Приложение 3. Рекомендации по обеспечению безопасности кластера серверов

Безопасная компьютерная система ‑ это система, в которой реализован комплекс мер защиты от различных угроз, направленный на обеспечение конфиденциальности, целостности и доступности информации на заданном уровне. Безопасная система может описываться следующими характеристиками:

● Конфиденциальность ‑ данные доступны только авторизованным пользователям.

● Целостность ‑ информация не изменяется посторонними лицами или вредоносными программами.

● Доступность ‑ система работает стабильно, атаки не выводят её из строя.

● Аутентичность ‑ пользователи подтверждают свою подлинность (логины, пароли, двухфакторная аутентификация и т. д.).

● Подотчетность ‑ действия в системе журналируются, чтобы можно было отследить нарушения.

Данный раздел содержит перечень различных направлений (векторов) атаки информационной системы, основанной на системе «1С:Предприятие». Наличие в системе той или иной уязвимости позволяет реализовать один (или несколько) различных атак. Для предотвращения вторжений в данном разделе содержится набор рекомендаций, соблюдение которых позволит снизить уязвимость совокупной информационной системы и минимизировать возможность потери чувствительных данных.

Далее приведен перечень возможных сценариев атаки информационной системы и ссылки на возможные действия, реализация которых минимизирует (или исключает) соответствующее направление атаки. Данный список не является исчерпывающим и предназначен для лучшего понимания пользы от настройки информационной системы.

Для атаки на информационную систему могут использоваться следующие уязвимости:

● Пользователь с избыточными правами доступа скачивает (из неавторизованного источника) и подключает расширение, которое изготовил злоумышленник, для того чтобы получить несанкционированный доступ к данным.

Методы противодействия: 3.4, 3.6, 3.7, 3.11.

● Пользователь с избыточными правами доступа запускает внешнюю обработку с вредоносным кодом, которая, например, выполняет команды ОС на компьютере с кластером серверов «1С:Предприятие».

Методы противодействия: 3.4, 3.6, 3.7, 3.11.

● Пользователь с административными правами в информационной базе оказался злоумышленником и хочет нарушить нормальное функционирование кластера серверов или получить несанкционированный доступ к другим информационным базам, например, выполняя команды ОС на компьютере кластера серверов.

Методы противодействия: 3.6, 3.7, 3.11.

● Разработчик конфигурации (не имеющий доступ к администрированию информационной базы) оказался злоумышленником и хочет нарушить нормальное функционирование кластера серверов или получить несанкционированный доступ к другим информационным базам путем добавления вредоносного кода в конфигурацию.

Методы противодействия: 3.4, 3.6, 3.7.

● Пользователь в локальной сети без учетной записи в информационной базе оказался злоумышленником и хочет получить несанкционированный доступ к базе данных или нарушить нормальное функционирование кластера серверов.

Методы противодействия: 3.2, 3.3, 3.4, 3.5, 3.8, 3.9.

● Злоумышленник получил доступ к компьютеру пользователя, после чего атакует кластер «1С:Предприятие», используя доступ пользователя к локальной сети и/или к некоторым информационным базам:

● Удаленная атака на устройство пользователя (к примеру, использование социальной инженерии для того, чтобы пользователь установил вредоносное программное обеспечение)

● Пользователь оставил свой компьютер доступным в общественном месте или дома, злоумышленник завладел им.

Методы противодействия: все приведенные рекомендации.

● Злоумышленник выполняет атаку на кластер серверов, зная адрес информационной базы, через который выполняется доступ через сеть Интернет.

Методы противодействия: 3.8, 3.11.

В рамках рекомендаций будет упоминаться принцип наименьших привилегий. Этот принцип означает, что пользователь, процесс или программа должны иметь только те права доступа, которые необходимы для выполнения поставленных перед ними задач, и не более того.

Для центрального сервера рекомендуется создать администратора. Пароль администратора должен отвечать критериям надежности. У центрального сервера должен быть хотя-бы один администратор с аутентификацией паролем. Остальные администраторы, если существуют, могут использовать аутентификацию операционной системы. Подробнее об администраторах центрального сервера см. здесь.

Для кластера серверов рекомендуется создать администратора. Пароль администратора должен отвечать критериям надежности. У кластера серверов должен быть хотя-бы один администратор с аутентификацией паролем. Остальные администраторы, если существуют, могут использовать аутентификацию операционной системы. Подробнее об администраторах кластера серверов см. здесь.

Права пользователя, от имени которого выполняется кластер серверов «1С:Предприятие» должен обладать правами доступа, перечень которых см. здесь.

Если требуется усилить безопасность кластера, то можно явным образом указать разных пользователей для различных компонентов кластера. Для этого следует использовать конфигурационный файл swpuser.ini (подробнее см. здесь).

При настройке прав пользователей ОС/домена следует исходить из принципа наименьших привилегий. Пользователям ОС не рекомендуется предоставлять доступ к следующим ресурсам:

● Файловая система кластера серверов «1С:Предприятие», а особенно ‑ каталог данных кластера северов.

● Компьютер, на котором выполняется СУБД.

● Произвольные COM-объекты (для компьютеров под управлением ОС Windows).

Рекомендуется использовать настроенные профили безопасности (при условии наличия лицензии КОРП) как для регулярной работы информационной базы, так и для безопасного режима информационной базы. Профили безопасности должны быть настроены в соответствии с принципом наименьших привилегий.

При настройке профилей безопасности для информационных баз, использующих Библиотеку стандартных подсистем (БСП), рекомендуется использовать отчет Внешние ресурсы, используемые приложением и дополнительными модулями (подробнее https://its.1c.ru/db/bspdoc#content:2970:hdoc) для выбора ресурсов, к которым необходимо предоставить доступ.

Пользователь СУБД, от имени которого кластер «1С:Предприятие» взаимодействует с СУБД, должен обладать только тем набором привилегий, которые требуются кластеру серверов (для соответствующей СУБД). Подробнее о необходимых правах см. здесь.

Кроме того, настоятельно рекомендуется для каждой информационной базы назначать своего пользователя, от имени которого кластер работает с СУБД.

На компьютере (компьютерах) с кластером серверов рекомендуется открывать доступ только к тем сетевым портам (по протоколам TCP и UDP), которые используются для работы кластера. Если на компьютере развернуто несколько кластеров, то следует открывать все порты, которые используются кластерами. С настройками портов по умолчанию, кластер серверов использует следующие сетевые порты:

Если пользователи подключаются исключительно с использованием веб-сервера, то для подключения будут использоваться порты 80 (протокол HTTP) или 443 (протокол HTTPS). Доступ к перечисленным выше сетевым портам рекомендуется закрыть.

Если порты переназначены в командных строках запуска соответствующих компонентов системы, управлять доступом следует для тех сетевых портов, которые указаны в командных строках.

Рекомендуется в настройках информационной базы в кластере серверов указать для свойства Защищенное соединение значение только соединение или постоянно. Данное свойство может быть установлено только при создании информационной базы.

Аналогично рекомендуется поступить для свойства Защищенное соединение свойств кластера северов. Эту настройку можно изменять в процессе работы кластера.

Подробнее об уровне защищенности соединения см. здесь.

В информационной базе должен быть включен журнал регистрации. В него должны попадать все события. В ряде случаев можно рекомендовать настройку событий Доступ и Отказ в доступе для контроля доступа к критическим объектам системы. При наличии лицензии КОРП можно включить события аудита прав доступа в системе.

Подробнее о журнале регистрации и его настройке см. здесь.

При администрировании информационных баз системы «1С:Предприятие» рекомендуется придерживаться следующих рекомендаций:

● Назначать права пользователям информационной базы в соответствии с принципом наименьших привилегий, в частности, важно не разрешать обычным пользователем запуск внешних обработок.

● Следовать современным практикам настройки аутентификации:

● Использовать аутентификацию операционной системы.

● Использовать двухфакторную аутентификацию.

● При использовании аутентификации по паролю:

● Требовать установку длинных и уникальных паролей.

● Ограничивать пароли, создаваемые пользователем: длину, сложность пароля, проверка по списку популярных паролей, включать защиту от подбора паролей и другие настройки, предоставляемые платформой.

● Рекомендуемая минимальная длина пароля:

● Двухфакторная аутентификация используется: 8 символов.

● Двухфакторная аутентификация не используется: 14 символов.

● Рассмотреть возможность регулярной проверки установленных паролей на соответствие текущим политикам паролей и требовать от пользователя принудительной смены пароля, если он не соответствует текущей политике паролей.

● Отключить возможность просмотра списка пользователей в форме аутентификации.

● Создавать надежные пароли при использовании сервера отладки.