Сегодня многие понимают, что обеспечить абсолютную безопасность невозможно. Да и мотивы злоумышленников теперь иные: не любопытство, самовыражение или тщеславие, как еще несколько лет назад, а исключительно финансовая выгода. Поэтому в настоящее время речь идет о том, чтобы максимально осложнить задачи злоумышленника в его попытках получить неправомерный доступ к информации.
 Архитектура ZENworks Endpoint Security Management |
Мы расскажем вам о наиболее важных условиях внутренней корпоративной безопасности: разграничении доступа к ИТ-ресурсам, управлении идентификационной информацией, включая пароли, и контроле работы с периферийными устройствами.
Роли решают все!
Для компаний с тысячами пользователей, сотнями служебных обязанностей и множеством профилей доступа управление учетными записями, разрешениями и их взаимосвязями является сложной задачей, которую не под силу решить небольшой группой администраторов и офицеров безопасности.
Контроль доступа на основе ролей (RBAC, Role-Based Access Control) широко используется для управления пользовательскими привилегиями в пределах единой системы или отдельного приложения и на сегодняшний день является наилучшим вариантом разграничения доступа авторизованных пользователей.
Novell Identity Manager организует защищенное управление доступом к корпоративным системам на ролевой основе, которое соответствует постоянно меняющимся служебным обязанностям и рабочим потребностями. Решение предоставляет возможность управлять идентификационными данными на протяжении всего жизненного цикла «пользователя» во многих системах и приложениях.
Роли создаются внутри организации для различных рабочих функций и ассоциируются с электронными ролями Novell Identity Manager. Каждой роли присваиваются полномочия на ресурсы, необходимые для выполнения тех или иных задач либо операций. Ресурсами являются описанные в терминах Provisioning Module доступы к отдельным системам и приложениям или их наборам. В организациях с гетерогенной ИТ-инфраструктурой, использующих множество систем и приложений и порождающих тысячи ролей, Identity Manager позволяет создавать иерархию ролей, наследующих привилегии других уровней. Например, верхний ролевой уровень может быть ассоциирован с владельцами бизнес-ресурса и позволять последним не только участвовать в разграничении привилегий, но и назначать доступ к этому ресурсу.
Поскольку привилегии пользователь приобретает лишь через роли, управление его индивидуальными правам, по сути, превращается в простое присвоение ему ролей. Это значительно упрощает операции управления доступом и исключает ошибки в процессе администрирования даже с участием низкоквалифицированного ИТ-персонала.
Штатным сотрудникам могут назначаться фиксированные роли, которые дают соответствующие привилегии, необходимые для выполнения основных служебных обязанностей. Присвоение таких ролей влечет за собой мгновенную регистрацию пользователя и синхронизацию атрибутов его учетной записи в описанных ролью системах.
Право назначения дополнительных ролей, потребность в которых может возникнуть, например, при участии сотрудника в дополнительных проектах, временном исполнении обязанностей и др., может быть делегировано ответственным лицам (к примеру, непосредственному руководителю). То есть сложные задачи распределения доступа к ИТ-ресурсам могут решаться без участия системных администраторов. Привлекательной в Identity Manager является также возможность создать децентрализованное управление с делегированием ряда полномочий, например, на уровень ИТ-отделов филиалов или отделений.
Если по мере выполнения своих служебных обязанностей сотруднику понадобятся дополнительные права доступа к разрешенным ему политикой безопасности системам, то он сможет самостоятельно оформить на них электронную заявку. После прохождения в Identity Manager заранее сконфигурированных процедур согласования (утверждение ответственными лицами, например, начальником отдела, сотрудником службы безопасности) доступ назначается автоматически.
 Визуальное представление взаимосвязей внутри системы |
Управление паролями
 Novell Event Source Management |
Если же необходимо обеспечить дополнительные функции управления паролями или развернуть многофакторную аутентификацию, рекомендуется использовать Novell SecureLogin.
Инструменты проектирования и управления
Наглядно отобразить схему управления электронными персонами и спроектировать процедуры и формы согласования позволяет Designer for Identity Manager.
После успешной проверки созданный проект экспортируется в продуктивную среду приложений. Мощные визуальные редакторы, минимум всплывающих окон и хорошо синхронизированные представления гарантируют максимальную производительность труда при разработке проекта. Мастера делают этот инструмент простым в изучении и использовании при создании решений для управления идентификационными данными. Полезными будут также возможности Identity Designer автоматически генерировать документацию по разработанному проекту, функционировать на рабочих станциях под управлением как ОС Windows, так и Linux, подробная справочная система.
Общий для службы каталога Novell eDirectory и Identity Manager веб-инструментарий управления iManager обеспечивает системных администраторов комплексным представлением синхронизируемых с помощью Identity Manager приложений и связей с использованием обычного Web-браузера, а также предоставляет ряд дополнительных инструментов мониторинга, диагностики и управления.
Таким образом, развертывание Novell Identity Manager позволит:
• реализовать принятую в организации политику безопасности при организации доступа к ИТ-ресурсам;
• активно вовлекать бизнес в процесс предоставления доступа к критичным ИТ-ресурсам на базе ролевого управления и процедур согласования и контролировать этот процесс;
• перевести в электронную форму процедуры согласования доступа к ресурсам с последующим автоматическим изменением профилей;
• ограничивать разделения обязанностей (SoD), чтобы исключить конфликты между назначенными ролями;
• автоматизировать создание учетных записей в различных системах и приложениях, устраняя ручное дублирование данных и ошибки при поддержке их актуальности;
• корректировать права доступа при изменении статуса или роли сотрудника в организации;
• мгновенно ликвидировать права доступа во всех системах в случае увольнения сотрудника;
• заметно уменьшить влияние человеческого фактора на процесс управления доступами.
Контроль и безопасное использование периферии
Novell ZENworks Endpoint Security Management (ZESM) входит в семейство продуктов системного управления ZENworks и обеспечивает расширенные возможности по управлению периферийными устройствами, приложениями, шифрованием данных, обеспечением безопасного доступа к корпоративным ресурсам мобильных пользователей.
 Novell Identity Manager |
Только администраторы по безопасности осведомлены о последствиях, например, разрешения доступа к сети специфического приложения или приема входящего трафика через конкретные порты. Если же подобные решения будут принимать конечные пользователи, в сети предприятия будет хаос.
ZESM отдает полный контроль над безопасностью рабочих станций в руки ИТ-специалистов, включает полный набор решений, построенных на политиках, охватывающих все аспекты безопасности рабочих станций, и позволяет управлять с единой консоли. Компоненты ZESM могут быть развернуты частично — для решения специфических задач — либо в виде комплекса.
Персональный брандмауэр
Для защиты от вторжений (сетевых, malware и др.) Novell создала брандмауэр, в котором системы безопасности остаются невидимы для конечных пользователей. В отличие от обычных персональных брандмауэров, которые чаще всего действуют только на уровне приложений или в качестве стандартного пакетного фильтра, решение от Novell интегрируется с NDIS-драйверами (Network Driver Interface Specification) сетевых адаптеров. Такой подход оптимизирует производительность, блокируя нежелательный трафик на входе в ПК.
Технология Adaptive Port Blocking обеспечивает высокий уровень защиты от неавторизованного сканирования портов, SYN Flood, NetBIOS, DDoS-атаки и др. Также существует возможность классификации (доверия) хостов по IP- или MAC-адресам на основе местоположения или использования различных сетевых технологий, таких как IP multicast, ARP, ICMP и 802.1x.
Безопасность при работе с беспроводными сетями
Беспроводные технологии с каждым годом все активнее применяются в корпоративных и публичных сетях, принося как удобства в работе, так и массу дополнительных забот отделам безопасности. С помощью ZESM администратор может централизовано контролировать, где, когда и как пользователь подключается к беспроводной сети: регулировать беспроводное соединение для авторизованных точек доступа, устанавливать минимально необходимый уровень шифрования либо полностью дезактивировать Wi-Fi. Также предусмотрена возможность автоматически применять политики VPN, обязывая запускаться программное обеспечение VPN при подключении устройств к внешним сетям (в гостинице, кафе). Определение ненадежных точек доступа помогает обеспечить безопасность беспроводного соединения как внутри офиса, так и вне его.
Вместе эти технологии дают полный контроль над соединением Wi-Fi вне зависимости от места и времени. ZESM защищает также все коммуникационные порты и адаптеры компьютера:
• сетевые интерфейсы;
• модемы;
• Bluetooth;
• ИК-порты;
• 1394 (Firewire);
• последовательные и параллельные порты.
Шифрование данных
Компоненты шифрования ZESM обеспечивают безопасность данных пользователей, где бы они ни находились, позволяя централизованно создавать, распространять, принудительно применять и аудировать политики безопасности для оконечных устройств и извлекаемых накопителей информации. Возможности гибкой настройки политик шифрования по типам файлов, месту расположения, устройствам хранения и т. п. освобождают пользователя от забот о безопасности используемых им устройств.
Безопасность USB-устройств
Недостаточное внимание, уделяемое вопросам безопасности, связанным с устройствами хранения (флэш-накопители, MP3-проигрыватели, и др.), приводит иногда к серьезным последствиям. Злоумышленники (как внешние, так и из числа сотрудников) могут, к примеру, бесконтрольно копировать значительные объемы данных на переносные устройства, инфицировать слабо защищенные файловые ресурсы (локальные или сетевые).
Подобные утечки являются часто «сюрпризом» для руководителей, чьи предприятия аудируются на предмет соответствия SOX, HIPAA, GLBA и другим регулирующим безопасность нормативным документам. Используя ZESM, администраторы получают мощный контроль над устройствами хранения информации, включая:
• оптические приводы;
• флэш-накопители;
• SCSI- и PCMCIA-адаптеры;
• дискеты;
• прочие сменные диски;
• музыкальные проигрыватели;
• смартфоны;
• другие персональные устрой-ства.
Чтобы обеспечить соответствие корпоративным политикам безопасности предприятия и международным нормативным документам, необходимо контролировать доступ (разрешение, блокирование, ограничение) к локальным устройствам хранения данных.
Решение ZESM позволят применять политики безопасности в привязке к местоположению пользователя или к серийным номерам устройств. Например, при политике, разрешающей сотруднику записывать информацию на извлекаемое устройство, автоматически генерируется оповещение с детальным отчетом о происходящем процессе. В отличие от других решений Novell не только обеспечивает контроль на уровне устройств и файловых систем, но и позволяет разграничивать управление, выделяя отдельно устройства, не имеющие прямого влияния на нарушения безопасности: USB-клавиатуры и мыши.
Контроль приложений
Когда на корпоративной рабочей станции умышленно или нет запускается неразрешенное приложение, предприятие сталкивается с различными рисками, начиная от инфицирования вредоносным кодом и заканчивая штрафами за нарушения лицензий на программное обеспечение. ZESM управляет списками ПО на рабочих станциях, позволяя блокировать нежелательные утилиты. Избирательность контроля означает возможность разрешить запуск определенным приложениям, но с ограниченным или полным блокированием доступа, например, к сетевым ресурсам. Различные политики контроля могут применяются также в зависимости от местоположения пользователя. Любая попытка запуска нежелательного приложения будет отражена в отчетах на сервере ZENworks.
Возможность построения расширенных сценариев (скриптов) позволяет автоматически проверить рабочую станцию, к примеру, на предмет наличия последних патчей с сайтов производителей ПО или с локального сервера обновлений, актуальности антивирусных баз и т. п., причем без вмешательства со стороны пользователей или ИТ-персонала. При настройке соответствующих политик рабочая станция может переводиться в состояние карантина, даже если она находится вне корпоративной сети. Функциональность управления VPN-приложениями обеспечивает пользователю принудительное VPN-подключение к авторизованным VPN-сетям.
Возможности самоуправления
Решения по обеспечению безопасности могут выполнять свою работу только тогда, когда они правильно установлены, настроены и запущены на рабочей станции. Клиентское обеспечение ZESM защищает себя от изменений, удалений или взломов путем внедрения основанных на политиках фильтров контроля входящего и исходящего трафика, жесткого контроля внешних устройств, сбора статистики и запуска необходимых приложений в различных ситуациях.
Чтобы защититься от деинсталляции, остановки или блокирования, которые могут привести к неавторизованному копированию информации через оконечные устройства, клиент ZENworks требует ввода пароля.
Оповещение
Оповещение о результатах мониторинга конечных устройств гарантирует, что любые попытки поставить под угрозу корпоративную безопасность будут сопровождаться предупредительными сообщениям на консоли управления ZESM, чтобы можно было оперативно устранять возникшие риски. Форма представления таких сообщений настраивается, что позволяет точно контролировать интересующие параметры.
Также поставляется полный набор инструментов для построения разнообразных отчетов, которые позволяют убедиться в том, что действия пользователей соответствуют внутренней политике безопасности предприятия, а также другим нормативным документам (SOX, HIPAA и т. п.).
