Журнал "Information Security/ Информационная безопасность" #4, 2025

• 49 IDM www.itsec.ru Несколько резонансных инцидентов последнего времени показали, что в отно- шении субъектов КИИ злоумышленники перешли от компрометации информа- ционных систем к их полному уничтоже- нию. Давление на ИТ-инфраструктуру российских компаний будет нарастать, поэтому многие предприятия, опасаясь атак со стороны зарубежных вендоров, уже отказались от установки обновлений иностранных систем или ввели длитель- ный период карантина. Все это повышает важность проектов импортозамещения и ответственность российских разработ- чиков системного ПО. Например, операционная система Astra Linux Special Edition изначально создавалась с акцентом на информа- ционную безопасность, что подтвержда- ется в том числе сертификатами ФСТЭК России, ФСБ России и Минобороны Рос- сии. Для больших инфраструктур значи- тельный вклад в ИБ может внести служ- ба каталога ALD Pro, которая обеспечит централизованное управление учетными записями, единую точку входа и авто- матическую настройку компьютеров. Именно об этой возможности мы и рас- скажем. При разработке ALD Pro одним из наиболее сложных решений стал выбор технологической базы для службы ката- лога – Samba AD или FreeIPA. Мы тща- тельно исследовали этот вопрос и при- шли к выводу, что Samba разрабатыва- лась в большей степени для управления Windows-компьютерами, поэтому не учи- тывает многие особенности Linux-систем, в то время как конечной целью импор- тозамещения является переход на оте- чественные ОС, основанные как раз на Linux. Использование службы Samba опасно ещё и тем, что она работает с условно совместимым с Microsoft Active Directory протоколом репликации, соз- дающим ложные ожидания относительно возможности её безопасного примене- ния вместе с контроллерами MS в одном домене. На самом деле Samba существенно уступает MS AD по функциональности, поэтому при совместном использовании в одном домене будут постоянно возни- кать сложно диагностируемые пробле- мы, которые невозможно будет решить без внесения доработок в системные компоненты. Например, глобальный каталог Samba не собирает информацию из леса, поэтому в Kerberos-билетах пользователей не окажется идентифи- каторов универсальных групп. Подобных отличий десятки, поэтому в большой инфраструктуре заменить все контрол- леры MS AD окажется невозможным, и всегда будут оставаться риски, свя- занные с вероятностью взлома через контроллеры MS AD, а в таком сценарии развертывания компрометация контрол- леров MS AD автоматически приведет к компрометации всей замещенной на Samba инфраструктуры. Учитывая вышеизложенное, един- ственно правильным сценарием заме- щения мы считаем развертывание еще одного домена и интеграцию с Microsoft через доверительные отношения, поэто- му сделали ставку на службу FreeIPA, у которой есть тесная интеграция с Linux, в том числе с нативными технологиями безопасности этой системы. Вот несколь- ко ключевых моментов: l Служба FreeIPA назначает пользова- телям и группам POSIX-идентификаторы, в то время как Samba использует иден- тификаторы SID в стиле Windows, кото- рые нужно пересчитывать в UID/GID, что может привести к ошибкам в предо- ставлении прав доступа. l Интеграция с PAM-стеком обеспечи- вает централизованное управление пра- вилами доступа к хостам (HBAC), что позволяет не просто разрешить доступ к компьютеру, а указать точный список сервисов, которые будут доступны поль- зователю. l Интеграция с утилитой sudo позволяет через службу каталога гранулярно деле- гировать права суперпользователя на выполнение отдельных задач админи- стрирования. l Интеграция с OpenSSH исключает возможность MITM-атак за счет автома- тического управления SSH-ключами хостов. В продукте ALD Pro мы существенно расширяем возможности FreeIPA и поз- воляем управлять в том числе и встроен- ными средствами защиты информации ОС Astra Linux: можно настраивать уров- ни и категории конфиденциальности, определять допустимые классифика- ционные метки для пользователей. Доступно также управление учтенными USB-накопителями для предотвращения утечек и проникновения вредоносных программ. Одной из очень важных функций ALD Pro для обеспечения безопасности боль- ших инфраструктур являются групповые политики, которые позволяют упростить конфигурирование и снизить дрейф настроек. За работу политик отвечает агент, который безопасно извлекает параметры из каталога по протоколу LDAP с шифрованием STARTTLS и Ker- beros-аутентификацией, выполняет сум- мирование параметров и применяет их на рабочей станции с использованием скриптов одной из лучших систем кон- фигурирования SaltStack. Администраторам из коробки доступ- ны сотни настроек операционной систе- мы и прикладных приложений, а вместе c продуктом поставляется также ком- плект дополнительных параметров, с помощью которых можно обеспечить выполнение требований ИАФ.1, ИАФ.3, ИАФ.4, УПД.1, УПД.6, УПД.13, РСБ.2, РСБ.3, АНЗ.3, АНЗ.4, ОЦЛ.1, ЗИС.15, ЗИС.16 и др. по приказам ФСТЭК России (№ 17, № 21, № 31, № 239). Одним из очень востребованных дополнительных параметров является решение LAPS, которое позволяет обеспечить регуляр- ное обновление паролей локальных администраторов и загрузчика GRUB с сохранением информации в LDAP- каталоге. Однако для обеспечения комплексной защиты инфраструктуры наших заказ- чиков продуктовая команда ALD Pro не ограничивается собственными решения- ми и активно сотрудничает с лидерами российского рынка информационной безопасности. В настоящий момент у службы каталога уже более 50 готовых интеграций, в том числе с продуктами из категорий SIEM, PKI, NGFW, IDM, PAM, DLP, и мы продолжаем активно развивать наше технологическое сотруд- ничество. Можно добавить, что ALD Pro является единственной службой каталога, которая прошла сертификацию ФСТЭК России на соответствие "Требованиям по без- опасности информации, устанавливаю- щим уровни доверия к средствам техни- ческой защиты информации и средствам обеспечения безопасности информа- ционных технологий" по 2-му уровню доверия (сертификат № 4830). Продукт успешно прошел нагрузочное тестиро- вание на 400 контроллеров с базой на 1 млн пользователей, что подтверждает возможность управления ИТ-инфра- структурой предприятия любого мас- штаба. l Служба каталога ALD Pro как инструмент повышения безопасности импортозамещенной ИТ-инфраструктуры Анатолий Лысов, менеджер продукта ALD Pro Группа Астра На правах рекламы