Loader

AD Bridging: Якщо ви використовуєте його тільки для автентифікації, ви втрачаєте багато можливостей

Корпоративні інфраструктури сьогодні є гібридними включаючи системи Windows, Linux і UNIX, різні хмарні ресурси, що ставить перед ІТ-відділом і службою IT Sec складне завдання управління доступом. Протягом багатьох років Active Directory Bridging допомагала цьому, дозволяючи користувачам входити в не-Windows системи за допомогою корпоративного облікового запису Active Directory.

Однак цінність Active Directory Bridging може виходити далеко за ці межі. Приєднання системи, яка відрізняється від Windows, до Active Directory дозволяє їй стати повноправним учасником. Використовуючи більше можливостей Active Directory, ніж просте сполучення, ви можете краще керувати доступом та запобігати бічним переміщенням.

Озброївшись знаннями про те, що Active Directory Bridging може бути набагато кориснішим, давайте розглянемо, що це означає для ІТ-фахівців та команд ІТ-безпеки.

Active Directory Bridging and Authentication
У дев’яти випадках із десяти, коли запитують “що таке Active Directory Bridging“, відповіді бувають однаковими:

· Це можливість керування привілейованим доступом (PAM).
· Це дозволяє адміністраторам входити на Linux-машини, використовуючи свій обліковий запис Active Directory.
· Це дозволяє нам використовувати групи Active Directory для визначення ролей PAM.

Все вірно. При використанні Active Directory з серверами *NIX адміністратори отримують перевагу від використання облікових даних Active Directory для входу в систему в будь-якому місці та використання Active Directory Kerberos для єдиної реєстрації. Централізоване керування в Active Directory дозволяє знизити експлуатаційні витрати, уникнути пробілів у безпеці та мінімізувати невідповідності в керуванні доступом та контролем. Ви також можете відмовитися від безліч локальних привілейованих облікових записів, які використовуються адміністраторами для входу в систему *NIX, покладаючись замість цього на єдиний обліковий запис Active Directory, тим самим зменшуючи поверхню атаки.

Active Directory Bridging – це набагато більше, ніж просто перевірка ідентифікаторів та паролів Active Directory.

Ці переваги в цілому пов’язані з ідентифікацією користувача ID і паролем при вході в систему, також відомої як частина автентифікації структури AAA (Authentication, Authorization, and Accounting). Більшість виробників на цьому AD Bridging закінчується.

Давайте розглянемо, як більш просунуте AD Bridging включає авторизацію та облік.

Поєднання, авторизація та облік Active Directory
Використовувати автентифікацію для ідентифікації користувача недостатньо. Ми повинні використовувати дозволи для контролю того, що користувач може робити, і слідкувати за цією діяльністю, якщо нам потрібно провести розслідування або довести відповідність до вимог. Це частини авторизації та обліку структури AAA, які зараз розглянемо.

Авторизація
Управління тим, що можуть робити користувачі в системах *NIX, є комбінацією вбудованих засобів управління ОС і прав “sudo”. Вбудовані засоби управління ОС обмежені – дозвіл на читання/запис/виконання для користувачів та груп – жодного тонкого контролю.

Звичайний користувач *NIX має обмежені права без можливості виконувати привілейовані системні команди. Вбудована програма sudo дозволяє контролювати підвищення прав, отримуючи інструкції з локального файлу /etc/sudoers, який ви повинні налаштувати та керувати ним у кожній системі. Ця модель не підходить для десятків чи сотень систем (у нас є клієнти з тисячами систем). Вона збільшує адміністративне навантаження та створює ризик неправильних комбінацій, пробілів у безпеці, привілейованих користувачів з великими правами та невдалих перевірок.

За допомогою AD Bridging локальний клієнт дозволяє приєднувати сервери *NIX до Active Directory, подібно до приєднання сервера Windows до домену. Усувається залежність від локальних файлів /etc/sudoer, дозволяючи вам керувати політиками підвищення привілеїв (“Authorization”) централізовано в Active Directory. Це централізоване управління також поширюється на політики для входу в систему (“Автентифікація”) та багатофакторної автентифікації (MFA), причому клієнт забезпечує їхнє застосування локально на кожній системі.
Щоб не засмучувати команду Windows вашої організації, ви можете ізолювати ці політики *NIX від інших політик і конфігурацій Active Directory, орієнтованих на Windows.

Облік
Уявіть сцену – відбувається потенційне порушення. Ви повинні увійти в декілька *NIX-систем і поспіхом переглянути їх локальні журнали. У журналах багато шуму, і просіювання тисяч незв’язаних подій трудомістко і загрожує помилками. Ви бачите багато привілейованої активності, яка приписується “root”. Але хто увійшов до системи під назвою root? Немає жодної підзвітності. Повторіть це для кожної системи, і на той час, коли ви знайдете цінну інформацію, кіберзловмисник вже залишить будинок разом із вашими даними.

AD Bridging підтримує обмежувальні, тонкі політики для кращого узгодження дозволів із завданнями. Привілейована діяльність, що реєструється, відрізняється, не є зашифрованою і легко аналізується через централізований інтерфейс. Забезпечуючи принцип найменших привілеїв AD Bridging прив’язує активність до унікального користувача Active Directory для забезпечення підзвітності. За допомогою записів сеансів можна відтворити привілейовану активність будь-якого користувача на будь-якій машині в будь-якому часовому діапазоні. Ви також можете шукати запущені програми або команди, набрані на клавіатурі.

Більш глибока інтеграція Active Directory для більш просунутої пари AD
Раніше обговорювалися переваги базового AD Bridging щодо автентифікації користувачів, а також додаткові переваги, пов’язані з авторизацією та аудитом. Однак на цьому переваги не закінчуються. За допомогою розширеного AD Bridging ви можете знизити ризик витоку даних або атаки ransomware, покращити відповідність нормативним вимогам, знизити витрати та ще більше підвищити ефективність роботи.

Нижче наведено список додаткових переваг Delinea PAM та його розширених можливостей AD Bridging. Якщо ви хочете дізнатися більше, завантажте технічний документ, в якому детальніше описано кожне з них.

· Складні багатопрофільні архітектури Active Directory.
· Ієрархічне зонування для спрощення управління.
· Підтримка кількох каталогів AD.
· VM та контейнери в IaaS.
· Розширення Kerberos на *NIX.
· Швидкий захист Hadoop за допомогою Kerberos.
· Використання Active Directory-DNS (служби доменних імен).
· Використання Active Directory-CS (служби сертифікатів).
· Розширення групової політики Active Directory на *NIX.
· Вхід по смарт-карті в Linux.
· Централізація управління локальними обліковими записами та групами.
· Автентифікація для баз даних та додатків.
· Delinea LDAP Proxy.
Active Directory Bridging – це набагато більше, ніж просто перевірка ідентифікаторів та паролів Active Directory. Це фантастичний набір можливостей PAM, який спрощує роботу ІТ-фахівців та підвищує безпеку та відповідність нормативним вимогам.

Додаткові ресурси щодо рішень PAM для серверів та розширеного Active Directory Bridging від Delinea:

Advanced AD Bridging Whitepaper

Delinea Server Suite

Multi-Directory Brokering Solution Brief (PDF)

Glossary:

Active Directory
Active Directory Authentication

Active Directory Security

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Delinea і організації партнерських тренінгів звертайтеся, будь ласка: fast@oberig-it.com, +38 073 168 08 65.

Джерело: https://bit.ly/3drOgpu