it outsoursing control logo

ИТ-Аутсорсер под колпаком

Меры безопасности при внедрении ИТ-аутсорсинга в компании

Задача – не бояться, а контролировать

Переход на  ИТ-аутсорсинг в обслуживании инфраструктуры компании  — логичный шаг для развивающегося бизнеса, позволяющий, при правильном подборе подрядчиков,  оптимизировать затраты на эту услугу и улучшить качество обслуживания. ИТ-aутсорсинг  так же позволяет гибко контролировать объем предоставляемых  услуг: при быстром росте потребностей компании организации подрядчики оперативно наращивают объем услуг, а при снижении,  — сокращают.

it outsoursing control

Переход на аутсорсинг ИТ потребует от компании пересмотра  организации рабочего процесса с целью установления взаимодействия с  ИТ-службами. Кроме того компании следует учитывать риски, связанные с передачей контроля своих структур (администрировании серверов, сетей, всех ключевых учетных данных и т.д) сторонней ИТ-службе и ее сотрудникам. Другими словами, компания предоставляет существенные рычаги управления своим бизнесом посторонней компании, в надежности которой нет 100% гарантии.

Как минимизировать возникающие риски? Этот вопрос изучен глубже, чем может показаться на первый взгляд. Для минимизации возникающих рисков есть несколько мер контроля: организационные и технические.

К организационным мерам относятся создание в организации подразделения “IT Government” – своеобразного «правительства», и определение его полномочий, как то: координация действий подрядчиков, надзор за ними и при необходимости влияние на их действия, вплоть до отмены и блокировки.

В качестве технических мер рынок предлагает использование программных и программно-аппратных продуктов, которые обеспечивают тщательный контроль действий сотрудников ИТ-аутсорсинга посредством аудита и записи всех действий удаленного администратора.

Мы приводим таблицу самых известных профильных продуктов, в которой содержатся ссылки, чтобы Вы самостоятельно могли могли ознакомится с возможностями этих решений:

КомпанияСайтПродукты
TSFactory (США)https://www.tsfactory.com/RecordTS – аудит и запись терминальных сессий (Terminal Services, Citrix, vWorkSpace)
ObserveIT (США-Израиль)http://www.observeit.com/Visual session recording – аудит, алертинг и запись пользовательских сессий на Windows- и Unix-серверах
СensorNET (Великобритания-США)https://www.censornet.com/Desktop Monitoring – онлайн-мониторинг, аудит и запись действий пользователей.
BalaBit (США-Венгрия)https://www.balabit.com/Shell Control Box – аппаратно-программный комплекс контроля, аудита и записи удаленных сессий

Предлагаем детальнее рассмотреть  самое интересное, на наш взгляд, решение  —  BalaBit Shell Control Box.

Из представленного выше списка Shell Control Box выделяется тем, что является не просто набором агентов для клиентских и серверных машин, а самостоятельным устройством, которое осуществляет контроль, мониторинг и аудит удаленного административного доступа к серверам, обеспечивающее полную прозрачность и независимость от клиентов и серверов.

SCB—инструмент наблюдения за администраторами серверов и процессами администрирования серверов посредством управления зашифрованными подключениями, используемыми в администрировании серверов.

SCB полностью контролирует подключения SSH, RDP, Telnet, TN3270, Citrix ICA и VNC, создавая четкий набор функций и контролируемый уровень доступа для администраторов.

BalaBit Shell Control Box – возможное решение

Из представленного выше списка Shell Control Box выделяется тем, что не является просто набором агентов для клиентских и серверных машин. Shell Control Box (SCB)—это самостоятельное устройство, осуществляющее контроль, мониторинг и аудит удаленного административного доступа к серверам, которое полностью прозрачно и независимо от клиентов и серверов.

SCB—инструмент для осуществления наблюдения за администраторами серверов и процессами администрирования серверов посредством управления зашифрованными подключениями, используемыми в администрировании серверов. SCB полностью контролирует подключения SSH, RDP, Telnet, TN3270, Citrix ICA и VNC, создавая для работы администраторов соответствующую среду с четкими границами. В число наиболее значимых характеристик SCB входит следующее:

  • Возможность отключения нежелательных каналов и функций (например, переадресация
    портов TCP, передача файлов, VPN и т. д.);
  • Контроль за использованием выбранных методов аутентификации;
  • Требование внешней аутентификации на шлюзе SCB;
  • Внедрение авторизации с возможностью мониторинга и аудита в режиме реального времени;
  • Аудит выбранных каналов в зашифрованных, снабженных метками времени и цифровой
    подписью аудит-трейлов;
  • Получение информации о принадлежности пользователей к той или иной группе через базу
    данных LDAP;
  • Проверка ключей и сертификатов хоста серверов, к которым получен доступ SCB, настраивается и управляется при помощи любого современного веб-браузера.

Посмотрим на возможную схему включения SCB в ИТ-инфраструктуру компании:

Схема включения SCB

(В данной схеме компания использует в качестве мониторинга один сервер(Сервер1) с помощью продукта SCB с целью уменьшения количества хостов в оплачиваемой лицензии. К остальным серверам(Сервер 2-4) ИТ-администратор подключается через Сервер 1).

Наш SCB сервер настроен в качестве шлюза удаленных рабочих столов. При попытке получить доступ к серверу, администратор проходит аутентификацию на сервере SCB и, в случае успеха, дополнительную проверку на сервере. Далее, администратор с подконтрольного сервера выполняет различные подключения к другим серверам, которые также фиксируются сервером SCB.

Весь административный и контрольный функционал Shell Control Box доступен через веб-интерфейс:

Shell Control Box

Shell Control Box

После того, как сервер SCB сконфигурирован, весь трафик, проходящий через него, автоматически записывается. SCB имеет единый интерфейс для просмотра и изменения конфигурации, отчетов, аудит-трейлов.

Shell Control Box

SCB предоставляет возможность просмотреть аудит прошлых подключений, а также мы можем экстренно завершить текущие подключения к серверам или наблюдать за действиями удаленных администраторов в режиме on-line

Shell Control Box audit

Для удобного просмотра Аудит-трейлов на любом компьютере существует Audit Player, который позволяет просматривать сохраненные ранее видеозаписи подключений. Скриншот ниже демонстрирует просмотр видео на Audit Player, когда удаленный администратор выполнил RDP сессию с сервера, который находится под мониторингом, на другой сервер в сети:

Audit Player

Рассмотрим пример. В процессе рабочего дня произошла незапланированная остановка бизнес-критического сервиса. Нам известно время, когда это произошло, и сервер, который отвечает за этот сервис.

Заходим на веб-интерфейс в раздел поиска. Выставляем нужную нам дату, время, тип протокола:

Shell Control Box test

Находим нужную нам сессию.

Shell Control Box test

Мы можем выполнить быстрый просмотр после рендеринга и, при необходимости, скачать видеозапись rdp-подключения.

Shell Control Box test

Видеозапись RDP подключения к серверу демонстрирует работу удаленного администратора, который выполнил несогласованный перезапуск службы. Данный аудит станет наглядным доказательством в решении возникших вопросов к компании, выполняющей ИТ-аутсорсинг.

Сделаем выводы

На примере функциональности BalaBit Shell Control Box мы постарались продемонстрировать, как создать дополнительное звено безопасности, обеспечивающее полноценный контроль и аудит ИT-компаний, выполняющих работы по обслуживанию серверов, с возможностью наглядной демонстрации выполняемых действий на серверах.

Может показаться, что такой строгий аудит в отношении ИТ-подрядчика разрушает доверительные отношения при предоставлении услуг, но на самом деле ситуация ровно обратная – любое доверие, как известно из старой русской пословицы, должно быть подкреплено прозрачностью и возможностью проверки, и качественные ИТ-аутсорсеры должны всячески приветствовать такие меры контроля со стороны клиента, поскольку они, в случае добросовестности подрядчика, позволяют еще лучше продемонстрировать эту добросовестность и закрепить доверительные партнерские отношения заказчика и аутсорсера. Мы как компания-аутсорсер кровно заинтересованы в том, чтобы наш клиент чувствовал себя в безопасности при работе с нами. Более того, мы готовы бесплатно разворачивать продукты подобного рода (разумеется, официально приобретенные) у заказчиков.

В качестве итога можно констатировать, что времена бесконтрольного доступа ИТ-аутсорсеров к инфраструктуре заказчиков и связанных с этим страхов уходят в прошлое. Действия аутсорсера вполне могут быть проконтролированы, нерадивость – доказана, а неправомерные действия – отслежены и предотвращены. Единственный фактор — затраты, который будет компенсирован пользой и выгодой в конечном счете.
Если у Вас возникают вопросы организационно-технического плана, свяжитесь с нами, мы окажем консультационную поддержку.