Sistemele care asigură accesul la distanță și înregistrarea sesiunilor garantează o colaborare eficientă și sigură cu furnizorii externi. Datorită acestor sisteme, subcontractorilor li se poate permite accesul la resursele interne ale serverului și la sistemele informatice într-un mod ușor și controlat. Printre tipurile de platforme la care se conectează cel mai des furnizorii externi se numără Windows Server, Linux, Unix, dispozitivele de rețea, interfețele administrative HTTPS și tot felul de sisteme IT. O problemă inevitabilă legată de gestionarea acestor accesuri este asigurarea securității și a posibilității de a efectua un audit.
- Sistemele care permit accesul la distanță ar trebui să garanteze mecanismele care reduc riscul de incidente de securitate. Aceste mecanisme includ înregistrarea sesiunilor, protecția parolelor, înregistrarea activităților.
- Un element important pentru creșterea securității accesului la distanță este posibilitatea de a controla munca efectuată de către contractori în timp real și colaborarea în cadrul aceleiași sesiuni.
- Elementele care asigură securitatea nu trebuie să limiteze funcționalitatea instrumentelor și viteza de operare.
- Universalitatea soluției și suportul pentru o gamă largă de protocoale de comunicare (RDP, SSH, telnet, HTTP/HTTPS, VNC) permit reducerea costurilor și etanșarea proceselor de acces.
Securitatea accesului la distanță
Într-o eră în care numărul de sisteme utilizate de organizații este în continuă creștere, întreținerea lor este adesea externalizată către entități externe. Majoritatea operațiunilor de service și suport sunt realizate de subcontractori independenți. Aceasta este o modalitate convenabilă și rapidă de a asigura întreținerea tehnică adecvată a sistemelor IT. Din păcate, dacă acest acces este realizat în mod necorespunzător, există un risc crescut de incidente de securitate. Aceste incidente pot avea diverse cauze. Poate fi vorba de erori în software, de o configurare incorectă care poate fi folosită pentru accesul neautorizat la mașini, dar și de acțiuni intenționate ale unor terțe părți, care vizează utilizarea accesului la distanță într-un mod incorect și periculos sau pur și simplu rezultă din neglijența utilizatorilor. Prin urmare, sarcina principală este construirea unui sistem de acces la distanță și înregistrare a sesiunilor în care sunt abordate toate aspectele care influențează securitatea acestuia. Atât problemele legate de arhitectură, permisiuni cât și auditul ulterior.
Arhitectura care asigură minimizarea suprafeței de atac potențial, de exemplu, prin utilizarea celui mai mic număr de porturi de comunicații, protejarea accesului la rețelele izolate, asigurarea criptării comunicațiilor în timpul sesiunii. Sistemul în sine ar trebui să ofere protecție pentru accesul la acesta, de exemplu, prin aplicarea autentificării cu mai mulți factori (2FA/MFA) și implementarea restricțiilor de rețea pentru interfața administrativă. De asemenea, posibilitatea de a furniza sistemul într-un mod adaptat nevoilor utilizatorului este importantă, de exemplu, când unele entități, din motive formale, exclud în mod specific serviciile cloud și necesită ca întregul sistem să funcționeze în infrastructura solicitantului.
Securitatea acreditărilor privilegiate este una dintre problemele cheie în domeniul IT și nu este legată doar de accesul la distanță. Furnizorii externi trebuie adesea să efectueze sarcini care necesită drepturi de administrator. Emiterea deschisă a acreditărilor privilegiate generează o creștere semnificativă a riscului. În acest caz, cea mai bună soluție este să separați subcontractorii de cunoașterea parolei contului privilegiat și să injectați automat acreditările acestui cont de sistem în timpul conectării la resursa de la distanță.
Al doilea pas important este renunțarea la utilizarea conturilor privilegiate în ansamblu. În schimb, se recomandă utilizarea conturilor standard (cu drepturi reduse), pentru care drepturile sunt ridicate selectiv pentru sarcini precis definite efectuate de subcontractori. Sistemele de tip PEDM/EPM (link) servesc acestui scop. Drepturile reglementate în mod precis permit crearea de roluri necesare pentru asigurarea securității proceselor organizaționale. Prin stabilirea drepturilor detaliate, contractanții se pot conecta doar la resursele definite, iar în timpul sesiunii li se vor pune la dispoziție doar instrumentele aprobate de departamentul de securitate, de exemplu, interzicerea copierii fișierelor sau sincronizarea clipboardului.
Audit și înregistrare sesiuni
Înregistrarea sesiunilor efectuate de furnizorii externi este una dintre funcțiile cheie pe care un sistem de acces la distanță ar trebui să le aibă. Jurnalele detaliate ale sesiunilor și înregistrările permit auditul ulterior și obținerea informațiilor despre modul în care se desfășoară activitățile. Aceste funcții devin deosebit de importante atunci când se caută cauza funcționării incorecte a sistemului, care rezultă din configurarea incorectă anterioară. Pe lângă avantajele legate de responsabilitatea muncii, astfel de înregistrări pot fi folosite pentru a construi o bază de cunoștințe și pentru a pregăti administratorii. Interesant este că mulți utilizatori ai acestor sisteme observă, de asemenea, o îmbunătățire a calității lucrărilor, care rezultă din faptul că tehnicienii și administratorii știu că sesiunile sunt înregistrate și, prin urmare, pașii de configurare sunt mai bine gândiți și mai puțin riscanți.
• Înregistrarea sesiunilor la distanță trebuie să fie gestionată central, adică începerea înregistrării sesiunii trebuie să se facă independent de subcontractor, iar înregistrările în sine trebuie să fie stocate în mediul clientului.
• Înregistrarea logurilor din sesiuni este importantă, mai ales atunci când este necesar să se analizeze datele statistice legate de responsabilitatea muncii furnizorului extern, de exemplu numărul de sesiuni și durata lor într-o perioadă dată sau este necesar să se obțină informații despre ce fișiere a copiat contractantul pe mașinile la care s-a conectat.
• Cooperarea cu contractantul în timp real și comunicarea prin chat este o funcție foarte valoroasă atunci când este nevoie de cooperare în rezolvarea problemelor sau în efectuarea lucrărilor de service. Întreaga comunicare folosind chatul trebuie să fie de asemenea înregistrată și disponibilă în logurile legate de sesiunea efectuată, astfel încât să se poată analiza conținutul acestora.
• Notificările și posibilitatea de a introduce un proces de aprobare a solicitărilor de acces asigură un pas suplimentar în procesul de stabilire a sesiunii către resurse de către o entitate externă. Prin această funcție, administratorii interni sau departamentul de securitate sunt întotdeauna conștienți de când și de ce se efectuează conexiunile la resursele critice. O astfel de configurație a instrumentului permite impunerea unei aprobări manuale a accesului înainte ca subcontractorul să poată stabili o sesiune la distanță.
