управления идентификацией наподобие Active Directory.
• Мультифакторной аутентификации (MFA). При авторизации, помимо пароля, пользователь должен выполнить дополнительное действие для успешного входа: ввести код из СМС, ответить на телефонный звонок, подтвердить личность с помощью биометрии.

Источник: Microsoft “Zero Trust Essentials eBook”

• Внедрения доступа на основе ролей (RBAC), причем роли должны назначаться, исходя из принципов минимальных привилегий. Таким образом, даже если один из пользователей будет скомпрометирован, злоумышленник не получит полного доступа к инфраструктуре.
• Внедрения политик паролей, регламентирующих минимальную длину пароля и максимального количества попыток входа в систему.
• Включения уведомлений о входе в систему.
• Запрета на совместное использование учетных записей персоналом. Сложно выяснить сразу, какой именно сотрудник использует аккаунт в данный конкретный момент и какие действия он производит.

Однажды из-за совместного использования одной учетной записи тремя (!) сотрудниками более двух дней не получалось понять, кем и с какой целью были произведены изменения в базу учета компьютерного оборудования. Проверка показывала, что было списано несколько единиц, но выявить конкретного работника и получить от него объяснение удалось далеко не сразу – это потенциальный инцидент утери оборудования.

• Использования более сложных паролей.

Безопасность сетей

Контролировать доступ к сетевым ресурсам так же важно, как и учетные данные пользователей. Это ключевой элемент информационной безопасности одинаково важен и в on-premises инфраструктуре, и в облаке. Основные действия защиты сетей можно разделить на три уровня: уровень управления сетевыми устройствами, контроля трафика в адрес сетевых устройств и уровень транзитных данных.

Действия на уровне управления сетевыми устройствами.

• Применение политики паролей, включая такие функции, как максимальное количество входов в систему, количество попыток и минимальная длина пароля.
• Применение RBAC с минимально необходимыми привилегиями.
• Установка точного времени на всех устройствах, используя NTP.
• Использование зашифрованной версии протокола SNMP.
• Контроль за сеансами управления сетевыми устройствами.
• Сеансы должны устанавливаться только с доверенных IP-адресов.
• Хранения системного журнала в зашифрованном виде, не открытым текстом.

Действия на уровне контроля трафика в адрес сетевых устройств.

На этом уровне рассматриваются действия для защиты сетевых устройств от нежелательного трафика, направленного в адрес сетевого устройства непосредственно. Несмотря на то, что пересылка пакетов (трафик) относится к следующему уровню, уровню данных, если пакет поступает в адрес непосредственно сетевого устройства (служебный трафик), это уже не транзитный пакет, который просто перенаправляется путем поиска информации в кэше маршрутов. Вместо этого сетевое устройство (роутер, L3-свитч) тратит определенное количество времени на инспекцию пакета. Если таких пакетов послано много, то у роутера может просто не хватить ресурсов для нормальной работы.

Чтобы избежать перегрузки устройства нетранзитным трафиком, можно использовать:

• Control Plane Policing. Политика превентивной защиты от сетевых атак, CoPP фильтрует и ограничивает трафик, поступающий на маршрутизатор.

Действия на уровне транзитных данных

На этом уровне рассматриваются действия касательно данных, проходящих через сетевое устройство, а не в его адрес. Для обеспечения безопасности на этом уровне используйте следующие действия:

• Блокируйте нежелательный трафик пакетов. С помощью ACL (списков доступа) можно запретить весь трафик, который не разрешен явно – это наиболее безопасный вариант.
• Ограничьте полосу пропускания для определенных протоколов, которые могут быть использованы в DoS-атаках, например, ICMP.

Конечно, также не рекомендуется забывать про разбивание большой сети на несколько логических подсетей (VLAN), не использовать стандартные порты, применять сети ДМЗ для дополнительного уровня безопасности между Интернетом и вашими ресурсами. Если некоторые сотрудники компании работают удаленно, то особенно важно обеспечивать подключение к корпоративным ресурсам через VPN.

Безопасность данных

Система защиты данных должна минимизировать риски как несанкционированного хищения и раскрытия данных, так и их порчи или утери, как случайных, так и преднамеренных. Чтобы защитить файлы, можно использовать следующие инструменты:

• Шифрование дисков. Даже если файлы с диска удастся похитить, без ключа получить доступ к данным не получится. Целесообразно внедрять политику шифрования дисков на компьютерах сотрудников, для Linux можно использовать dm-crypt, для Windows – BitLocker.
• Управление ключами. После того, как вы выполнили шифрование, рекомендуется использовать специализированные решения по хранению ключей, чтобы они не были скомпрометированы.
• Резервные копии. Регулярно выполняйте резервное копирование, сохраняя бэкапы в разные компоненты вашей инфраструктуры, изолированные друг от друга (сохранения следует делать в независимых друг от друга хранилищах, серверных стойках, возможно, даже в разных дата-центрах). Даже если одна из копий будет недоступна, доступ к остальным сохранится.
• Используйте SSL-сертификаты. SSL-сертификаты защищают данные, передаваемые между пользователями и системами.

Защита конечных точек

• Всё возрастающее количество конечных устройств: ноутбуков, смартфонов и IoT-устройств, подключенных к ИТ-инфраструктуре, повышают вероятность несанкционированного доступа к данным именно через них, используя вредоносные файлы, различные ошибки пользователей и фишинг.
• Используйте антивирусы на устройствах. Хороший антивирус особенно необходим на устройствах, работающих удаленно, не в локальной сети офиса. Вовремя обновляйте базы данных сигнатур.
• В обязательном порядке устанавливайте пароль на ваши устройства.
• Применяйте уже упомянутое выше шифрование дисков.
• Обучайте сотрудников базовым правилам безопасного поведения в сети: не переходить по подозрительным ссылкам, не использовать один пароль в нескольких местах, не подключаться к непроверенным Wi-Fi точкам, не реагировать на спам.

В первом разделе освещались практики, относящиеся к концепции периметра. Эта концепция строится на мысли, что есть большой Интернет, из него идут угрозы и как следствие, он не считается доверенным, и есть локальная сеть компании, которая безопасна. Локальная сеть состоит из ресурсов, физически находящихся в офисе, с ними работают строго определенные сотрудники, которые знают друг друга лично, приходят в офис на работу каждый день, проживают примерно в одном месте и так далее. Словом, сотрудникам можно доверять из-за их постоянной физической доступности. Элементы ИТ-инфраструктуры компании (в том числе элементы безопасности: файерволы и прочее) также доступны физически. Уровень доверия в таком случае действительно позволяет считать локальную сеть безопасной и пользоваться концепцией периметра.

Как было упомянуто во введении, сейчас ситуация изменилась. В последние годы всё б?льшее распространения получает удаленная работа, облачные сервисы и IoT, и что получается в итоге? Cотрудники больше не приходят в офис и в некоторых случаях работают даже с территории другой страны - их физической доступности больше нет. Облачные ресурсы также не могут контролироваться на том уровне, как on-premises оборудование. Датчики и сенсоры системы IoT могут быть разнесены в пределах широкой географии, и их контроль в силу этого опять же недостаточен. Доверенная зона всё больше “размывается”, и проникнуть в нее становится проще.

Все более модной в последнее время становится концепция “нулевого доверия” или Zero-Trust. Она рассматривает элементы инфраструктуры без разделения на внешние и внутренние. Вместо этого Zero-Trust предполагает запрашивание аутентификации каждого пользователя при каждом действии в системе.

Три принципа модели нулевого доверия:

1. Всегда проверяйте разрешение на доступ. Каждый запрос пользователя должен начинаться с авторизации и подтверждения его прав на него.
2. Применяйте наименее привилегированный доступ. Набор разрешений для каждого пользователя должен позволять ему выполнять только необходимые для его работы действия.
3. Всегда предполагайте нарушение доступа. Каждая операция в системе – угроза, пока достоверно не доказано обратное.

Источник: Microsoft “Zero Trust Essentials eBook”

Плюсы Zero-Trust.

Концепция нулевого доверия уменьшает риски несанкционированных проникновений в ИТ-инфраструктуру. Кроме того, поскольку местонахождение пользователей и ресурсов в этой модели не является основанием для утверждения таковых как “доверенные”, то с Zero-Trust возможен быстрый перевод сотрудников на удаленную работу и перенос ресурсов в облако без пересмотра политик безопасности.

Минусы “нулевого доверия”.

Внедрение концепции внезапно может быть гораздо дороже, чем представлялось изначально, и длиться очень долго. Препонами на пути к успеху станет устаревшее оборудование и дефицит специалистов по имплементации и поддержке новых решений безопасности, поэтому подходить к задаче следует после оценки своих сил и тщательного взвешивания “за” и “против”.

Кроме того, Zero-Trust как главенствующий принцип безопасности существенно снижает скорость всех бизнес-процессов – потребуется тратить время на многочисленные проверки. Важно решить, что важнее в конкретной ситуации: скорость или безопасность? Возможно, золотой серединой станет частичное внедрение модели, например, в определенном отделе.

Также есть интересное мнение, что внедрение Zero-Trust несет в себе еще один недостаток чисто управленческого характера – такая модель подразумевает повсеместное участие отдела информационной безопасности в жизни компании на всех уровнях. Выражаясь фигурально, в руках отдела ИБ собирается слишком много кнопочек “permit-deny”, влияющих на всех остальных сотрудников. Получив такое количество власти, безопасники могут начать “тянуть одеяло на себя” в компании, что негативно скажется на бизнесе. Возможно, о таком смешно думать в компании на несколько десятков человек с небольшим ИБ-отделом, а вот в крупных конторах на несколько тысяч сотрудников, где ИБ может представлять вполне себе “государство в государстве”, этот сценарий вполне возможен.

К сожалению, не существует “волшебной таблетки”, решения, гарантирующего стопроцентную защиту ИТ-инфраструктуры на всех уровнях. Необходимо индивидуально подходить к безопасности, используя как концепцию периметра для традиционных систем, так и более новые методики.

Zero-Trust это интересная концепция, но она может быть неприменима под вашу задачу или нереализуема в вашей системе. Не следует внедрять решения, просто следуя моде – мода пройдет, а последствия от недостаточно просчитанных действий останутся надолго.

Как бы там ни было, нельзя не решать проблемы безопасности вашей ИТ-инфраструктуры. Многие компании (преимущественно бюджетные) из-за невозможности обеспечить адекватную защиту в итоге физически изолируются от Интернета или частично снижают степень информатизации (зачастую и так невеликую), что редко хорошо сказывается на росте бизнеса. Другой малоприятный, но нередко встречающийся вариант – из-за проблем с безопасностью не внедряются многие перспективные решения. Например, компания может нуждаться в развитой системе датчиков для мониторинга на производстве, однако неуверенность в собственной защите не дает реализовывать такие проекты.