Руководство по усилению защиты

Приложение Open Single Management Platform предназначено для централизованного решения основных задач по управлению и обслуживанию системы защиты сети организации. Приложение предоставляет администратору доступ к детальной информации об уровне безопасности сети организации. Open Single Management Platform позволяет настраивать все компоненты защиты, построенной на основе приложений "Лаборатории Касперского".

Сервер администрирования имеет полный доступ к управлению защитой клиентских устройств и является важнейшим компонентом системы защиты организации. Поэтому для Сервера администрирования требуются усиленные меры защиты.

В Руководстве по усилению защиты описаны рекомендации и особенности настройки Open Single Management Platform и его компонентов для снижения рисков его компрометации.

Руководство по усилению защиты содержит следующую информацию:

• выбор схемы развертывания Сервера Администрирования;
• настройка безопасного подключения к Серверу Администрирования;
• настройка учетных записей для работы с Сервером администрирования;
• управление защитой Сервера администрирования;
• управление защитой клиентских устройств;
• настройка защиты управляемых приложений;
• обслуживание Сервера администрирования;
• передача информации в сторонние системы;
• рекомендации по безопасности сторонних информационных систем.

Управление инфраструктурой Open Single Management Platform

В этой статье описан общий принцип использования минимально необходимого количества приложений для работы операционной системы и Open Single Management Platform. Также в этой статье описан принцип минимальных привилегий, который сводится к концепции нулевого доверия.

Управление учетными записями операционной системы

Для работы с кластером Kubernetes с помощью KDT рекомендуется создать отдельного пользователя с минимальными правами. Оптимальным способом является реализация управления учетными записями пользователей операционной системы с помощью LDAP с возможностью отзыва прав пользователей через LDAP. Информацию о конкретной реализации отзыва прав и блокировки пользователей см. в руководстве пользователя/администратора в вашем решении LDAP. Рекомендуется использовать пароль длиной не менее 18 символов или парольную фразу, содержащую не менее 4 слов с любыми разделителями, для аутентификации пользователя. Также можно использовать физические средства аутентификации (например, токен).

Также рекомендуется защищать корневую директорию документов пользователя и все вложенные директории таким образом, чтобы только пользователь имел к ним доступ. Другие пользователи и группа пользователей не должны иметь прав на корневую директорию документов.

Рекомендуется не предоставлять права на запуск для директорий .ssh, .kube, .config и .kdt, а также для всех файлов, содержащихся в этих директориях в корневой директории документов пользователя.

Управление пакетами операционной системы

Рекомендуется использовать минимальный набор приложений, необходимый для работы KDT и Open Single Management Platform. Например, вам не нужно использовать графический пользовательский интерфейс для работы в кластере Kubernetes, поэтому не рекомендуется устанавливать графические пакеты. Если пакеты установлены, рекомендуется удалить эти пакеты, включая графические серверы, такие как Xorg или Wayland.

Рекомендуется регулярно устанавливать обновления безопасности для системного программного обеспечения и ядра Linux. Также рекомендуется включить автоматическое обновление следующим образом:

• Для операционных систем с диспетчером пакетов atp:

  /etc/apt/apt.conf.d/50unattended-upgrades

  Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}-security"; "${distro_id}ESMApps:${distro_codename}-apps-security"; "${distro_id}ESM:${distro_codename}-infra-security"; };
• Для операционных систем с диспетчером пакетов rp, dnf и yum:

  /etc/dnf/automatic.conf

  [commands] # Какое обновление выполнить: # default = все доступные обновления # security = только обновления безопасности upgrade_type = default # Следует ли скачивать обновления, когда они будут доступны, # dnf-automatic.timer. notifyonly.timer, download.timer и # install.timer отменяют этот параметр. download_updates = yes # Следует ли применять обновления, когда они будут доступны, # dnf-automatic.timer. notifyonly.timer, download.timer и # install.timer отменяют этот параметр. apply_updates = no

Параметры безопасности операционной системы

Параметры безопасности ядра Linux можно включить в файле /etc/sysctl.conf или с помощью команды sysctl. Рекомендуемые параметры безопасности ядра Linux перечислены во фрагменте файла /etc/sysctl.conf:

/etc/sysctl.conf

Рекомендуется ограничить доступ к PID. Это уменьшит вероятность того, что один пользователь будет отслеживать процессы другого пользователя. Вы можете ограничить доступ к PID при монтировании файловой системы /proc, например, добавив следующую строку в файл /etc/fstab:

Если процессы операционной системы управляются с помощью системы systemd, служба systemd-logind по-прежнему может контролировать процессы других пользователей. Для корректной работы пользовательских сессий в системе systemd необходимо создать файл /etc/systemd/system/systemd-logind.service.d/hidepid.conf и добавить в него следующие строки:

Так как в некоторых системах может не быть группы proc, рекомендуется добавить группу proc заранее.

С помощью команды systemctl mask ctrl-alt-del.target рекомендуется выключить комбинацию клавиш Ctrl+Alt+Del, чтобы предотвратить неожиданную перезагрузку операционной системы.

Рекомендуется запретить аутентификацию привилегированных пользователей (пользователей root) для установки удаленного подключения пользователя.

Рекомендуется использовать сетевой экран для ограничения сетевой активности. Об используемых портах и протоколах см. в разделе Порты, используемые Open Single Management Platform.

Рекомендуется включить auditd, чтобы упростить расследование инцидентов безопасности. О включении перенаправления телеметрии см. в разделе Настройка получения событий Auditd.

Рекомендуется регулярно создавать резервные копии следующих конфигураций и директорий данных:

• Устройство администратора: ~/kdt
• Целевое устройство: /etc/k0s/, /var/lib/k0s

Также рекомендуется зашифровать эти резервные копии.

Руководства по усилению защиты для различных операционных систем и СУБД

Если вам нужно настроить параметры безопасности вашей операционной системы и программного обеспечения, вы можете использовать рекомендации, предоставленные Center for Internet Security (CIS).

Если вы используете операционную систему Astra Linux, обратитесь к рекомендациям по безопасности, которые можно применить к вашей версии Astra Linux.

Если вам необходимо настроить параметры безопасности PostgreSQL, воспользуйтесь рекомендациями по администрированию сервера из официальной документации PostgreSQL.

Безопасность соединения

Строгие параметры TLS

Рекомендуется использовать протокол TLS версии 1.2 или выше и ограничить или запретить использование небезопасных алгоритмов шифрования.

Вы можете настроить протоколы шифрования (TLS), используемые Сервером администрирования. При этом учитывайте, что на момент выпуска определенной версии Open Single Management Platform параметры протокола шифрования по умолчанию настроены так, чтобы обеспечить безопасную передачу данных.

Ограничение доступа к базе данных Open Single Management Platform

Рекомендуется ограничить доступ к базе данных Open Single Management Platform. Например, разрешить доступ только с устройств, на которых установлен Open Single Management Platform. Это позволит снизить вероятность взлома базы данных Open Single Management Platform через известные уязвимости.

Вы можете настроить параметры в соответствии с руководством по эксплуатации используемой базы данных, а также предусмотреть закрытые порты на сетевых экранах.

Учетные записи и авторизация

Использование двухэтапной проверки Open Single Management Platform

Open Single Management Platform обеспечивает двухэтапную проверку для пользователей на основе стандарта RFC 6238 (TOTP: Time-Based One-Time Password Algorithm).

Если для вашей учетной записи включена двухэтапная проверка, каждый раз при входе в Open Single Management Platform с помощью браузера вы вводите свое имя пользователя, пароль и дополнительный одноразовый код безопасности. Для того чтобы получить одноразовый код безопасности, вам нужно установить приложение для аутентификации на своем компьютере или мобильном устройстве.

Существуют как программные, так и аппаратные аутентификаторы (токены), поддерживающие стандарт RFC 6238. Например, к программным аутентификаторам относятся Google Authenticator, Microsoft Authenticator, FreeOTP.

Категорически не рекомендуется устанавливать приложение для аутентификации на том же устройстве, с которого выполняется подключение к Open Single Management Platform. Например, вы можете установить приложение для аутентификации на мобильном устройстве.

Использование двухфакторной аутентификации операционной системы

Рекомендуется использовать многофакторную аутентификацию (MFA) на устройствах с развернутым Open Single Management Platform с помощью токена, смарт-карты или другим способом (если это возможно).

Запрет на сохранение пароля администратора

При работе с Open Single Management Platform через браузер не рекомендуется сохранять пароль администратора в браузере на устройстве пользователя.

Авторизация внутреннего пользователя

По умолчанию пароль внутренней учетной записи пользователя Open Single Management Platform должен соответствовать следующим требованиям:

• Длина пароля должна быть от 8 до 16 символов.

• Пароль должен содержать символы как минимум трех групп из списка ниже:

  • верхний регистр (A–Z);

  • нижний регистр (a–z);

  • числа (0–9);

  • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).

• Пароль не должен содержать пробелов, символов Юникода или комбинации "." и "@", когда "." расположена перед "@".

По умолчанию максимальное количество попыток ввода пароля равно 10. Вы можете изменить количество попыток ввода пароля.

Пользователь может вводить неверный пароль ограниченное количество раз. После этого учетная запись пользователя блокируется на час.

Ограничение назначения роли Главного администратора

Пользователю назначается роль Главного администратора в списке контроля доступа (ACL) Open Single Management Platform. Не рекомендуется назначать роль Главного администратора большому количеству пользователей.

Настройка прав доступа к функциям приложения

Рекомендуется использовать возможности гибкой настройки прав доступа пользователей и групп пользователей к разным функциям Open Single Management Platform.

Управление доступом на основе ролей позволяет создавать типовые роли пользователей с заранее настроенным набором прав и присваивать эти роли пользователям в зависимости от их служебных обязанностей.

Основные преимущества ролевой модели управления доступом:

• простота администрирования;
• иерархия ролей;
• принцип наименьшей привилегии;
• разделение обязанностей.

Вы можете воспользоваться встроенными ролями и присвоить их определенным сотрудникам на основе должностей либо создать полностью новые роли.

При настройке ролей требуется уделить особое внимание привилегиям, связанным с изменением состояния защиты устройства с Open Single Management Platform и удаленной установкой стороннего программного обеспечения:

• Управление группами администрирования.
• Операции с Сервером администрирования.
• Удаленная установка.
• Изменение параметров хранения событий и отправки уведомлений.

  Эта привилегия позволяет настроить уведомления, которые запускают скрипт или исполняемый модуль на устройстве с OSMP при возникновении события.

Отдельная учетная запись для удаленной установки приложений

Помимо базового разграничения прав доступа, рекомендуется ограничить возможность удаленной установки приложений для всех учетных записей, кроме "Главного администратора" или иной специализированной учетной записи.

Рекомендуется использовать отдельную учетную запись для удаленной установки приложений. Вы можете назначить роль или разрешения отдельной учетной записи.

Регулярный аудит всех пользователей

Рекомендуется проводить регулярный аудит всех пользователей на устройстве, где развернуто приложение Open Single Management Platform. Это позволит реагировать на некоторые типы угроз безопасности, связанные с возможной компрометацией устройства.

Управление защитой Open Single Management Platform

Выбор программного обеспечения защиты Open Single Management Platform

В зависимости от типа развертывания Open Single Management Platform и общей стратегии защиты выберите приложение для защиты устройств с развернутым Open Single Management Platform и устройства администратора.

Если вы разворачиваете Open Single Management Platform на выделенных устройствах, рекомендуется выбрать приложение Kaspersky Endpoint Security для защиты устройств с развернутым Open Single Management Platform и устройства администратора. Это позволит применить все имеющиеся технологии для защиты этих устройств, в том числе модули поведенческого анализа.

Если Open Single Management Platform разворачивается на устройствах, которые уже существуют в инфраструктуре и ранее использовались для выполнения других задач, рекомендуются следующие приложения защиты:

• Kaspersky Industrial CyberSecurity for Nodes. Это приложение рекомендуется устанавливать на устройства, входящие в промышленную сеть. Kaspersky Industrial CyberSecurity for Nodes – это приложение, имеющее сертификаты совместимости с различными производителями промышленного программного обеспечения.
• Рекомендованные приложения безопасности. Если Open Single Management Platform развернут на устройствах с другим программным обеспечением, нужно ознакомиться с рекомендациями производителя программного обеспечения по использованию антивирусных приложений (возможно, уже существуют рекомендации по выбору приложения защиты, и, вероятно, вам потребуется выполнить настройку доверенной зоны).

Модули защиты

Если отсутствуют особые рекомендации от производителя стороннего программного обеспечения, установленного на тех же устройствах, что и Open Single Management Platform, рекомендуется активировать и настроить все доступные модули защиты (после проверки их работы в течение определенного времени).

Настройка сетевого экрана устройств с Open Single Management Platform

На устройствах с развернутым Open Single Management Platform рекомендуется настроить сетевой экран, чтобы ограничить количество устройств, с которых администраторы могут подключаться к Open Single Management Platform через браузер.

По умолчанию

Open Single Management Platform использует порт 443 для входа в систему через браузер. Рекомендуется ограничить число устройств, с которых Open Single Management Platform может управляться по этим портам.

Управление защитой клиентских устройств

Ограничение добавления лицензионных ключей в инсталляционные пакеты

Инсталляционные пакеты можно публиковать с помощью Веб-сервера, входящего в состав Open Single Management Platform. Если вы добавите лицензионный ключ в инсталляционный пакет, опубликованный на Веб-сервере, лицензионный ключ будет доступен для чтения всем пользователям.

Для того чтобы избежать компрометации лицензионного ключа, не рекомендуется добавлять лицензионные ключи в инсталляционные пакеты.

Рекомендуется использовать автоматическое распространение лицензионных ключей на управляемые устройства, выполнять развертывание с помощью задачи Добавление лицензионного ключа для управляемого приложения и добавлять код активации или файл ключа на устройства вручную.

Правила автоматического перемещения устройств между группами администрирования

Рекомендуется ограничить использование правил автоматического перемещения устройств между группами администрирования.

Использование правил автоматического перемещения может привести к тому, что на устройство будут распространены политики, предоставляющие более широкий набор привилегий, чем было до перемещения.

Перемещение клиентского устройства в другую группу администрирования может привести к распространению на него параметров политик. Эти параметры политик могут быть нежелательны к распространению на гостевые и недоверенные устройства.

Эта рекомендация, не относится к первоначальному распределению устройств по группам администрирования.

Требования к безопасности к устройствам с точками распространения и шлюзам соединений

Устройства с установленным Агентом администрирования могут использоваться в качестве точки распространения и выполнять следующие функции:

• Распространять обновления и инсталляционные пакеты, полученные от Open Single Management Platform, на клиентские устройства в группе.
• Выполнять удаленную установку приложений сторонних производителей и приложений "Лаборатории Касперского" на клиентские устройства.
• Опрашивать сеть с целью обнаружения новых устройств и обновления информации об уже известных устройствах. Точка распространения может использовать те же методы обнаружения устройств, что и Open Single Management Platform.

Размещение точек распространения в сети организации используется для следующих задач:

• снижение нагрузки на Open Single Management Platform;
• оптимизация трафика;
• предоставление Open Single Management Platform доступа к устройствам в труднодоступных частях сети.

С учетом доступных возможностей рекомендуется защитить, в том числе физически, устройства, выполняющие роль точек распространения, от любого типа несанкционированного доступа.

Ограничение автоматического назначения точек распространения

Для упрощения администрирования и сохранения работоспособности сети рекомендуется воспользоваться автоматическим назначением точек распространения. Однако в промышленных и небольших сетях рекомендуется избегать автоматического назначения точек распространения, так как на точки распространения могут быть, например, переданы конфиденциальные сведения учетных записей, используемых для работы задач принудительной удаленной установки средствами операционной системы.

В промышленных и небольших сетях вы можете назначить точки распространения вручную.

При необходимости вы также можете просмотреть Отчет о работе точек распространения.

Настройка защиты управляемых приложений

Политики управляемых приложений

Рекомендуется создать политику для каждого вида используемого приложения и всех компонентов Open Single Management Platform (Агент администрирования, Kaspersky Endpoint Security для Windows, Kaspersky Endpoint Agent и другие). Эта групповая политика должна применяться ко всем управляемым устройствам (корневой группе администрирования) или к отдельной группе, в которую автоматически попадают новые управляемые устройства в соответствии с настроенными правилами перемещения.

Установка пароля на выключение защиты и удаление приложения

Настоятельно рекомендуется включить защиту паролем, чтобы злоумышленники не смогли выключить или удалить приложения безопасности "Лаборатории Касперского". На платформах, где поддерживается защита паролем, вы можете установить пароль, например, для Kaspersky Endpoint Security, Агента администрирования и других приложений "Лаборатории Касперского". После включения защиты паролем рекомендуется заблокировать соответствующие параметры, закрыв их "замком".

Использование Kaspersky Security Network

Во всех политиках управляемых приложений и в свойствах Open Single Management Platform рекомендуется использовать Kaspersky Security Network (KSN) и принять актуальное Положение о KSN. При обновлении Open Single Management Platform вы также можете принять обновленное Положение о KSN. Если использование облачных служб запрещено законодательством или иными нормативными актами, вы можете не включать KSN.

Регулярная проверка управляемых устройств

Для всех групп устройств вам нужно создать задачу, периодически запускающую полную проверку устройств.

Обнаружение новых устройств

Рекомендуется должным образом настроить параметры обнаружения устройств: настроить интеграцию с контроллерами доменов и указать диапазоны IP-адресов для обнаружения новых устройств.

В целях безопасности вы можете использовать группу администрирования по умолчанию, в которую попадают все новые устройства, и применяемые к этой группе политики по умолчанию.

Передача событий в сторонние системы

В этом разделе описаны особенности передачи проблем безопасности, обнаруженных на клиентских устройствах, в системы сторонних производителей.

Мониторинг и отчеты

Для своевременного реагирования на проблемы безопасности вы можете настроить функции мониторинга и параметры отчетов.

Экспорт событий в SIEM-системы

Для максимально быстрого выявления проблем безопасности до того, как будет нанесен существенный ущерб, рекомендуется использовать передачу событий в SIEM-систему.

Уведомление по электронной почте о событиях аудита

Для своевременного реагирования на возникновение нештатных ситуаций рекомендуется настроить отправку Сервером администрирования уведомлений о публикуемых им событиях аудита, критических событиях, событиях отказа функционирования и предупреждениях.

Поскольку события аудита являются внутрисистемными, они регистрируются редко и количество уведомлений о подобных событиях вполне приемлемо для почтовой рассылки.