Особенности управления ИТ-инфраструктурой с точки зрения информационной безопасности на основе стратегии Microsoft Trustworthy Computing
В параграфе, посвященном особенностям управления ИТ-инфраструктурой в условиях правоприменения законодательства в области защиты персональных данных мы уже коснулись такого вопроса управления ИТ-инфраструктурой как обеспечение информационной безопасности. Очевидно, что решения в этой области могут быть только комплексными, охватывающими все уровни компоненты ИТ-инфраструктуры, а значит требуют системного подхода к их проектированию, развертыванию и эксплуатации. В качестве примера такого системного подхода можно рассмотреть стратегию построения защищенных информационных систем (Trustworthy Computing), которую разрабатывает и поддерживает в своих программных решениях (в первую очередь в серверных версиях операционных систем Windows) компания Microsoft. Это долгосрочная стратегия, направленная на обеспечение более безопасной, защищенной и надежной работы с компьютерами для всех пользователей [2].
Концепция защищенных компьютерных построена на четырех принципах:
безопасность, которая предполагает создание максимально защищенных ИТ-инфраструктур;
конфиденциальность, которая подразумевает внедрение в их состав технологий и продуктов для защиты конфиденциальности на протяжении всего периода их эксплуатации;
надежность, которая требует повышения уровня надежности процессов и технологий разработки программного обеспечения информационных систем;
целостность деловых подходов направлена на укрепление доверия клиентов, партнеров, государственных учреждений.
Для решения вопросов обеспечения информационной безопасности компания Microsoft предоставляет следующие технологии:
-
Active Directory – единый каталог, позволяющий сократить число паролей, которые должен вводить пользователь;
-
двухэтапная аутентификация на основе открытых/закрытых ключей и смарт-карт;
-
шифрование трафика на базе встроенных средств операционной системы IPSec (IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов);
-
создание защищенных беспроводных сетей на основе стандарта IEEE 802.1x;
-
шифрование файловой системы;
-
защита от вредоносного кода;
-
организация безопасного доступа мобильных и удаленных пользователей;
-
защита данных на основе кластеризации, резервного копирования и несанкционированного доступа;
-
служба сбора событий из системных журналов безопасности.
Механизм управления групповыми политиками
Управление групповыми политиками позволяет администраторам задавать конфигурацию операционных систем серверов и клиентских компьютеров. Реализуется эта функциональность с помощью оснастки «Редактор объектов групповой политики».
Рисунок 3.13
Для компьютеров, входящих в домен Active Directory, используются групповые политики, определяющие политики безопасности, используемые в рамках сайта, домена или набора организационных единиц (OU – organizational units).
Групповые политики и Active Directory позволяют:
-
централизованно управлять пользователями и компьютерами в масштабах предприятия;
-
автоматически применять политики информационной безопасности;
-
понижать сложность административных задач (например, обновление операционных систем, установка приложений);
-
унифицировать параметры безопасности в масштабах предприятия;
-
обеспечить эффективную реализацию стандартных вычислительных средств для групп пользователей.
При управлении безопасностью информационной системы предприятия групповая политика позволяет управлять контроллерами доменов и серверами, определять наборы параметров для конкретной группы пользователей, параметры защиты, сетевой конфигурации и ряд других параметров, применяемых к определенной группе компьютеров.
Active Directory позволяет управлять через групповые политики любыми службами и компонентами на платформе Windows.
Групповые политики Active Directory позволяют администраторам централизованно управлять ИТ-инфраструктурой предприятия. С помощью групповой политики можно создавать легко управляемую ИТ-инфраструктуру. Эти возможности позволяют снизить уровень ошибок пользователей при модификации параметров операционных систем и приложений, а также совокупную стоимость владения информационной системы, связанную с администрированием распределенных сетей.
Групповая политика позволяет создать ИТ-инфраструктуру предприятия, ориентированную на потребности пользователей, сформированные в строгом соответствии с их должностными обязанностями и уровнем квалификации.
Применение групповых политик и Active Directory для сайтов, доменов и организационных единиц необходимо реализовывать с учетом следующих правил:
-
объекты групповой политики (GPO) хранятся в каждом домене индивидуально;
-
с одним сайтом, доменом или организационной единицей может быть сопоставлено несколько GPO;
-
с несколько сайтов, доменов или организационных единиц могут использовать единственную GPO;
-
любому сайту, домену или организационной единице можно сопоставить любую GPO;
-
параметры, определяемые GPO, можно фильтровать для конкретных групп пользователей или компьютеров на основе их членства в группах безопасности или с помощью WMI-фильтров.
При администрировании ИТ-инфраструктуры предприятия администраторы посредством механизма групповой политики могут производить настройку приложений, операционных систем, безопасность рабочей среды пользователей и информационных систем в целом. Для этого используются следующие возможности:
-
политика на основе реестра. С помощью редактора объектов групповой политики можно задать параметры в реестре для приложений, операционной системы и её компонентов;
-
параметры безопасности. Администраторы могут указывать параметры локальной, доменной и сетевой защиты для компьютеров и пользователей в области действия GPO, используя шаблоны безопасности;
-
ограничения на использование программ. Данные ограничения предназначены для защиты от вирусов, выполнения нежелательных программ и атак на компьютеры;
-
распространение и установка программ. Обеспечивается возможность централизованного управления установкой, обновлением и удалением приложений;
-
сценарии для компьютеров и пользователей. Данные средства позволяют автоматизировать операции, выполняемые при запуске и выключении компьютера, при входе и выходе пользователя;
-
мобильные пользовательские профили и перенаправление папок. Профили хранятся на сервере и позволяют загружаться на тот компьютер, где пользователь входит в систему. Перенаправление папок позволяет размещать важные для пользователя папки на сервере;
-
автономные папки. Данный механизм позволяет создавать копии сетевых папок, синхронизировать их с сетью и работать с ними при отключении сети;
-
поддержка Internet Explorer. Эта возможность позволяет администраторам проводить управление конфигурацией Microsoft Internet Explorer на компьютерах с поддержкой групповой политики.
Для общего контроля применения групповой политики используются механизм WMI – фильтров (Windows Management Instrumentation). Данное решение позволяет администраторам создавать и модифицировать WMI – запросы для фильтрации параметров безопасности, определяемых групповыми политиками. WMI – фильтры позволяют динамически задавать область действия групповой политики на основе атрибутов целевого компьютера.
Рисунок 3.14
Применение механизма групповой политики для ИТ-инфраструктуры предприятия способствует снижению сложности решения задач развертывания обновлений, установки приложений, настройки профилей пользователей и, в целом, администрирования информационной системы. Применение групповой политики в информационной системе предприятия дает следующие преимущества:
-
повышение эффективности использования инфраструктуры Active Directory;
-
повышение гибкости выбора области администрирования для предприятий, различающихся по размеру и отраслевой принадлежности, при происходящих изменениях в бизнесе;
-
наличие интегрированного средства управления групповой политикой на основе консоли GPMC;
-
простота в использовании, которая обеспечивается удобным и понятным пользовательским интерфейсом консоли GPMC, что приводит к сокращению расходов на обучение и повышает эффективность руда администраторов;
-
надежность и безопасность действий администраторов за счет автоматизации процесса ввода групповых политик в действие;
-
централизованное управление конфигурациями на основе стандартизации пользовательских вычислительных сред.
Управление авторизацией и аутентификацией пользователей
Многие компоненты ИТ-инфраструктуры являются потенциально уязвимыми перед попытками неавторизованного доступа со стороны злоумышленников. Контроль и управление идентификацией пользователей может быть осуществлен на базе инфраструктуры открытых ключей.
Инфраструктура открытых ключей PKI (public key infrastructure) – это системы цифровых сертификатов, центров сертификации CA (certification authorities) и других центров регистрации RA (registration authorities), которые идентифицируют (проверяют подлинность) каждой стороны, участвующей в электронной транзакции, с применением шифрования открытым ключом (public key). Службы сертификации (Certification Services) и средства управления сертификатами позволяют построить предприятию собственную инфраструктуру открытых ключей.
Рисунок 3.15
Применение инфраструктуры открытых ключей обеспечивает следующие преимущества для информационной системы предприятия:
-
более устойчивая к взлому защита, которая базируется на аутентификации с высокой степенью защищенности и применении смарт-карт, использовании протокола IPSec для поддержания целостности и защиты данных от попыток несанкционированной модификации при передаче по общедоступным сетям, а также использовании шифрующей файловой системы для защиты конфиденциальных данных, хранящихся на сервере;
-
упрощение администрирования за счет создания сертификатов, которые позволяют избавиться от применения паролей, масштабировать доверительные отношения в рамках предприятия;
-
дополнительные возможности, которые обеспечивают безопасный обмен файлами и данными между сотрудниками предприятия по общедоступным сетям, защищенную электронную почту и безопасное соединение через Web;
-
использование сертификатов, которые представляют собой цифровой документ, выпускаемый центром сертификации и подтверждающий идентификацию владельца данного сертификата. Сертификат связывает открытый ключ с идентификацией лица, компьютера или службы, которые имеют соответствующий закрытый ключ;
-
службы сертификации, которые применяются при создании и управлении центрами сертификации. В корпоративной информационной системе может быть один или несколько центров сертификации, которые управляются через оснастку Центр сертификации консоли MMC;
-
шаблоны сертификатов, которые представляют собой набор правил и параметров, применяемых к входящим запросам на сертификаты определенного типа;
-
автоматическая подача заявок на сертификаты, которая позволяет администратору конфигурировать субъекты сертификатов для автоматического запроса сертификатов, получения выданных сертификатов и возобновления просроченных сертификатов без участия их субъектов;
-
Web-страницы подачи заявок на сертификаты, которые позволяют подавать заявки на сертификаты через Web-браузер;
-
политики открытых ключей, которые позволяют автоматически распространять сертификаты их субъектам, определять общие доверяемые центры сертификации и проводить управление политиками восстановления данных;
-
поддержка смарт-карт, которая позволяет обеспечивать вход в систему через сертификаты на смарт-картах, хранение на них сертификатов и закрытых ключей. Смарт-карты предназначены для обеспечения безопасности аутентификации клиентов, входа в домен под управлением Windows Server, цифрового подписания программного кода, работы с защищенной электронной почтой на основе применения шифрования с открытыми ключами.
Управление защитой коммуникаций
Для защиты коммуникаций предназначена технология IP-безопасности, базирующаяся на протоколе IPSec (IP Security). В корпоративной информационной системе данная технология должна обеспечивать защиту от:
-
изменения данных при пересылке;
-
перехвата, просмотра и копирования данных;
-
несанкционированного изменения определенных ролей в системе;
-
перехвата и повторного использования пакетов для получения доступа к конфиденциальным ресурсам.
Протокол IPSec представляет протокол транспортного уровня с защитой данных на основе шифрования, цифровой подписи и алгоритмов хеширования. Он обеспечивает безопасность на уровне отдельных IP-пакетов, что позволяет защищать обмен данными в общедоступных сетях и обмен данными между приложениями, не имеющими собственных средств безопасности.
IPSec в Windows Server 2003 интегрирован с политиками безопасности Active Directory, что обеспечивает хорошую защищенность интрасетей и коммуникаций через Internet.
В IPSec предусмотрены криптографические механизмы хеширования и шифрования для предупреждения атак. Протокол имеет следующие средства защиты:
-
аутентификация отправителя на основе цифровой подписи;
-
проверка целостности данных на основе алгоритмов хеширования;
-
использование алгоритмов шифрования DES и 3DES;
-
защита от воспроизведения пакетов;
-
свойство неотрекаемости (nonrepudiat ion), которое предполагает применение цифровой подписи для однозначного доказательства авторства сообщения;
-
динамическая генерация ключей при передаче данных;
-
алгоритм согласования ключей Диффи-Хелмана, который позволяет согласовывать ключ, не передавая его по сети;
-
возможность задавать длину ключей.
При передаче данных с одного компьютера на другой по протоколу IPSec согласовывается уровень защиты, используемый в сеансе. В процессе согласования определяются методы аутентификации, хеширования, возможно туннелирования и шифрования. Секретные ключи для аутентификации создаются на каждом компьютере локально на основе информации, которой они обмениваются. Эта информация не передается по сети. После создания ключа выполняется аутентификация и инициируется сеанс защищенного обмена данными.
Защита от вторжений должна обеспечить профилактические меры по защите компьютеров и данных. Эти задачи решает Microsoft ISA (Internet Security and Acceleration) Server, который включает в себя межсетевой экран прикладного уровня, поддержку виртуальных частных сетей (Virtual Public Netware – VPN), Web-кэширование, фильтры прикладного уровня,защищая корпоративные информационные системы от внутренних и внешних атак. Сервер выполняет динамическую проверку потока данных и расширенную фильтрацию различных протоколов Интернета на прикладном уровне, что позволяет противостоять угрозам, не обнаруживаемым традиционными межсетевыми экранами. ISA Server 2004 позволяет:
-
защитить периметр сети;
-
увеличить скорость доступа к Интернету за счет кэширования Web-страниц;
-
обеспечить безопасную публикацию Web-сервисов IIS;
-
предоставлять доступ VPN-клиентам к ресурсам сети и сервисам, в случае исполнения роли сервера VPN;
-
объединять локальные сети через VPN-соединение, в случае исполнения роли шлюза VPN;
-
расширить возможности мониторинга и регистрации VPN-соединений, позволяя отслеживать и сохранять трафик на уровне отдельных приложений;
-
составлять отчеты, используя встроенные средства;
-
фильтровать пакеты для всех сетевых интерфейсов;
-
осуществлять поддержку туннельного режима IPSec для VPN-подключений «точка – точка»;
-
поддерживать режим Windows Quarantine (сетевой карантин), что повышает безопасность работы удаленных пользователей;
-
поддерживать произвольную топологию и неограниченное количество сетей.
Задачи безопасности, а также надежности, масштабируемости, быстродействия при управлении Web-серверами обеспечиваются полнофункциональным Web-сервером Internet Information Services (IIS). Службы IIS базируются на архитектуре обработки запросов, которая реализует среду с изоляцией приложений. Это обеспечивает функционирование отдельных Web-приложений в собственном Web-процессе. При таком режиме работа приложений и сайтов реализуется обособлено рабочими процессами, полностью изолированными от ядра Web-сервера, что исключает их влияние друг на друга.
В IIS включены разнообразные средства управления для администрирования и конфигурирования ИТ-инфраструктуры предприятия. Системные администраторы могут изменять параметры и отлаживать приложения во время работы служб.
Решения Microsoft для обеспечения повышенной защиты от компьютерных атак и воздействия вредоносного ПО включают следующие продукты:
-
Windows Defender помогает блокировать «всплывающие» браузерные окна и пресекает деятельность программ-шпионов (spyware);
-
Microsoft Client Protection (MCP) помогает защитить настольные компьютеры, портативные ПК и серверы от внезапных внешних сетевых угроз;
-
Certificate Lifecycle Manager— решение на основе анализа бизнес-процессов, помогающее предприятиям управлять жизненным циклом цифровых сертификатов и смарт-карт;
-
Windows Malicious Software Removal Tool (MSRT) — выполняет проверку системы и удаляет самое распространенное вредоносное ПО в случае его обнаружения;
-
Windows OneCare™ Live содержит антивирусный модуль, брандмауэр, систему резервного копирования и восстановления данных и другие средства защиты.
Безопасность мобильных пользователей корпоративных систем
Для безопасной работы мобильных пользователей используются следующие виды защиты:
-
защита домена;
-
защита мобильного устройства;
-
защита беспроводных соединений.
При защите домена мобильные устройства должны отвечать требованиям аутентификации, применяемым на предприятии. Например, устройства, работающие под управлением Windows Mobile, поддерживают двухэтапную аутентификацию и позволяют применять стойкие пароли, биометрические технологии и сертификаты. Устройства с Windows Mobile можно интегрировать в существующую инфраструктуру открытых ключей.
Защиту мобильных устройств, работающих под управлением Windows Mobile, поддерживают средства защиты, которые позволяют защищать информацию, хранящуюся на таких устройствах. Это предотвращает несанкционированный доступ к данным в случае утери или кражи мобильного устройства. В Windows Mobile в дополнение к поддержке строгих паролей встроены средства шифрования данных.
Для защиты беспроводных соединений сетевые администраторы должны контролировать процесс доступа этих устройств к корпоративной сети предприятия. Кроме того информация, передаваемая по беспроводной сети должна шифроваться.
Одним из решений по организации доступа сотрудников, находящихся вне предприятия, к корпоративной сети является организация виртуальной частной сети – VPN. Для контроля доступа к приложениям в серверной операционной системе имеется служба сетевого карантина (Windows Quarantine). Карантин используется в сети для проверки состояния клиента пред тем, как предоставить ему доступ к защищенным сетям. Карантинный фильтр на основании политики безопасности может запретить доступ и не разрешать его до тех пор пока настройки подключаемого компьютера не будут удовлетворять требованиям политики безопасности. Для применения карантина требуется, чтобы эта служба поддерживалась и клиентом и сервером аутентификации.
Сервер терминалов (Terminal Server) позволяет с удаленных клиентских компьютеров получить через сеть доступ к приложениям, установленным на сервере. Сервер терминалов обеспечивает шифрование канала связи. Для аутентификации соединений со службами терминалов и шифрования коммуникаций с сервером терминалов применяется Secure Sockets Layer (SSL) / Transport Layer Security (TLS).
SSL – протокол шифрованной передачи данных между клиентом и сервером, который требует сертификата, выданного одним из авторизованных центров. TLS — криптографический протокол, который обеспечивает безопасную передачу данных между узлами в сети Internet. SSL, используя криптографию, предоставляет возможности аутентификации и безопасной передачи данных через Internet. Часто происходит лишь аутентификация сервера, в то время как клиент остается неаутентифицированным. Для взаимной аутентификации каждая из сторон должна поддерживать инфраструктуру открытых ключей
SSL включает в себя три основных фазы:
-
диалог между сторонами, целью которого является выбор алгоритма шифрования;
-
обмен ключами на основе криптосистем с открытым ключом или аутентификация на основе сертификата;
-
передача данных, шифруемых при помощи симметричных алгоритмов шифрования.
Для корректной работы аутентификации SSL (TLS) удаленные клиенты должны:
-
работать под управлением Windows 2000 или Windows XP;
-
использовать клиент протокола RDP (Remote Desktop Protocol);
-
доверять корневому сертификату сервера.
Управление безопасностью хранения данных
Для защиты данных применяются технологии кластеризации, теневого копирования, а также службы управления правами и Data Protection Manager.
Служба кластеров (Cluster Service, MSCS) обеспечивает высокую отказоустойчивость и масштабируемость для баз данных, коммуникационных систем, файловых служб и служб печати. В системе реализуется режим автоматического восстановления после сбоя, при котором в случае недоступности одного узла кластера обработку начинает проводить другой узел. Совместно со службой кластеров используется служба балансировки сетевой нагрузки (Network Load Balancing Service, NLBS), которая обеспечивает балансировку нагрузки, создаваемую IP-трафиком, между кластерами. Служба NLBS повышает отказоустойчивость и масштабируемость приложений, размещаемых на серверах в Internet (Web-серверах, серверах, передающих потоковую информацию, служб терминалов).
Интеграция служб кластеризации с Active Directory позволяет проводить регистрацию в Active Directory «виртуального» объекта компьютера, поддерживать аутентификацию через Kerberos и обеспечивать тесную интеграцию с другими службами, публикующими информацию о себе в Active Directory.
Теневое копирование общих папок в Windows Server 2003 помогает предотвратить случайную потерю данных и обеспечивает экономичный способ восстановления данных, утраченных в результате ошибки пользователя. При теневом копировании регулярно, через заданный интервал времени, создается теневые копии файлов и папок, хранящиеся в общих сетевых папках. Теневая копия представляет предыдущую версию файла или паки по состоянию на определенный момент времени.
Теневые копии упрощают текущее восстановление поврежденных файлов, но они не заменяют процедуры резервного копирования, создания архивов, полнофункциональной системы восстановления данных.
Теневые копии не обеспечивают защиту от потери данных при сбоях или повреждении физического носителя. Тем не менее восстановление данных из теневых копий уменьшает количество случаев, в которых приходится прибегать к восстановлению данных из архивов.
Следует отметить, что теневые копии не предназначены для использования в качестве средств управления версиями документов. Это временные копии, автоматически создаваемые по расписанию.
Microsoft System Center Data Protection Manager (DPM) предназначен для резервного копирования на диск. DPM обеспечивает постоянную эффективную защиту данных, быстрое и надежное их восстановление. Это реализуется путем использования репликации, а также инфраструктуры службы теневого копирования томов.
Резервное копирование с использованием DPM может быть централизованным (копирование по схеме «диск-диск-лента в центре обработки данных») и децентрализованным (резервные копии передаются на центральный сервер DPM).
При восстановлении данных могут выполняться следующие сценарии:
-
полное восстановление сервера администраторами сервера;
-
восстановление файлов администраторами сервера;
-
восстановление файлов ИТ-службой;
-
восстановление файлов самими пользователями.
Достарыңызбен бөлісу: |