SecureAnyBox

SecureAnyBox - popis

SecureAnyBox je kompletné riešenie bezpečnosti pre oblasti, ktoré nie je možné efektívne obslúžiť autentizačným systémom SSO/SLO ako je napríklad KeyShield. V oddelení ICT sú to najmä prístupové a konfiguračné údaje pre zariadenia, ktoré pracujú samostatne - napríklad diskové polia, HW serverov, sieťové prvky, virtualizačné platformy. Taktiež kryptografické kľúče, informácie pre prepojenie vlastných systémov, ale aj systémov tretích strán. V dnešnej dobe ale zďaleka neide len o ICT. Podobné požiadavky má napríklad obchodné alebo logistické oddelenie pre uloženie a zdieľanie prístupových údajov do e-shopov a portálov dodávateľov, oddelenie finančné pre uloženie a zdieľanie prístupových údajov k bankovým účtom a elektronickým systémom štátnej správy. Silné zabezpečenie potrebujú nielen Vaše vlastné systémy, ale aj čokoľvek čo u zákazníkov spravujete vzdialeným prístupom - IT, mraziace systémy, tlačové stroje, číslicovo riadené stroje a podobne. Predstavte si bežnú situáciu, keď je na desiatich tisícoch zariadení, ktoré ste dodali zákazníkovi nastavené rovnaké heslo, alebo niekoľko hesiel, aby to Vaši zamestnanci mali "pohodlnejšie". A to heslo unikne, alebo niekto v zlom opustí Vašu spoločnosť, ktorý toto heslo pozná. Znalosť prístupových údajov v akejkoľvek podobe definuje zodpovednosť pracovníka - držiteľa. Ak rovnakú informáciu má viacej pracovníkov a neviem ich rozlíšiť, zodpovednosť sa zmenší na detinské "to som nebol ja, to bol niekto iný".

Vo svete objektívne vedú tri spôsoby uchovania a ochrany takýchto údajov. Aj keď sa to môže javiť ako celkom nemožné (zoradené podľa doposiaľ zisteného množstva výskytu):

jedno "dobré" heslo, ktoré všetci poznajú, je použité všade
informácie sú uložené v tabuľkovom editore na zdieľanom disku na sieti
informácie sú v zakryptovanom súbore nástroja ako je KeePass

Pre hodnotenie vyššie uvedeného zoznamu je úplne jedno, či sa jedná o excel alebo openoffice, o KeePass, alebo KeyPass. Všetky spôsoby a systémy sú jednoužívateľské a keď takéto údaje niekto má, tak má všetko a nie je možné ho odlíšiť od tých, ktoré majú svojú kópiu údajov. Ľudia tieto spôsoby používajú proste preto, že na svojom PC nemali nič iného a predsa len to bolo lepšie ako papierik pod klávesnicou (na ktorý naviac certifikát, kľúč, alebo konfiguračný súbor nedáte).

Naznačené bezpečnostné riziká rieši SecureAnyBox dvoma spôsobmi. Tam kde je to možné používame tzv. agenta, ktorý mení heslo každý deň tak, aby bolo v rámci Vášho prostredia unikátne. Kto sa chce prihlásiť, musí sa najprv pripojiť k serveru SecureAnyBox, mať potrebné oprávnenia a heslo si vyžiadať. Každá takáto požiadavka je samozrejme zachytená v audite, odovzdaná SIEM systému a prípadne notifikovaná. Heslá k systémom, ktoré takto ošetriť nie je možné (napríklad preto, že ide o systémy prevádzkované niekým iným) ako aj certifikáty, kľúče, dokumenty, konfiguračné súbory atď, atď, je možné ukladať v tzv. trezoroch. Tieto trezory je možné zdieľať, ale vždy tek, že je možné jednoznačne odlíšiť, kto, kedy, odkiaľ a ku ktorej konkrétnej položke pristúpil. Aj tieto prístupy sú auditované, reportované a notifikované.

Agent SecureAnyBox nepotrebuje pre správne a spoľahlivé fungovnie spojenie so serverom. Na serveri najprv pripravíte konfiguráciu pre skupinu agentov. Môžete samozrejme použiť len jednu pre všetko (všetky typy agentov, všetky účty všetkých zariadení), ale je vhodné použiť rozdelenie aspoň na bežné stanice, stanice VIP používateľov, servery a napríklad LDAP účty externistov. Tam môžete definovať, ktorý správca/ci môže danú skupinu spravovať. Každá konfigurácia je chránená svojim heslom, kotrým je zakryptovaná. Toto heslo je po štarte servera nutné zadať, aby server vedel prečítať všetky konfigurácie a pracovať. Nainštalovaného agentainicializujete konfiguráciou stiahnutou primo z Vášho servera SecureAnyBox. Túto inicializačnú konfiguráciu agent okamžite odstráni a uloží si vlastnú, ktorá je viazaná na konktrétne zariadenie a jeho meno. Akonáhle je agent inicializovaný, zmení heslo spravovaného používateľa alebo používateľov ak ide o konfiguráciu na skupinu.

Registrácia chráneného zariadenia je rozširujúca funkcia, ktorú agent použije, ak sa dokáže pripojiť na server. Pri registrácii mu odovzdá meno zariadenia, konfiguráciu, operačný systém a časovú zónu. Takto máte prehľad, či sú všetky zariadenia a ich agenti funkční. O registráciu sa agent pokúša opakovane. Keď je úspešný, ohlási sa až na ďalší deň, alebo po reštarte systému.

Heslo chráneného účtu zistíte po prihlásení na server SecureAnyBox a po vyplnení formulára - konfigurácie, OS, mena zariadenia, prípadne mena používateľa (pokiaľ nie je spravovaný len jeden, ale celá skupina) a dňa, pre ktorý heslo požadujete. Pokiaľ je zariadenie registrované, stačí ho vybrať zo zoznamu a doplniť meno používateľa ak je pre správu konfigurovaná celá skupina.

Agent pre Windows podporuje Windows XP a vyšší. Dokáže chrániť aj režim Kiosk, v ktorom prebehne prihlásenie automaticky, s využitím mena a hesla tzv. default používateľa uložených v registroch.

Agent pre MacOS X podporuje Mac OS X od verzie 10.10 (Yosemite). Pri zmene hesla používa štandardný postup pre lokálnu databázu KeyChain daného používateľa - odstráni jej obsah.

Agent rpe Linux podporuje velký rozsah rôznych distribúcií, ktoré nie je možné vymenovať. Pre konkrétny OS a verziu sa prosím informujte na našom technickom oddelení.

Agent pre LDAP podporuje Active Directory, eDirectory, OpenLDAP, ApacheDS a ďalšie. Mení heslo konkrétneho používateľa alebo členov skupiny.

Výhodou konceptu SecureAnyBox agentov je totálna univerzálnosť. Môžete spravovať všetky tri hlavné platformy serverov, pracovných staníc a notebookov. Zariadenie nemusí mať spojenie so serverom a ani prístup do siete - spravovať je možné aj samostatné technologické počítače. Riešenie nie je závislé na žiadnej ďalšej technológii, nevyžaduje konkrétne minimálne verzie, negeneruje nežiaducu prevádzku na sieti.

Prístup správcov ku spravovaným zariadeniam, resp. k ich účtom je možné riadiť bez nutnosti meniť konfiguráciu. Po odobratí role správca zariadenia, nie je možné žiadne ďalšie heslo zistiť a to s okamžitou platnosťou. Priradenie tejto role naopak znamená okamžitý, ale auditovaný prístup k heslám zariadenia. Takto chránime nielen spravované zariadenia, ale aj samotných správcov - pokiaľ prístup nemáte, alebo máte, ale audit nezachytil Vašu požiadavku, nemohol ste v daný deň na zariadení pracovať. Používatelia majú často tendenciu obviňovať správcov len preto, že vedia, že správcovia môžu na ich počítač pristúpiť. Takto je možné podobné podozrenia jesne a bez pochýb vyvrátiť.

Trezory SecureAnyBox použijete všade tam, kde nie je možné využiť agenta, alebo SSO/SLO riešenie. Každý záznam trezoru je kryptovaný zvlášť spoločným kľúčom trezoru. Vďaka tomu nie je možné trezor otvoriť celý a kompromitovať všetky záznamy - používateľ vdy pristúpi k práve jednému záznamu a tento prístup je auditovaný a voliteľne reportovaný na SIEM a notifikovaný používateľom, ktorí majú k tomuto trezoru prístup.

Skupina trezorov zjednodušuje prideľovanie a odoberanie práv do väčšieho množstva trezorov. Stačí prideliť alebo odobrať práva ku skupine a nezaoberať sa jednotlivo každým trezorom zvlášť.

Filter dedičnosti dovoľuje prideliť používateľovi práva k celej skupine trezorov ale k niektorým vybraným nie - prístup k nim je odfiltrovaný. Filter dedičnosti umožňuje tiež výhradný prístup k trezoru, ktorý používateľ použije ako súkromný, bez väzby na prácu zamestnanca. K takému trezoru nie je možné získať prístup inak ako tým, že ho vlastník trezoru pridelí.

Súkromné trezory sú veľmi dôležitou súčasťou bezpečnostnej stratégie SecureAnyBox, pretože používatelia často ohrozujú bezpečnosť organizácie tým, že "pekné" heslo, ktoré používajú pre autentizáciu v práci, majú tiež použité na prístup na facebook, twitter a podobne. Súkromný trezor je ideálny pre generovanie hesiel pre takéto služby a ich uchovanie. Používatelia dostanú túto možnosť a zároveň záväzný pracovný pokyn, že heslá použité v organizácii nesmú byť použité nikde inde. Čo je realizovateľné len s vhodným nástrojom.

Biela obálka je výnimočným typom trezoru. Z pohľadu používateľa - jeho vlastníka - pracuje ako bežný trezor. Ale z pohľadu organizácie nahradzuje predtým používané papierové obálky s heslami v kovovom trezore. Informácia potrebná pre prístup do bielej obálky (kľúč trezoru) je distribuovaná medzi skupinu používateľov.

Audit dáva organizácii omnoho vyššiu mieru kontroly nad využitím zdrojov chránených technológií SecureAnyBox. Umožňuje filtrovanie podľa používateľa aj podľa zariadenia / záznamu v trezore.