Инсталляционный сервер
Значимость предмета статьи поставлена под сомнение. |
Инсталляционный сервер (install server, jump server, jump host или jumpbox) — так называют специально отведенный компьютер в сети, предназначенный для доступа к устройствам в демилитаризованной зоне (ДМЗ) организации. Наиболее часто используется для управления узлами в ДМЗ из доверенных сетей или компьютеров.
Инсталляционный сервер — это защищённый и мониторящийся компьютер находящийся в двух разных зонах безопасности, он служит контролируемым средством для доступа между ними. Права доступа пользователей к нему должны быть строго разграничены и контролироваться.
Предыстория
правитьВ 1990-х годах, вместе с распространением концепции демилитаризованной зоны появилась и необходимость обеспечения доступа между разнородными зонами безопасности. Инсталляционный сервер появился для удовлетворения этой потребности и обычно используется совместно с прокси-службами для обеспечения доступа с компьютера администратора к управляемому устройству. Поскольку SSH-туннелирование широко распространилось, инсталляционные сервера стали де-факто методом доступа.
Реализации
правитьИнсталляционные сервера как правило размещаются между защищённой (secure) зоной и ДМЗ для обеспечения контролируемого управления устройствами в ДМЗ после подключения администратора к инсталляционному серверу. Инсталляционный сервер действует как единая точка контроля трафика, а также единое место, где можно управлять учётными записями пользователей. Администратор должен зайти на инсталляционный сервер, чтобы получить доступ к ресурсам ДМЗ, при этом все его действия регистрируются и могут быть впоследствии изучены.
UNIX
правитьТипичная конфигурация UNIX (и UNIX-подобных) ОС включает в себя SSH и локальный межсетевой экран. Администратор подключается к целевому устройству в ДМЗ созданием SSH-соединения с ПК администратора к инсталляционному серверу с последующей переадресацией SSH-туннеля до целевого устройства. Обычно говорят что выполняется проброс SSH (SSH forwarding) до целевого устройства. Создание SSH-туннеля до целевого устройства позволяет эксплуатировать небезопасные протоколы для управления серверами без создания специальных правил на межсетевом экране или предоставления доступа ко внутренним сетям организации.
Windows
правитьТипичная конфигурация Windows Server включает в себя службы RDP обеспечивающие доступ администраторов к его рабочему столу. Администратор Windows Server может запускать сеанс RDP внутри другого сеанса RDP и таким образом получать доступ к целевому Windows Server расположенному в ДМЗ.
Риски безопасности
правитьИнсталляционный сервер создаёт потенциальные риски, однако существуют методы повышения безопасности его эксплуатации:
- Уменьшение размера каждой подсети через увеличение числа подсетей, с защитой полученных VLAN на межсетевом экране или маршрутизаторе
- Использование контроля доступа с более высоким уровнем безопасности, например применение многофакторной аутентификации
- Поддержание ОС и ПО эксплуатируемых на инсталляционном сервере в актуальном состоянии
- Использование списков управления доступом для ограничения доступа только тем пользователям, которым это требуется
- Запрет на исходящий доступ с инсталяционного сервера к сети Internet
- Ограничение списка приложений которые пользователь может запустить на инсталяционном сервере (т.н. "белый" список)
- Введение строгой регистрации действий пользователей на инсталляционном сервере