Рекомендуемые настройки безопасности окружения#

Общие указания#

Для реализации функций безопасности среды функционирования Platform V Audit SE (AUD) должны выполняться следующие действия:

• Необходимо регулярное обновление всех сред функционирования Platform V Audit SE (AUD) до актуальных версий с применением всех необходимых патчей безопасности с официальных сайтов разработчиков сред функционирования.

• Компоненты операционной системы и сред функционирования Platform V Audit SE (AUD) должны быть максимально ограничены. Компоненты, которые не участвуют в функционировании Platform V Audit SE (AUD), должны быть отключены.

• Должно обеспечиваться предотвращение несанкционированного доступа к идентификаторам и паролям администраторов среды виртуализации, которые необходимы для управления и технической поддержки среды функционирования Platform V Audit SE (AUD).

• Должна быть обеспечена физическая сохранность серверной платформы с установленным Platform V Audit SE (AUD) и исключение возможности физического доступа к ней посторонних лиц.

• Каналы передачи данных Platform V Audit SE (AUD) должны быть либо расположены в пределах контролируемой зоны и защищены с использованием организационно-технических мер, либо, в случае их выхода за пределы контролируемой зоны, должны быть защищены путем применения средств криптографической защиты информации, сертифицированных в системе сертификации ФСБ России.

• Должна быть исключена возможности использования Platform V Audit SE (AUD) для обработки информации, содержащей сведения, составляющие государственную тайну.

• Должно быть обеспечено наличие администратора, отвечающего за управление (администрирование) механизмов защиты Platform V Audit SE (AUD).

• Установка, конфигурирование и управление Platform V Audit SE (AUD) должны выполняться в соответствии с эксплуатационной документацией.

• Должно обеспечиваться предотвращение несанкционированного доступа к идентификаторам и паролям пользователей Platform V Audit SE (AUD).

• Должно обеспечиваться хранение информации о событиях безопасности в течение не менее трёх лет.

• Platform V Audit SE (AUD) должно функционировать на JRE, которая прошла анализ безопасности в рамках сертификационных испытаний Platform V Audit SE (AUD), или на JRE, прошедшей испытания по соответствующему уровню контроля или более высокому в рамках сертификации по соответствующему уровню доверия, в том числе заимствованной из состава другого программного обеспечения, сертифицированного по соответствующему уровню доверия или выше.

• В виртуальной машине JRE из состава среды функционирования Platform V Audit SE (AUD) должно функционировать только программное обеспечение, необходимое для штатного функционирования компонентов Platform V IAM SE (IAM) или другое ПО, сертифицированное по соответствующему уровню доверия или выше.

• Для всех компонентов среды функционирования Platform V Audit SE (AUD) должны быть установлены все актуальные обновления программного обеспечения, либо приняты организационно-технические меры, направленные на исключение возможности эксплуатации уязвимостей.

• На SDP (для Solr, Hbase) и Kafka должен быть настроен SSL. Подключение клиентов также должно выполняться через SSL.

Настройка брандмауэра#

Перед развертыванием Platform V Audit SE (AUD) убедитесь, что настройки брандмауэра разрешают входящие и исходящие соединения по протоколу TCP на следующих портах:

Возможные настройки ОС Альт 8 СП#

Выполните настройки операционной системы Альт 8 СП для организации безопасности. Ниже приведен рекомендуемый (необязательный) список возможных настроек. Исполнение остается на усмотрение администраторов среды функционирования:

• Удалите беспарольную политику группе wheel (sudo).

• Удалите разрешения setuid и setgid для всех исполняемых файлов, где они не требуются.

• Настройте максимальный срок действия пароля 40 дней.

• Настройте минимальный срок пароля 1 день.

• Настройте предупреждение об окончании срока пароля 14 дней.

• Настройте минимальную длину пароля не менее 8 символов.

• Отключите поддержку USB накопителя.

• Выделите администратора Linux для проведения работ по тестированию и настройке служб.

• Включите службу аудита и добавьте файл с правилами. Ссылка: https://raw.githubusercontent.com/Neo23x0/auditd/master/audit.rules.

• Измените следующие параметры SSH:

  • X11Forwarding no

  • MaxAuthTries 3

  • MaxSessions 2

  • PubkeyAuthentication yes

  • PasswordAuthentication no

  • ListenAddress - установите локальный IP. Сервис SSH не должен слушать сетевой интерфейс.

  • AllowUsers - включите этот параметр и добавьте пользователей.

  • Allowgroups - включите этот параметр и добавьте группу.

• Отключите поддержку IPv6.

• Обновите программное обеспечение.

• Удалите VMware Tools.

Изложенные выше рекомендации к длине, сложности, уникальности и периодичности смены паролей должны применяться в части, не противоречащей обязательным для применения корпоративным, отраслевым, национальным или международным требованиям.

Настройки Kubernetes#

Ниже приведен рекомендуемый (необязательный) список требований безопасности к среде исполнения приложений Kubernetes. Исполнение остается на усмотрение администраторов среды функционирования:

• Обеспечьте установку новых обновлений безопасности для элементов среды исполнения.

• Обеспечьте регулярную синхронизацию времени от доверенных источников.

• Отключите или удалите все неиспользуемые и ненужные пакеты, модули, сервисы и протоколы.

• Измените, переименуйте или заблокируйте все встроенные учетные записи, включая учетную запись локального администратора (суперпользователя).

• Обеспечьте разграничение доступа учетных записей пользователей (далее, УЗ) и технологических учетных записей (далее, ТУЗ) в соответствии с ролевой моделью доступа.

• Используйте межсетевое экранирование для защиты хранимых данных.

• Включите и настройте механизм шифрования административного доступа.

• Регулярно обновляйте антивирусное программное обеспечение и обеспечьте анализ загружаемых в среду исполнения файлов на наличие вредоносного кода.

• Обеспечьте статический (анализ защищенности образов) и динамический (анализ защищенности компонентов и приложений) контроль защищенности, подпись (контроль неизменности) образов по результатам проведения анализа — Vulnerability Management.

• Обеспечьте сбор журналов доступа и событий безопасности для выявления инцидентов кибербезопасности — SOC Monitoring.

• Контролируйте и ограничивайте вызов компонентов в целях предотвращения атак типа «отказ в обслуживании» — DoS/DDoS prevention.

• Контролируйте использование компонентами технических ресурсов, чтобы обеспечить непрерывное функционирование среды исполнения - Resources monitoring.

• Защищайте используемые в средах исполнения секреты от компрометации, модификации, удаления — Secret Management.

• Обеспечьте поведенческий анализ с целью выявления несанкционированного доступа, превышения полномочий, наличия недекларированных возможностей путем анализа запущенных процессов: взаимодействие, использование портов, ресурсов файловой системы, обращений к ядру — Behavioral analysis.

• Для обеспечения аутентифицированного доступа к REST API Audit-client-proxy и шифрования передаваемых данных, рекомендуется настроить TLS на ingress средствами Kubernetes.

Поддерживаемой системой приложений-контейнеров является Kubernetes (использование OpenShift опционально), в инструкциях по настройке, в именах переменных и параметрах системы могут встречаться названия систем контейнеризации, которые одинаковы и применимы для обеих сред контейнеризации.

Настройки Kafka и SDP#

Для настройки безопасного использования воспользуйтесь документацией компонентов Kafka и SDP.