Chcete maximální bezpečnost v Azure i jinde? Přemýšlejte o privilegované pracovní stanici.
Pokud je bezpečnost správy systémů (OS, DB, …) pro vás to nejdůležitější, zvažte použití privilegované pracovní stanice. Možná to není pro administrátory zrovna pohodlné a flexibilní, ale je to skvělý způsob dramatického zvýšení bezpečnosti. Dnes si řekneme proč a jak to funguje a v dalším díle si vyzkoušíme některé příklady, například velmi zajímavý projekt Apache Guacamole.
V čem mi může privilegovaná stanice pomoci?
Místo přímého připojení na RDP, VNC nebo SSH systémů a budou administrátoři připojovat výhradně přes dedikovanou privilegovanou pracovní stanici (pro zjednodušení budu říkat jump server) – typicky nějaké VMko v Azure, z kterého pak můžete přistupovat do dalších VM v Azure (ale i platformních služeb smaozřejmě). Proboha proč?
Oddělení běžného nástroje od více bezpečného
Notebook správce samozřejmě má mít všechny možné prvky bezpečnosti, z Microsoft portfolia určitě věci jako Defender, Information Protection, Intune a tak podobně. Přesto – vždy potřebujete nechat správci poměrně velkou míru svobody, aby na stroji vůbec mohl pracovat, vyřizovat emaily, vyvíjet software a tak podobně. Stejně tak ho potřebujete nechat fungovat kdekoli ve světě – v práci, v kavárně, doma. To všechno znamená riziko.
Pokud pro přístup k systémům budeme používat separátní VM, to bude specificky zaměřené právě na tohle a můžeme ho tak omezit, zabezpečit a uzamknout. Tak například na takovém stroji nebudete moci spouštět své vlastní procesy, jen to, co je předem připraveno a schváleno. To případnému útočníkovi prakticky znemožňuje se strojem dělat něco užitečného – nepřidá si key logger, ani snímač obrazovky, ani scanner sítě či lámač hesel. Stanice umí jen naprosto minimální sadu věcí.
Kontrola úniku informací
Nezabráníte člověku, aby si v hlavě odnesl informace a ochrana nafocení obrazovky mobilem je také problematická (ale možná). To zásadnější ale je, když si může stáhnout soubor do své stanice (SCP, FTP, RDP integrace na clipboard, share) a tam ho neručeně uploadovat do vzdálené storage, poslat emailem nebo nahrát na USB.
Privilegovaná stanice může být v tomto dost neúprosná. Tak například nemusí umožňovat žádné sdílení souborů případně ho zajistit pouze tak, aby k němu měl přístup jen cílový systém a jump server, nikoli přímo klient. V takové stanici bude zakázáno nastartování prohlížeče či souborového klienta, nepůjde přimapovat disk a můžete i bránit přístupu do externího světa třeba na internetová úložiště. V některých případech nemůžete ani do příkazové řádky stanice – na aplikační úrovni pro vás zajistí SSH/VNC/RDP proxy a nemáte možnost jít do PowerShellu lokální stanice a o něco se pokoušet.
Jediné místo pro odříznutí přístupu do systémů
Pokud je přístup ke kritickým systémům umožněn pouze přes privilegovanou stanici je login do ní první vlnou autentizace a autorizace. Předpokládám, že většina systémů sdílí stejnou bázi uživatelů, ale možná se u vás najdou i instance, kde je jméno a heslo separátní. Vymazání či změna všech sdílených přístupů a identit uživatele může nějakou dobu trvat. ale odříznutím přístupu na jump server se zabrání i logování do systémů byť zaměstanec zná heslo.