Журнал "Information Security/ Информационная безопасность" #5, 2024

В составе MultiDirectory также есть Kerberos-сервер, он позволяет центра- лизованно управлять аутентификацией пользователей, предоставляя защиту от перехвата учетных данных и сетевых атак. Управление реализовано через веб-интерфейс – администраторы могут создавать, изменять и удалять принци- палы пользователей или сервисов, настраивать политики. Интеграция с BIND 9 BIND – один из наиболее широко используемых серверов DNS, который разрешает (переводит) доменные имена в IP-адреса и обратно, он часто исполь- зуется для управления DNS в корпора- тивной ИТ-инфраструктуре. Кроме, собственно, разрешения доменных имен BIND также производит кэширование запросов для повышения производи- тельности сети. Совместимость с BIND крайне полезна для корпоративных каталогов, которые зависят от точного и стабильного разре- шения имен для функционирования сер- висов аутентификации и управления доступом. Поддержка таких современ- ных стандартов, как DNSSEC и IPv6, обеспечивает дополнительную надеж- ность и безопасность. Разработчики добавили в MultiDirectory интеграцию с BIND 9 для централизо- ванного управления DNS-записями. Эта возможность пригодится, если исполь- зуются собственные DNS-сервера для внутренней маршрутизации и управле- ния доменными именами, причем управ- ление DNS-записями производится через встроенный веб-интерфейс. Встроенная поддержка двухфакторной аутентификации Сложно представить корпоративную аутентификацию без поддержки второго фактора (2FA). Количество киберугроз растет, увеличивается число удаленных сотрудников, а 2FA значительно снижает риск несанкционированного доступа даже в случае компрометации учетных записей. Да и с точки зрения комплаенса наличие 2FA требуется в ряде совре- менных стандартов информационной безопасности, в частности, PCI DSS. MultiDirectory поддерживает двухфак- торную аутентификацию с использова- нием компонентов от системы MULTI- FACTOR (от того же разработчика – компании МУЛЬТИФАКТОР), что добав- ляет еще один уровень защиты учетных записей пользователей. MULTIFACTOR предоставляет гибкость в выборе мето- дов второго фактора аутентификации (Push-уведомления и OTP) и интегриру- ется в инфраструктуру MultiDirectory. Интеграции с ИТ- и ИБ-системами Корпоративный домен существует в довольно плотном окружении как ИТ-, так и ИБ-систем. Часто удается обойтись нативной совместимостью на базе де- факто стандартных сетевых протоколов, но для того, чтобы настроить связь с другими популярными системами (например, с SIEM, сервисами облачной инфраструктуры, VPN и т.п.), уже суще- ствующими в инфраструктуре, разра- ботчики подготовили документацию и инструкции по интеграции. Пара слов о миграции каталога Миграция с Active Directory в работаю- щей инфраструктуре – это сложный про- цесс, связанный с множеством подвод- ных камней как технического, так и орга- низационного характера. Одной из главных сложностей являет- ся обеспечение совместимости и интег- рации различных систем аутентифика- ции. Windows и Linux используют разные протоколы и механизмы безопасности, что почти наверняка вызовет трудности при попытке объединить их в единую инфраструктуру. Кроме того, перенос прав доступа и политик безопасности из одной системы в другую требует тща- тельной настройки и проверки. В качестве еще одной важной про- блемы стоит отметить управление иден- тификацией и доступом пользователей. Синхронизация учетных записей между системами должна быть надежной и без- опасной, чтобы избежать несоответствий и потенциальных уязвимостей в процес- се миграции. Специалисты, ответствен- ные за администрирование, несомненно столкнутся с необходимостью освоения новых инструментов и технологий, а это потребует дополнительных финансовых и временных ресурсов на обучение и адаптацию. Изменения в ИТ- и ИБ-инфраструктуре, вызванные миграцией, – это еще одно серьезное испытание. Необходимо убе- диться, что все сетевые конфигурации поддерживают новые сервисы и прото- колы, а приложения, ранее зависящие от специфических функций экосистемы Windows, будут корректно работать в новой среде. Значит, потребуется тща- тельное тестирование, а возможно и модификация или замена некоторых приложений. Стоит готовиться к тому, что финансо- вые и ресурсные затраты могут оказаться весьма значительными. Процесс миграции требует инвестиций в новое оборудование и программное обеспечение, а также существенных временных ресурсов со стороны ИТ- и ИБ-команд. Без тщатель- ного планирования и управления проектом возможны перебои в работе сервисов и недовольство со стороны бизнеса и поль- зователей. Поэтому для успешной мигра- ции важно разработать детальный план, провести пилотное тестирование, обес- печить обучение персонала и поддержи- вать открытую коммуникацию со всеми заинтересованными сторонами. Некоторые выводы Пока еще в значительном количестве российских инфраструктур на серверах и рабочих станциях используются как Windows, так и Linux, и для обеспечения работоспособности такой гибридной среды необходимо использование служ- бы каталогов, которая будет поддержи- вать работу с обеими системами. На фоне усиления требований к без- опасности организациям нужно улучшить безопасность аутентификации, реали- зовать защиту от компрометации учет- ных данных и обеспечить гибкие методы защиты, включая двухфакторную аутен- тификацию. Нельзя забывать и про удобство: цент- рализованное управление учетными записями, группами и политиками добав- ляет точности и надежности в контексте защиты всей инфраструктуры. Понимание этих аспектов и привело к разработке MultiDirectory – техноло- гичного решения, которое не только готово стать заменой AD, но и расширяет его возможности управления сетевой инфраструктурой. MultiDirectory предоставляет инстру- мент для создания гибкой, масштаби- руемой и безопасной среды управления учетными данными, идентификацией и доступом. Благодаря адаптации под Active Directory, интеграции с DNS и Kerberos, поддержке 2FA и централи- зованному управлению, MultiDirectory помогает решать задачи безопасности и совместимости, возникающие в совре- менных ИТ-инфраструктурах. В 2025 г. "МУЛЬТИФАКТОР" планиру- ет выпуск MultiDirectory версии Enterprise с расширенным функционалом для круп- ных предприятий, а также регистрацию продукта в реестре отечественного ПО. Ознакомиться с решением вы можете на официальном сайте 1 , а также обсуж- дать решение в Телеграм-чате 2 . l • 51 Безопасный Linux www.itsec.ru На правах рекламы 1 https://multidirectory.ru 2 https://t.me/multidirectory_community Ваше мнение и вопросы присылайте по адресу is@groteck.ru