В данном обзоре рассмотрены технологии компании Centrify, предназначенные для организации централизованного управления кросс-платформенными системами и мобильными устройствами предприятия. Их применение позволяет при помощи единого инструмента управлять учетными записями, правами доступа, ролями и привилегиями, а также политиками безопасности на компьютерах с разными операционными системами.
Введение
Centrify – американская корпорация, которая занимается разработкой приложений и облачных сервисов для централизованной работы кросс-платформенных систем, мобильных устройств и приложений на основе ActiveDirectory. Т.е. использование технологий Centrify позволяет управлять всеми устройствами в организации на базе одной платформы. Решения компании Centrify используют более 4000 компаний, в том числе 40% компаний из списка Fortune 50. С недавних пор продукты Centrify стали официально доступны и в России.
Обеспечение безопасности в организации часто наталкивается на проблему использования на персональных компьютерах в локальной сети различных операционных систем. В этом случае для управления и администрирования сетью приходится использовать несколько решений разных производителей, что приводит к снижению эффективности управления и повышению рисков безопасности.
Альтернатива такому решению – использование технологий, позволяющих объединить в одном инструменте управление компьютерами с различными операционными системами (Windows, UNIX, Linux, Mac OS и т.д.). Подобную интеграцию на основе службы Microsoft Active Directory обеспечивают технологии компании Centrify Corporation.
Active Directory – одна из самых распространенных LDAP совместимых служб каталогов, которая реализована в операционных системах семейства Windows NT. Active Directory предоставляет администратору большой набор инструментов для централизованного управления компьютерами с ОС Windows, развертке на них различных приложений, обновления операционной системы, настройки пользовательской среды, разграничения прав доступа пользователей и т.д. Технологии Centrify позволяют интегрировать все «не-Windows» операционные системы в Active Directory и использовать ее инструменты для управления всеми компьютерами в сети организации.
В целом интеграция в Active Directory поддерживается для более 350 различных операционных систем и приложений, в том числе для Linux x86/x64, Mac OS X, Solaris/OpenSolaris x86/x64/SPARC, IBM AIX, SGI IRIX, HP-UX, VMWare ESX Server и т.д.
В результате использования технологий Centrify организация получает ряд преимуществ:
- повышение управляемости компьютерами в локальной сети;
- увеличение безопасности;
- упрощение работы пользователей (это достигается за счет того, что пользователи могут использовать на компьютерах с разными операционными системами одни и те же учетные данные);
- экономия на стоимости и времени администрирования сети.
Centrify предлагает четыре технологии, при помощи которых обеспечиваются описанные выше функции – DirectControl, DirectAuthorize, DirectAudit и DirectSecure. Базовым является продукт DirectControl, который выполняет интеграцию кросс-платформенных систем, остальные технологии дополняют DirectControl и расширяют его возможности по управлению и администрированию.
Работа с функциями всех рассматриваемых технологий осуществляется при помощи консоли и набора утилит DirectManage. В начале работы DirectManage осуществляет поиск в локальной сети всех компьютеров, с отличными от Windows операционными системами, устанавливает на них агент и подключает их к Active Directory. После этого через DirectManage осуществляется управление учетными записями, правами доступа, привилегиями и политиками, «миграцией» конкретных систем и т.д.
Рисунок 1. Пользовательский интерфейс консоли DirectManage
Рассматриваемые технологии реализованы в продукте Centrify Suite, который выпускается в версиях Standard, Enterprise и Platinum.
Таблица 1. Возможности разных версий Centrify Suite
| Технология/инструмент | Версия Centrify Suite | ||
| Standard | Enterprise | Platinum | |
| DirectManage | ● | ● | ● |
| DirectControl | ● | ● | ● |
| DirectAuthorize | ● | ● | ● |
| DirectAudit | ● | ● | |
| DirectSecure | ● | ||
Технология DirectControl
Технология Centrify DirectControl позволяет осуществить интеграцию компьютеров с отличными от Windows операционными системами в Active Directory. Интеграция производится автоматически при помощи DirectManage и не требует дополнительного переконфигурирования сети и изменений в профилях на операционных системах UNIX и Linux.
После внедрения DirectControl администратор получает контроль над всеми компьютерами и устройствами в сети через стандартные механизмы управления Microsoft. Что меняется после этого?
1. Для работы на всех компьютерах в домене вне зависимости от операционной системы можно использовать одну учетную запись. Теперь пользователю вместо нескольких наборов логин/пароль для аутентификации и авторизации, которые он использовал раньше, достаточно помнить и использовать только один. При этом пользователь может использовать эти же учетные данные для доступа к java- и веб-приложениям, а также к различным базам данных. В результате увеличивается удобство работы и уменьшаются возможные ошибки при работе с разными паролями.
Рисунок 2. Различия в работе с учетными записями до и после внедрения технологии DirectControl
2. Для управления работой всех компьютеров и пользователей можно использовать стандартные инструменты администрирования в Windows, такие как Active Directory и Group Policy. В этом случае администратор может устанавливать во всей сети одинаковую процедуру аутентификации, настраивать контроль доступа, управление привилегиями, групповые политики безопасности и т.д. В результате автоматически упрощается сложность работы администратора, и исчезают «серые» зоны в безопасности, которые могли существовать из-за несогласованности политик безопасности на разных операционных системах.
Для администрирования можно использовать консоль управления Windows (MMC), веб-консоль DirectControl Administrator Console или командную строку в UNIX. Инструменты DirectControl также встраиваются в Active Directory и расширяют ее возможности. В консоли Active Directory появляется новая вкладка Centrify Profile, в которой можно просмотреть данные домена и используемых профилей. Также можно расширить его возможности при помощи поставляемого с ним SDK.
Рисунок 3. Способы управления сетью при использовании DirectControl
3. Появляется новый инструмент для администрирования – зоны (DirectControl Zone). Зоны – это логические группы, с уникальным набором учетных записей, политик безопасности и прав доступа. По сути зоны являются аналогом доменов, которые могут гибко настраиваться и управление которыми можно легко делегировать. Объединение в зону может происходить по территориальному признаку (например, для разных филиалов), по типу операционной системы, по выполняемым функциям и т.д. При этом пользователь или группа пользователей могут входить в несколько зон. В результате администратор получает мощный инструмент для задания политик безопасности, контроля прав доступа и назначения ролей пользователей.
Рисунок 4. Управление зонами в DirectControl
4. Ведение отчетности становится централизованным. Администратор в одном инструменте и в едином формате получает информацию обо всех событиях, происходящих в локальной сети, учетных записях пользователей и правах доступа. Также система отчетов включает возможность формировать рекомендации по проведению аудита.
В 2012 году вышла версия Centrify DirectControl for Mobile, которая позволяет охватывать централизованным контролем и мобильные устройства – служебные телефоны и планшеты. В результате администратор может управлять правами и политиками безопасности на мобильных устройствах при помощи уже имеющейся инфраструктуры Active Directory.
Технология DirectAuthorize
Centrify DirectAuthorize устанавливается вместе с DirectControl и расширяет ее возможности за счет работы с ролями пользователей. DirectAuthorize позволяет создавать набор ролей, в рамках созданных DirectControl зон, и назначать им различные права доступа и возможности. Например, можно определить роли системного администратора, администратора баз данных, разработчика веб-приложений и т.д.
Созданные при помощи DirectAuthorize роли можно назначать динамически, т.е. для получения новых прав пользователям не нужно выполнять повторную авторизацию. После получения новой роли новые функции будут доступны автоматически. Для ролей можно назначать временные интервалы. Например, для пользователя Иванова может быть назначена роль администратора баз данных по понедельникам и пятницам с 9.00 до 18.00, начиная с 1 сентября и до конца месяца. Таким образом, некоторые функции могут быть делегированы временно, на время отсутствия основного специалиста.
Для каждой роли в DirectAuthorize можно назначать списки приложений и функций, к которым пользователи будут иметь доступ. Такие «белые» списки можно формировать как для каждой роли отдельно, так и для групп. Назначение ролей с ограниченными возможностями позволяет блокировать доступ к данным, содержащим коммерческую тайну, утечка которых может нанести значительный ущерб организации. Также это позволяет избежать ситуаций, при которых пользователи могут иметь неограниченные права, например, права администратора.
Еще одной возможностью DirectAuthorize является контроль за действиями администратора – ведется постоянная запись его рабочего стола. Это позволяет контролировать пользователей с «неограниченными» правами, имеющими возможность нанести вред организации. С другой стороны, данные записи могут стать своеобразным «алиби» администратора в ситуациях его ложного обвинения.
Технология DirectAudit
Centrify DirectAudit позволяет производить аудит действий пользователей и создавать отчеты по его итогам. Данная функция может быть полезна для контроля действий пользователей, фиксации неполадок в работе операционной системы и приложений, а также проведения внешнего и внутреннего аудита организации.
Принципы проведения аудита могут настраиваться в зависимости от задач организации. Может вестись контроль за подрядчиками, приходящими специалистами, администраторами, сотрудниками, работающими с важными данными и т.д. DirectAudit позволяет фиксировать все вводимые пользователем данные, запускаемые приложения, выполняемые команды и действия. Фиксируются как события о действиях пользователя, так и видео его «рабочего стола».
Рисунок 5. Просмотр работы пользователя в реальном времени
Контролировать пользователей можно двумя способами – наблюдая за их активностью в реальном времени и анализируя записи их работы. Если для пользователей велся аудит, то при анализе записей администратор может просмотреть любой фрагмент их активности из любого сеанса работы.
DirectAudit использует распределенную систему хранения регистрируемых данных о работе пользователей. Данные аудита вначале попадают в систему сбора данных (DirectAudit Collector), в которой информация собирается и сжимается. Система сбора данных позволяет балансировать нагрузку на сеть при получении большого количества данных. Далее данные сохраняются в хранилище DirectAudit Store, работающее на основе SQL Server. В хранилище собираются и архивируются данные определенного сегмента сети. Их использование позволяет обеспечить масштабируемость системы сбора информации. На последнем этапе все данные попадают на централизованный сервер DirectAudit Server, с которым и работает администратор. Стоит отметить, что запись осуществляется постоянно, что обеспечивает непрерывный мониторинг всех действий пользователей.
Рисунок 6. Структура работы DirectAudit
Технология DirectSecure
Centrify DirectSecure предназначена для организации безопасности внутренней сети предприятия. Для защиты используются два основных инструмента – логическая изоляция важных частей сети и динамическое шифрование. Управление функциями DirectSecure осуществляется через групповые политики Active Directory.
Используя Active Directory с поддержкой IPsec, DirectSecure разделяет всю сеть на две зоны – «доверенная» (trusted) и «недоверенная» (untrusted) и блокирует передачу данных между ними. При этом изменения топологии сети или перенастройка приложений не требуются. В результате внедрения DirectSecure компьютеры с конфиденциальными и важными данными изолируются от потенциально опасных компьютеров, а «доверенная» зона выступает в виде дополнительного «слоя» безопасности для защиты от сетевых атак. К «недоверенной» зоне могут быть отнесены компьютеры, на которых работают подрядчики, приходящие в организацию гости, увольняющиеся сотрудники и т.д.
Для обеспечения безопасности передачи данных в «доверенной» зоне весь трафик динамически шифруется (end-to-end encryption of data in motion), что позволяет обеспечивать конфиденциальность передаваемой информации. Помимо повышения безопасности, поточное шифрование позволяет организациям соответствовать стандартам безопасности, например, PCI DSS.
Рисунок 7. Логика работы DirectSecure
Подводя итоги, следует отметить, что использование технологий Centrify Corporation существенно упрощает управление и увеличивает безопасность корпоративных сетей, в которых используются компьютеры с различными операционными системами.DirectControl позволяет осуществить интеграцию кросс-платформенных систем в Active Directory для получения единого инструмента управления над компьютерами в организации.
Остальные технологии дополняют DirectControl, расширяя его возможности. DirectAuthorize позволяет организовать ролевое управление для существующих учетных записей, DirectAudit осуществляет аудит действий пользователей, а DirectSecure создает логические «доверенные» зоны и занимается динамическим шифрованием передаваемых данных.
