Кочубеев Юрий World IT Systems

реклама
Кочубеев Юрий
World IT Systems
1
Кто такие потенциально опасные
пользователи?
• Это пользователи с повышенными привилегиями:
•
•
•
•
•
Нанимаемый по контракту персонал IT / Разработчики
Поставщики оборудования (Вендоры)
Системные интеграторы
Службы поддержки инфраструктуры
Внутренний IT персонал
• Другими словами, это люди, которым для выполнения их работы
необходимо предоставлять доступ к некоторым системам внутри
корпоративной сети.
• При этом, это люди обладающие техническими знаниями, и
потенциально могут нанести вред вашим информационным системам.
Модель обеспечения
безопасности
• Возрастающая сложность ИТ систем – требует привлечения для
работ внутри вашей критически важной инфраструктуры внешних
служб поддержки, проектных команд, специалистов работающих по
контракту что существенно меняет модель обеспечения безопасности
• Усложняются требования регуляторов – теперь требуется наличие
постоянного мониторинга и контроля за действиями пользователей
имеющих доступ к критически важной инфраструктуре.
• Меняется концепция периметра – все более широкомасштабное
использование виртуализации и облачных вычислений кардинально
меняют представление периметра обеспечения безопасности
“Наибольшей проблемой для профессионалов по информационной безопасности
является тот факт что традиционная модель обеспечения безопасности больше не
работает” Forrester Research
3
Шлюз доступа Xceedium
GateKeeper
Шлюз доступа Xceedium использует модель доступа
с нулевым уровнем доверия
Система контроля доступа реализованная в виде
готового к использованию аппаратного устройства:
• Принудительное использование политики
«Запрещено все что не разрешено»
• Доступ ТОЛЬКО на те системы, куда
пользователю разрешено
• Непрерывный мониторинг и детальное
протоколирование для аудита безопасности
управления рисками
Единственный продукт на рынке, который способен
не выпускать пользователя за пределы отведенных
ему систем без изменения конфигурации сети
4
Схема использования Xceedium
Интернет DMZ
Интегрируется с
различными
системами внешней
аутентификации:
RSA SecurID
Active Directory
PKI/CAC,
Radius
Противодействие атакам
LeapFrog (Прыгающая Лягушка) –
не выпускает пользователя за
пределы разрешенных ему
систем
Центр обработки
данных
Сетевое
оборудование
Windows
Linux
Unix
Изоляция
приложений
Blades
Администратор
безопасности
VM1 VM2
Hypervisor
SSL туннель
• Специалисты по
контракту
• Службы
поддержки
• Администраторы
5
Предотвращение
атак LeapFrog в
виртуализованных
средах
Унаследованное
оборудование/POS
Мэйнфреймы
Не сетевые устройства
Аудит и контроль безопасности
• Непрерывная запись сессий
пользователя как для командной строки,
так и для RDP
• Легкое воспроизведение записанных
сессий с поиском моментов попытки
нарушения безопасности
• Генерация отчетов для стороннего
аудита
Электропитание
Клавиатурные
консоли
• Специалисты по контракту
• Службы поддержки
• Администраторы
Последовательные
порты
Атака типа LeapFrog
(«Прыгающая лягушка»)
Enforce
Access
Policy
Доступ Разрешен
Инженер технической
поддержки
Разрешенный
маршрутизатор
Доступ Разрешен
Пользователь пытается
вести команду “Telnet”
Блокирована атака
Leapfrog
Пользователь пытается
открыть соединение на
23-й порт
Блокирована атака
Разрешенный
Leapfrog
сервер UNIX, Linux
или Windows
6
НЕ разрешенная
IT система
Не разрешенная
IT система
Применение политики
безопасного доступа
• Не требуется ничего устанавливать на клиентской машине
• Не требуется никаких изменений в сетевой инфраструктуре
• Запускаемые через WEB браузер Java аплеты выполняют роль
«песочницы» для пользователей не давая ему возможности
копировать файлы, распечатывать документы,
распространять вирусы пользоваться эксплойтами.
• Пользователь «не видит» сетевую инфраструктуру, сетевое
взаимодействие ведется только с Шлюзом Xceedium
• Полное протоколирование действий пользователя
• Механизм обратного туннеля для экзотических приложений
Обратное туннелирование
7
Как выглядит работа
пользователя
Централизованное управление зонами полномочий для
пользователей
Telnet Applet
OUT-OF-BAND &
POWER CONTROL
VNC Applet for X Windows
RDP Applet
Зоны полномочий
• Пользователи
• Сети
• Устройства
• Порты
• Командная строка
• Приложения
8
Запись всех пользовательских
действий
Xceedium ведет полный
протокол выполняемых
действий
Просмотр протокола действий в командной строке
9
Централизованный отчет о всей
пользовательской активности
10
Вопросы?
Юрий Кочубеев
консультант по решениям
компании World IT Systems
yk@worlditsystems.com
11
Скачать