Процесс управления системой безопасности Windows Server может доставить немало хлопот, как только ваш сервер обрастет даже небольшим количеством устройств. Если вы не против командной строки, обратите внимание, что Windows Server 2012 предоставляет эффективную систему управления для укрупненных серверных ферм посредством Windows PowerShell. Однако работа исключительно с командной строкой может создавать проблемы для многих администраторов. Более того, быстрое получение результатов и интерпретация данных без создания графической схемы взаимодействия не всегда возможны, если вам нужно быстро реагировать на изменяющиеся условия.

.

Система безопасности как услуга

Halo запускает маленького легковесного демона (службу) на каждом сервере, который вы собираетесь контролировать, а тот в свою очередь подключается к сети Halo Grid. Эта сеть запускается в «облаке». Halo Grid постоянно собирает данные от каждого демона и передает политики каждому контролируемому серверу. События записываются в журнале регистрации на портале управления, который называется Halo Portal. Halo может немедленно выдавать предупреждения администраторам, если возникает нежелательное для системы безопасности событие.

Чтобы максимально упростить систему безопасности, Halo использует серверные группы для назначения политик. Например, вы можете разместить все веб-серверы в серверной группе Halo и назначить общие настройки сетевого экрана. GhostPorts предоставляет двухфакторный механизм аутентификации, который требует от пользователя Halo Portal ввода пароля, а также ввода еще одного одноразового пароля, который присылается на мобильный телефон. Никакого специального аппаратного обеспечения не требуется, однако Halo, если необходимо, поддерживает двухфакторную аппаратно/программную аутентификацию YubiKey.

Установка Halo

Установка и настройка Halo проста. После регистрации на сайте CloudPassage я зарегистрировался на Halo Portal и загрузил демона службы. Я запустил программу установки на том сервере, который хотел защитить, и ввел регистрационный код домена, полученный на странице загрузки.

Затем я зарегистрировался на Halo Portal, где увидел, что сервер указан во вкладке Firewall Management, как показано на приведенном экране. Первое, что поразило меня на веб-портале системы управления — это простые этапы, в которых сразу легко было ориентироваться.

 

Вкладка Firewall Management на Halo Portal
Экран. Вкладка Firewall Management на Halo Portal

Серверные группы образуют основу для всех настроек Halo, поэтому моей первой задачей было создание новой группы под названием Standard, в которую я поместил свой сервер. Очень удобно, что ссылка для создания новой группы размещена на стартовом экране Halo Portal. Вы щелкаете по ссылке Add a New Group, и появляется отдельное диалоговое окно; при этом основной фон становится затемненным, так что внимание фокусируется на выполнении задачи.

Когда у вас нет никаких предопределенных политик, создание группы сводится просто к присваиванию группе имени, дополнительно можно определить тег Server Tag, а затем вы просто щелкаете Save. Затем вы перемещаете сервер в новую группу, выбирая свой сервер в общем списке групп All Servers. Из раскрывающегося меню Actions вы выбираете Move Server(s) и указываете группу. Если вы указали Server Tag при создании группы, вам не нужно вручную перемещать туда какие-либо новые серверы. Когда вы установите демон на новом сервере, просто укажите Server Tag, и сервер будет автоматически добавлен в подходящую серверную группу.

Настройка политик защиты Halo

После того как вы поместили сервер в группу, вы можете создавать и применять некоторые политики. Группы Halo могут иметь только одну политику, применяемую к ним в определенный момент времени. Поэтому если вам нужно применить много правил защиты, все они должны быть перечислены в рамках одной политики. Важно понимать, что Halo применяет правила Windows Firewall, а не собственную технологию сетевого экрана. Раз так, вы сможете увидеть правила защиты Halo в стандартной оснастке Microsoft Management Console (MMC) Windows Firewall на серверах, которыми управляет Halo. Правила, которые применяет Halo, обозначены как правила CloudPassage. Так их легче идентифицировать.

Во время применения первой политики защиты я был несколько озадачен тем, что я мог случайно отключить себя на сервере, применяя правила защиты через Halo Portal. Я заметил, что в отличие от стандартных правил защиты базовой сети, которые существуют в Windows по умолчанию, все другие неактивные правила защиты входящих и исходящих соединений сетевого экрана по умолчанию были удалены. Однако Halo по умолчанию добавляет правила исходящих соединений для демона, чтобы обеспечить его постоянный доступ к Halo Grid.

В качестве простого теста я создал входящее правило сетевого экран для защиты POP3 по любым IP-адресам и блокировал все остальные входящие соединения. Есть список встроенных сетевых служб, из которого можно выбирать; вы можете создать и свой собственный список. Подобным же образом вы можете определить диапазоны своих IP-адресов и сетевых интерфейсов. После того как я создал новую политику, я отредактировал группу Standard, которую создал ранее, и применил новую политику защиты. Буквально через минуту новая политика стала активной на сервере. Я был отключен от моей последней удаленной сессии, поскольку назначил блокирование всех входящих соединений, которые не соответствовали правилу POP3. Чтобы это исправить, я просто добавил другое правило к политике защиты, которое разрешает входящий трафик RDP. Через минуту я получил удаленный доступ к своему серверу снова. По умолчанию проверка состояния демона проводится каждые 60 секунд, но интервал может быть увеличен до 15 минут.

Использование GhostPorts

GhostPorts не дает злоумышленникам постоянно сканировать открытые порты. Он открывает доступ авторизованным сотрудникам, используя двухфакторную аутентификацию через Halo Portal. Он определяет исходный IP-адрес пользователя, а затем модифицирует сетевой экран сервера в соответствии с правилами GhostPorts, которые дают пользователю доступ к службам и портам только с этого идентифицированного IP-адреса.

Каждый пользователь Halo Portal должен получить разрешение на использование GhostPorts. Это делается путем редактирования пользовательских настроек на Site Administration в разделе Settings. Вы можете выбрать использование SMS или YubiKey. После того как введен номер телефона пользователя, тот должен подтвердить его повторной регистрацией на Halo Portal и ввести код из SMS-сообщения, присланного на указанный телефонный номер. Надо заметить, что вы можете создать стандартные пользовательские учетные записи в Halo Portal исключительно для открытия GhostPorts.

Для данного обзора я протестировал двухфакторную аутентификацию по SMS. Я активировал GhostPorts для моей собственной пользовательской учетной записи в Halo Portal и изменил правило защиты, которое создал заранее: я разрешил входящий доступ по порту 3389 с любого IP-адреса на текущего пользователя GhostPorts (то есть на себя). Это означало, что для того чтобы установить удаленное подсоединение к серверу, я должен был зарегистрироваться на Halo Portal и аутентифицироваться через использование своего Halo-пароля и кода, присланных на мой мобильный телефон в SMS.

После применения правила я первым делом убедился, что в удаленном доступе к серверу мне отказано. Затем я аутентифицировался на Halo Portal еще раз. После регистрации я щелкнул ссылку Open GhostPorts в правом верхнем углу Halo Portal и подтвердил свое желание получить код аутентификации на мобильный телефон. После введения кода на Halo Portal я увидел исходные IP-адреса для портов, которые будут открыты в соответствии с политикой сетевого экрана, и заметил, что нужно минуту подождать для открытия доступа к службам. У вас есть четыре часа для осуществления доступа. Кроме того, можно вручную закрыть порты, выбрав ссылку Close GhostPorts в правом верхнем углу Halo Portal.

Исследование других возможностей Halo

Halo может предупреждать вас о том, что называется «особым событием». По умолчанию все серверы получают глобальную политику событий, которая содержит список событий, таких как Server shutdown (сервер выключен) и Server moved to another group (сервер перемещен в другую группу). Некоторые события на сегодня предназначены только для Linux.

Настроить профили предупреждений легко. Вы выбираете тип событий, о которых хотите узнавать, и пользователей, которых надо оповестить. Эти пользователи впоследствии будут получать предупреждения о событиях по электронной почте.

Halo может запускать проверки конфигурации, чтобы гарантировать, что серверы отвечают определенным условиям, например запускать проверки ACL для каталогов или удостовериться, что пользователь имеет пароль. Однако все эти проверки применимы только к Linux. Когда я писал этот обзор, CloudPassage планировала реализовать описанные возможности для Windows в 2013 году. Проверка целостности файлов также включена в бета-версию.

Простая и мощная система

Одно из преимуществ управления Windows Firewall при использовании Halo заключается в том, что совершенно неважно, что вы делаете с Halo Portal, в любом случае невозможно блокировать себе доступ к серверу, а это бывает, когда вы работаете с оснасткой MMC Windows Firewall напрямую. Ведь несмотря на то, что политики защиты всегда тщательно планируются, ошибки возможны. Важно не заблокировать себе доступ к удаленному серверу, к которому нельзя подобраться физически, чтобы быстро все исправить.

Halo подходит как для небольших, так и для крупных организаций. Его легко установить и он предоставляет разнообразные функции в удобном виде, которые могут быть развернуты без заметных простоев аппаратного обеспечения. Halo послужит хорошим дополнением для арсенала любой компании, которая нуждается в упрощении и вместе с тем усилении системы безопасности своего «облака».

CloudPassage Halo

ЗА: легко устанавливать; упрощает управление Windows Firewall на нескольких серверах.

ПРОТИВ: некоторые возможности рассчитаны только на Linux; GhostPorts не предназначен для аутентификации компьютера, но может быть использован совместно с системой безопасности IPsec.

ОЦЕНКА: 4 из 5

ЦЕНА: управление Firewall является бесплатным для количества до 5 серверов; подписка — от 3,5 центов за сервер-час.

РЕКОМЕНДАЦИИ: Halo — удачное решение для любой организации, которая нуждается в упрощении и вместе с тем усилении системы безопасности своего «облака». Продукт прост в установке и предоставляет разнообразные возможности, которые можно легко реализовать без заметных простоев инфраструктуры и аппаратного обеспечения.

КОНТАКТНАЯ ИНФОРМАЦИЯ: CloudPassage, http://www.cloudpassage.com/