Дополнительный функционал безопасности и доступа к сервису Softline Drive

В Softline Drive так же реализован функционал позволяющий повысить уровень безопасности:

  • Ransomware Protection (1) – Защита от программ-вымогателей, дополнительная политика безопасности позволяющая вносить ограничения доступности работы с локальным клиентом сторонним процессам, блокировка запуска и загрузки файлов непосредственно c облачного M диска.
  • 2-Sept Verification (MFA) (2) – Двухфакторная верификация. Настройка и политика применения двухэтапной аутентификации.
  • Single Sign on (SAML Integration) (3) – подключение приложения для Single Sign on - Единый вход (SSO) механизм, который позволяет пользователям пройти аутентификацию один раз, а затем получить доступ к нескольким приложениям и службам без необходимости повторного ввода своих учетных данных.

Ransomware Protection / Защита от программ-вымогателей

Ransomware Protection - Защита от программ-вымогателей, дополнительная политика безопасности позволяющая установить следующие параметры: 
  • Only allow the following processes to access files (empty: allow all, separate using semicolon (;), i.e. winword.exe;excel.exe) – Разрешить доступ к файлам только следующим процессам (пусто: разрешить все, разделите их точкой с запятой (;), т. е. winword.exe; excel.exe). Обычно это поле следует оставлять пустым, позволяя любому исполняемому файлу обновлять файлы на облачном диске. Если вы хотите разрешить только определенным исполняемым файлам обновлять файлы на облачном диске, определите этот список здесь.
     
  • The following executables will not be allowed to open files directly from the cloud drive (i.e. qbw32.exe;excel.exe) – Следующие исполняемые файлы не смогут открывать файлы непосредственно с облачного диска (например, qbw32.exe; excel.exe)

    В этой настройке может быть обозначено: cmd.exe; cscript.exe; wscript.exe; powershell.exe; python.exe. и т.д. Обозначенным исполняемым файлам в списке будет запрещен доступ к файлам на облачном диске. Поскольку некоторые вредоносные программы распространяются через скрипты, в том числе самый популярный скриптовый движок, можно значительно предотвратить распространение вредоносного ПО.
     
  • Disable a device if the device changes more than n files in 10 minutes - Отключить устройство, если оно изменяет более n файлов за 10 минут.

    Это работает так: код сервера поддерживает счетчик в течение 10-минутного окна, который подсчитывает изменения файла, сделанные каждым клиентом. По истечении 10-минутного окна счетчик для каждого клиента обнуляется. Если в течение этого 10-минутного окна клиент превысит количество изменений файла, определенное в этом параметре, этот клиент будет отключен. Важно отметить, что клиент может быть отключен менее чем за 10 минут, если это значение будет превышено в течение 10-минутного окна. Например, предположим, что это значение было установлено на 100, и клиент изменил 101 файл менее чем за минуту в течение 10-минутного окна, тогда клиент будет отключен менее чем за минуту, а не через 10 минут или в конце 10-минутного окна. минутное окно, но как только это значение будет превышено . Однако если этот параметр равен 100 и клиент изменил 100 файлов менее чем за минуту, а в течение следующих 9 минут не было изменено ни одного дополнительного файла, то клиент не будет отключен.

    Трудно рекомендовать конкретное число для этой настройки. Этот параметр чрезвычайно полезен для предотвращения распространения вредоносных программ (особенно программ-вымогателей), но установка слишком низкого значения может привести к отключению законного доступа с устройства. Рекомендуется установить это значение для предотвращения программ-вымогателей, но необходимо проводить тестирование и мониторинг клиентов, чтобы убедиться, что выбранное число не слишком мало для блокировки законного доступа.
     
  • Ignore the following processes when applying the above policy (i.e. qbw32.exe;excel.exe) - Игнорировать следующие процессы при применении вышеуказанной политики (например, qbw32.exe; excel.exe)
    Также трудно дать рекомендацию для этого параметра, но этот список может включать исполняемые файлы, которые обычно часто изменяют файлы. Это должно быть установлено только для приложений после тестирования. Например, приложения Microsoft Office имеют возможность регулярного автосохранения. Маловероятно, что эти приложения могут вызвать отключение устройства, если устройство изменяет более n файлов за 10 минут, но тестирование может показать, что необходимо исключить некоторые исполняемые файлы, которые часто изменяют файлы.
Следующие три параметра могут быть полезны для предотвращения дальнейшего распространения программ-вымогателей, поскольку программы-вымогатели часто переименовывают файлы с фиксированным шаблоном (чтобы программы-вымогатели могли позже расшифровать затронутые файлы). Если шаблон известен, то один или несколько из этих параметров можно использовать для предотвращения загрузки затронутых файлов на облачный диск.
  • Disable uploading of files whose names contain the following text patterns i.e. badfile1;badfile2 - Отключить загрузку файлов, имена которых содержат следующие текстовые шаблоны т.е. плохой файл1; плохой файл2 
  • Disable uploading of files whose names start with the following strings i.e. badfile1;badfile2 - Отключить загрузку файлов, имена которых начинаются со следующих строк т.е. плохой файл1; плохой файл2 
  • Disable uploading of files whose names end with the following strings i.e. badfile1;badfile2 - Отключить загрузку файлов, имена которых заканчиваются следующими строками т.е. плохой файл1; плохой файл2 
  • Disable client when upload is disabled - Отключить клиент, когда загрузка отключена
     

2-Sept Verification (MFA) Двухфакторная верификация (2FA) в Softline Drive

Двухфакторная (двухэтапная) верификация помогает защитить Вашу учетную запись, добавляя дополнительный уровень безопасности. Помимо пароля, пользователю потребуется ввести дополнительные данные безопасности. Обычно это код, сгенерированный сторонним инструментом, таким как Google, Microsoft Authenticator или Amazon MFA (многофакторная аутентификация).

В данной статье будут рассмотрены 3 основных момента, связанные с двухэтапной верификацией в Softline Drive

  1. включение 
  2. настройка
  3. использование

Включение двухфакторной верификации

Войдите в панель управления подпиской под учетной записью Администратора

Перейдите в Консоль управления (Management Console):

Далее перейдите в раздел Настройки (Configuration):

Далее включить двухэтапную верификацию возможно двумя способами:

Способ №1

На панели Настроек (Settings) напротив элемента 2-Step Verification (MFA) перевести ползунок в состояние включено:

Способ №2

Перейти в раздел 2-Step Verification (MFA):

В списке настроек в разделе 2-Step Verification напротив настройки Disable 2-Step Verification снять установленный по умолчанию чек бокс (1), напротив настройки Enforce 2-Step Verification on users установить чек бокс (2), сохранить изменения (3):

Настройка двухфакторной верификации

Настройки двухэтапной верификации доступны на панели Настроек (Settings) в разделе 2-Step Verification (MFA):


Рассмотрим возможные настройки:

  • Enforce 2-Step Verification on users - Принудительно использовать двухэтапную аутентификацию для пользователей
  • Do not enforce 2-Step Verification on Windows client - Не применять двухэтапную аутентификацию при использовании Windows клиента
  • Do not enforce 2-Step Verification on Mac client - Не применять двухэтапную аутентификацию при использовании клиента Mac
  • Do not enforce 2-Step Verification on Mobile client - Не применять двухэтапную аутентификацию при использовании Мобильного клиента
  • Disable 2-Step Verification - Отключить двухэтапную аутентификацию
  • Do NOT enforce 2-Step Verification on guest users - Не применять двухэтапную аутентификацию для учетных записей гостевых пользователей
  • Disable option to request 2-step verification code by mail - Отключить возможность запрашивать код двухэтапной проверки по почте
  • Send 2-step verification code by mail only (will override above setting) - Отправлять код двухэтапной проверки только по почте (отменяет предыдущую настройку)
  • Do not send verification code in email subject - Не отправлять код подтверждения в теме письма

Использование двухфакторной верификации

После включения и настройки двухфакторной верификации Администратором подписки, при первичном входе под учетной записью Пользователя после ввода логина и пароля появится диалоговое окно:

В появившемся диалоговом окне необходимо указать следующие данные:
  1. Используя свое приложение для двухфакторной верификации (Google, Microsoft Authenticator или Amazon MFA) отсканируйте QR-код или используйте секретный ключ для добавления нового профиля в Ваше приложение.
  2. Введите код безопасности, полученный в Вашем приложении.
  3. Укажите резервный адрес электронной почты, который будет использоваться, когда приложение не работает или недоступно по какой-то причине.
  4. Повторите резервный адрес электронной почты.
  5. Нажмите кнопку Apply для применения настроек.
При последующих входах под учетной записью Пользователя, после указания логина и пароля, будет появляться окно двухфакторной верификации, в котором необходимо будет вводить код безопасности, полученный с помощью Вашего приложения:

Single Sign on (SAML Integration)

Single Sign on (SSO) — это механизм, который позволяет пользователям пройти аутентификацию один раз, а затем получить доступ к нескольким приложениям и службам без необходимости повторного ввода своих учетных данных. SAML (язык разметки подтверждения безопасности) — это один из протоколов, которые можно использовать для реализации единого входа. Он позволяет использовать сценарии веб-аутентификации и авторизации, когда поставщик удостоверений (IdP) и поставщик услуг (SP) не находятся в одном домене или даже в одной организации. При использовании SAML браузер пользователя перенаправляется к IdP для аутентификации, а затем обратно к SP с подписанным утверждением, содержащим атрибуты идентификации пользователя. Этот процесс помогает упростить управление паролями и повысить безопасность за счет снижения необходимости для пользователей запоминать и вводить несколько паролей. 

В контексте DevOps единый вход с интеграцией SAML может обеспечить безопасный доступ к различным инструментам и службам, используемым в жизненном цикле разработки программного обеспечения, таким как автоматизация сборки и развертывания, управление исходным кодом и системы отслеживания проблем. Это может помочь оптимизировать совместную работу и повысить производительность, сохраняя при этом высокий уровень безопасности. 

Мы приведем пример реализации Single Sign on (SSO) на примере созданного приложения Okta , для его аутентификации в Softline Drive. Чтобы выполнить эту интеграцию, есть некоторые аспекты, которые необходимо учитывать во время настройки. 

1. Единый вход в систему Softline Drive 

В Softline Drive нам потребуется настроить аутентификацию единого входа для Okta. В панели управления Администратору потребуется перейти в настройки консоли управления панели - Single Sign on (SAML Integration) 

На странице единого входа «Включить аутентификацию SAML» скопируйте ссылку для доступа к метаданным: «Доступ к метаданным поставщика услуг по следующей ссылке», а в поставщике единого входа выберите «другое». 

Откройте ссылку, скопированную в веб-браузере, и скопируйте идентификатор объекта, который будет использоваться на странице конфигурации Okta. 

2. Приложение Okta SAML - Общее 

На веб-портале Okta перейдите к классическому пользовательскому интерфейсу (вверху справа) и создайте новое веб-приложение, выбрав «SAML 2.0» ( дополнительную информацию см. в Руководстве по Okta ). 

После входа в «Общие настройки» для этого нового приложения настройте параметры SAML (необходимо «Показать дополнительные настройки»), оставьте поля с информацией, заполненной по умолчанию, и измените только следующее: 
  • URL-адрес единого входа и URI аудитории (идентификатор объекта SP) \ Single Sign-On URL and Audience URI (SP Entity ID)
    Используйте значение Entity ID, скопированное на шаге выше. (Убедитесь, что включена опция «Использовать это для URL-адреса получателя и URL-адреса назначения»). 
     
  • Формат идентификатора имени \ Name ID Format
    EmailAddress
     
  • Ответ \ Response
    Unsigned
  • Алгоритм подписи и алгоритм дайджеста \ Signature Algorithm and Digest Algorithm
    ​SHA1; что обеспечивает наибольшую совместимость, поскольку CentreStack был разработан на основе Microsoft.Net.

3. Приложение Okta SAML — Заявления об атрибутах (Attribute Statements)

В разделе Attribute Statements создайте 3 атрибута, соответствующих 3 параметрам, определенным на странице конфигурации CentreStack SSO: 

  • Name: Email - Value: user.email - SSO parameter: IdP Email Parameter
  • Name: FirstName - Value: user.firstName - SSO parameter: IdP Given Name Parameter
  • Name: LastName - Value: user.lastName - SSO parameter: IdP Surname Parameter

4. Приложение Okta SAML - Инструкция по настройке и задания 

(Интерфейс Okta может меняться, но основной принцип, также применимый к другим подобным сервисам сохранен )

После заполнения всех описанных выше настроек нажмите Next и Finish.

На странице приложения перейдите на вкладку Sign On и нажмите View Setup Instructions .

С этой страницы возьмите две настройки и скопируйте их в конфигурацию SSO на стороне CentreStack. 

  • URL-адрес единого входа поставщика удостоверений Sign-On URL (IdP End Point URL) 
  • Внесите со стороны сервиса следующие метаданные IDP (IdP Meta Data)

Чтобы добавить пользователей в Приложение, перейдите на вкладку Assignments. 

5. Как войти 

После сохранения изменений на странице единого входа (SSO page) на веб-портале Softline Drive вы можете протестировать интеграцию. 

  • Из Softline Drive

На странице входа в систему Softline Drive пользователь может увидеть ссылку на уже определенную систему единого входа Okta, щелкнуть по ней и будет перенаправлен для входа в систему. После входа в систему он будет перенаправлен обратно в Softline Drive для доступа к своим данным.

  • Из Okta 

На веб-странице Okta после входа пользователь / Приложения увидит все приложения, которым они принадлежат, и щелкнув по ним, вы перейдете на уже зарегистрированный веб-портал Softline Drive. 

Консультация Дополнительный функционал безопасности и доступа к сервису Softline Drive

Не нашли инструкцию?

Заполните форму, и наш специалист свяжется с вами.

Мы дополним информацию и ответим на ваш вопрос.

Оставить заявку

Просмотр свойств виртуальной машины (Details)

Вы можете посмотреть или изменить свойства созданной виртуальной машины, нажав Details

Подключение емкости к ОС GNU\Linux STaaS

Приведенные данные являются примерами!
В данном примере будет рассмотрен дистрибутив Red Hat Enterprise Linux 7.7.

Создание изолированной сети (Isolated Network)

Чтобы создать изолированную сеть, которая связывает ВМ только в отдельном vDC - войдите в панель управления vCloud, перейдите в раздел Datacenters и кликните на vDC

Настройки подключения по POP3 на примере Microsoft Outlook 2010

S/MIME-защита - виртуальный офис CommuniGate

В данном разделе можно создать, импортировать личный S/MIME-сертификат для функций шифрования почтовых сообщений и управлять им.

Удаление ВМ в IaaS OpenNebula

Так как ВМ используют персистентные диски, после удаления ВМ не происходит автоматическое удаление виртуальных дисков, подключенных к ней. Если виртуальные диски не удалить вручную, можно повторно выполнить развертывание ВМ с теми же параметрами и виртуальными дисками, используя шаблон