Меры безопасности при внедрении ИТ-аутсорсинга в компании
Задача – не бояться, а контролировать
Переход на ИТ-аутсорсинг в обслуживании инфраструктуры компании — логичный шаг для развивающегося бизнеса, позволяющий, при правильном подборе подрядчиков, оптимизировать затраты на эту услугу и улучшить качество обслуживания. ИТ-aутсорсинг так же позволяет гибко контролировать объем предоставляемых услуг: при быстром росте потребностей компании организации подрядчики оперативно наращивают объем услуг, а при снижении, — сокращают.
Переход на аутсорсинг ИТ потребует от компании пересмотра организации рабочего процесса с целью установления взаимодействия с ИТ-службами. Кроме того компании следует учитывать риски, связанные с передачей контроля своих структур (администрировании серверов, сетей, всех ключевых учетных данных и т.д) сторонней ИТ-службе и ее сотрудникам. Другими словами, компания предоставляет существенные рычаги управления своим бизнесом посторонней компании, в надежности которой нет 100% гарантии.
Как минимизировать возникающие риски? Этот вопрос изучен глубже, чем может показаться на первый взгляд. Для минимизации возникающих рисков есть несколько мер контроля: организационные и технические.
К организационным мерам относятся создание в организации подразделения “IT Government” – своеобразного «правительства», и определение его полномочий, как то: координация действий подрядчиков, надзор за ними и при необходимости влияние на их действия, вплоть до отмены и блокировки.
В качестве технических мер рынок предлагает использование программных и программно-аппратных продуктов, которые обеспечивают тщательный контроль действий сотрудников ИТ-аутсорсинга посредством аудита и записи всех действий удаленного администратора.
Мы приводим таблицу самых известных профильных продуктов, в которой содержатся ссылки, чтобы Вы самостоятельно могли могли ознакомится с возможностями этих решений:
| Компания | Сайт | Продукты |
|---|---|---|
| TSFactory (США) | https://www.tsfactory.com/ | RecordTS – аудит и запись терминальных сессий (Terminal Services, Citrix, vWorkSpace) |
| ObserveIT (США-Израиль) | http://www.observeit.com/ | Visual session recording – аудит, алертинг и запись пользовательских сессий на Windows- и Unix-серверах |
| СensorNET (Великобритания-США) | https://www.censornet.com/ | Desktop Monitoring – онлайн-мониторинг, аудит и запись действий пользователей. |
| BalaBit (США-Венгрия) | https://www.balabit.com/ | Shell Control Box – аппаратно-программный комплекс контроля, аудита и записи удаленных сессий |
Предлагаем детальнее рассмотреть самое интересное, на наш взгляд, решение — BalaBit Shell Control Box.
Из представленного выше списка Shell Control Box выделяется тем, что является не просто набором агентов для клиентских и серверных машин, а самостоятельным устройством, которое осуществляет контроль, мониторинг и аудит удаленного административного доступа к серверам, обеспечивающее полную прозрачность и независимость от клиентов и серверов.
SCB—инструмент наблюдения за администраторами серверов и процессами администрирования серверов посредством управления зашифрованными подключениями, используемыми в администрировании серверов.
SCB полностью контролирует подключения SSH, RDP, Telnet, TN3270, Citrix ICA и VNC, создавая четкий набор функций и контролируемый уровень доступа для администраторов.
BalaBit Shell Control Box – возможное решение
Из представленного выше списка Shell Control Box выделяется тем, что не является просто набором агентов для клиентских и серверных машин. Shell Control Box (SCB)—это самостоятельное устройство, осуществляющее контроль, мониторинг и аудит удаленного административного доступа к серверам, которое полностью прозрачно и независимо от клиентов и серверов.
SCB—инструмент для осуществления наблюдения за администраторами серверов и процессами администрирования серверов посредством управления зашифрованными подключениями, используемыми в администрировании серверов. SCB полностью контролирует подключения SSH, RDP, Telnet, TN3270, Citrix ICA и VNC, создавая для работы администраторов соответствующую среду с четкими границами. В число наиболее значимых характеристик SCB входит следующее:
- Возможность отключения нежелательных каналов и функций (например, переадресация
портов TCP, передача файлов, VPN и т. д.); - Контроль за использованием выбранных методов аутентификации;
- Требование внешней аутентификации на шлюзе SCB;
- Внедрение авторизации с возможностью мониторинга и аудита в режиме реального времени;
- Аудит выбранных каналов в зашифрованных, снабженных метками времени и цифровой
подписью аудит-трейлов; - Получение информации о принадлежности пользователей к той или иной группе через базу
данных LDAP; - Проверка ключей и сертификатов хоста серверов, к которым получен доступ SCB, настраивается и управляется при помощи любого современного веб-браузера.
Посмотрим на возможную схему включения SCB в ИТ-инфраструктуру компании:
(В данной схеме компания использует в качестве мониторинга один сервер(Сервер1) с помощью продукта SCB с целью уменьшения количества хостов в оплачиваемой лицензии. К остальным серверам(Сервер 2-4) ИТ-администратор подключается через Сервер 1).
Наш SCB сервер настроен в качестве шлюза удаленных рабочих столов. При попытке получить доступ к серверу, администратор проходит аутентификацию на сервере SCB и, в случае успеха, дополнительную проверку на сервере. Далее, администратор с подконтрольного сервера выполняет различные подключения к другим серверам, которые также фиксируются сервером SCB.
Весь административный и контрольный функционал Shell Control Box доступен через веб-интерфейс:
После того, как сервер SCB сконфигурирован, весь трафик, проходящий через него, автоматически записывается. SCB имеет единый интерфейс для просмотра и изменения конфигурации, отчетов, аудит-трейлов.
SCB предоставляет возможность просмотреть аудит прошлых подключений, а также мы можем экстренно завершить текущие подключения к серверам или наблюдать за действиями удаленных администраторов в режиме on-line
Для удобного просмотра Аудит-трейлов на любом компьютере существует Audit Player, который позволяет просматривать сохраненные ранее видеозаписи подключений. Скриншот ниже демонстрирует просмотр видео на Audit Player, когда удаленный администратор выполнил RDP сессию с сервера, который находится под мониторингом, на другой сервер в сети:
Рассмотрим пример. В процессе рабочего дня произошла незапланированная остановка бизнес-критического сервиса. Нам известно время, когда это произошло, и сервер, который отвечает за этот сервис.
Заходим на веб-интерфейс в раздел поиска. Выставляем нужную нам дату, время, тип протокола:
Находим нужную нам сессию.
Мы можем выполнить быстрый просмотр после рендеринга и, при необходимости, скачать видеозапись rdp-подключения.
Видеозапись RDP подключения к серверу демонстрирует работу удаленного администратора, который выполнил несогласованный перезапуск службы. Данный аудит станет наглядным доказательством в решении возникших вопросов к компании, выполняющей ИТ-аутсорсинг.
Сделаем выводы
На примере функциональности BalaBit Shell Control Box мы постарались продемонстрировать, как создать дополнительное звено безопасности, обеспечивающее полноценный контроль и аудит ИT-компаний, выполняющих работы по обслуживанию серверов, с возможностью наглядной демонстрации выполняемых действий на серверах.
Может показаться, что такой строгий аудит в отношении ИТ-подрядчика разрушает доверительные отношения при предоставлении услуг, но на самом деле ситуация ровно обратная – любое доверие, как известно из старой русской пословицы, должно быть подкреплено прозрачностью и возможностью проверки, и качественные ИТ-аутсорсеры должны всячески приветствовать такие меры контроля со стороны клиента, поскольку они, в случае добросовестности подрядчика, позволяют еще лучше продемонстрировать эту добросовестность и закрепить доверительные партнерские отношения заказчика и аутсорсера. Мы как компания-аутсорсер кровно заинтересованы в том, чтобы наш клиент чувствовал себя в безопасности при работе с нами. Более того, мы готовы бесплатно разворачивать продукты подобного рода (разумеется, официально приобретенные) у заказчиков.
В качестве итога можно констатировать, что времена бесконтрольного доступа ИТ-аутсорсеров к инфраструктуре заказчиков и связанных с этим страхов уходят в прошлое. Действия аутсорсера вполне могут быть проконтролированы, нерадивость – доказана, а неправомерные действия – отслежены и предотвращены. Единственный фактор — затраты, который будет компенсирован пользой и выгодой в конечном счете.
Если у Вас возникают вопросы организационно-технического плана, свяжитесь с нами, мы окажем консультационную поддержку.