Документация

Установка и администрирование Senhasegura:
обслуживание, масштабирование, восстановление после аварий

Техническая спецификация

Senhasegura — платформа по обеспечению информационной безопасности, состоящая из программного обеспечения, операционной системы и оборудования. Данная модульная платформа соответствует самым строгим стандартам безопасности в отрасли.

В этом документе мы рассмотрим основные технические аспекты Senhasegura.

Архитектура системных модулей

Программное решение Senhasegura разделено на следующие модули:

senhasegura-modules-arch.png

Эти компоненты поддерживают работу Senhasegura от физического уровня до уровня приложения.

Компоненты решения

В дополнение к представленным модулям решение имеет важные встроенные программные компоненты, интегрированные в него без необходимости использования внешних ресурсов:

  1. Оптимизированная и усиленная по всем аспектам (приложение, база данных, файловая система и т. д.) операционная система на базе Linux. В системе запущено только минимальное количество служб, соответствующих принципу минимальных привилегий, и ядро, адаптированное к функциональности решения.

  2. Собственная база данных; без необходимости докупать лицензию.

  3. Собственный интегрированный веб-сервер.

  4. Встроенный веб-интерфейс, без необходимости приобретения дополнительных лицензий или функций для использования. Имея всего один интерфейс настройки сети, у вас уже есть возможность получить доступ к HTTPS веб-интерфейсу, чтобы все остальные настройки можно было выполнять в безопасной и удобной графической среде.

Порты

Протокол/Порт Функция
TCP/22 Сервер SSH 
TCP/80 Веб-сервер с перенаправлением на порт 443
TCP/443 Сервер веб-приложений
UDP/161 SNMP
UDP/162 SNMP
TCP/3389 RDP прокси 
TCP/3306 Кластер базы данных
TCP/4444 Кластер базы данных
TCP/4567 Кластер базы данных
TCP/4568 Кластер базы данных
UDP/4567 Кластер базы данных

Языки

Интерфейс решения доступен на следующих языках:

    1. Бразильский португальский (PT-BR)
    2. Американский английский (EN-US)
    3. Немецкий (DE)
    4. Испанский (ES)
    5. Польский (PL)
    6. Французский (FR)
    7. Русский (RU)

Решение позволяет пользователю вводить и хранить данные с использованием кодировки UTF-8:

    1. Арабский
    2. Арабский расширенный-A
    3. Арабский расширенный -B
    4. Арабские математические алфавитные символы 
    5. Формы представления на арабском языке-A
    6. Формы представления на арабском языке-B
    7. Дополнение к арабскому языку 
    8. Базовая латиница 
    9. Расширенное бопомофо 
    10. Совместимость с CJK
    11. Штрихи CJK 
    12. CJK символы и пунктуация 
    13. Унифицированные иероглифы CJK
    14. Унифицированные иероглифы CJK
    15. Расширение B унифицированных иероглифов CJK 
    16. Расширение С унифицированных иероглифов CJK 
    17. Расширение D унифицированных иероглифов CJK 
    18. Расширение E унифицированных иероглифов CJK 
    19. Расширение F унифицированных иероглифов CJK 
    20. Кириллица
    21. Дополнение к кириллице 
    22. Приложенные письма CJK A 
    23. Французский
    24. Совместимость с хангыль J
    25. Иврит
    26. Хирагана
    27. Канбун
    28. Катакана
    29. Фонетические расширения катаканы
    30. Расширенная латиница-A 
    31. Дополнение к латинице-1
    32. Сирийский
    33. Дополнение к сирийскому 
    34. Русский
    35. Символ гексаграммы Ицзин 

Поддерживаемые языки

Русский:
    • Поддержка ввода и сохранения на целевом языке в веб-интерфейсе.
    • Поддержка ввода и сохранения на целевом языке в интерфейсе RDP прокси-сервера.
    • Поддержка ввода и сохранения на целевом языке в интерфейсе прокси Терминала. 
    • Поддержка индексации текста сессий (OCR).
    • Раскладка клавиатуры.
    • Перевод веб-интерфейса 
    • Перевод прокси-системы Терминала.
    • Перевод системы веб-прокси.

Испанский:
    • Поддержка ввода и сохранения на целевом языке в веб-интерфейсе.
    • Поддержка ввода и сохранения на целевом языке в интерфейсе RDP прокси-сервера.
    • Поддержка ввода и сохранения на целевом языке в интерфейсе прокси Терминала.
    • Поддержка индексации текста сессий (OCR).
    • Раскладка клавиатуры.
    • Перевод веб-интерфейса.
    • Перевод прокси-системы Терминала.
    • Перевод системы веб-прокси.

Руководства пользователя

Решение предоставляет руководства пользователя на следующих языках:

    1. Бразильский португальский (PT-BR)
    2. Американский английский (EN-US)

ISO 27001, PCI, SOX, GDPR, PQO BM&F

Senhasegura позволяет организациям развертывать самые строгие и сложные средства управления привилегированным доступом к учетным данным, требуемые такими стандартами, как ISO 27001, PCI, SOX, GDPR и PQO. Это возможно благодаря автоматизации управления привилегированным доступом, защищая ИТ-парк от утечек данных и потенциальных нарушений соответствия.

Повышение безопасности 

Повышение безопасности уменьшает вероятность атаки на систему за счет смены паролей по умолчанию, удаления ненужного программного обеспечения, удаления неиспользуемых пользователей или логинов, а также отключения или удаления ненужных служб.

Для снижения числа попыток атак Senhasegura использует ряд процессов защиты, признанных рынком безопасности, на разных уровнях приложения и его компонентов.

Среди других моделей Senhasegura использует процессы защиты, рекомендуемые NIST (Национальным институтом стандартов и технологий) и CIS (Центром безопасного интернета).

Процесс повышения безопасности пересматривается с каждым новым выпуском решения, чтобы он всегда соответствовал лучшим практикам и основным процессам безопасности, принятым на рынке.

Обновление компонентов

Группа исследований и разработки Senhasegura следит за обновлениями сторонних компонентов, из которых состоит решение. Обновление этих компонентов осуществляется через быстрый канал связи и проводится для клиентов, если появляется критический запрос.

Процесс обновления инструмента соответствует политике обновления клиента. В этом случае будет развернута команда для выполнения процесса установки с наименьшим риском влияния на бизнес заказчика.

Функциональные возможности по модулям

Senhasegura не позволяет устанавливать стороннее программное обеспечение.

Base Module – System access settings

Этот модуль имеет следующие функции:

    • senhasegura Authentication: Senhasegura имеет свой модуль аутентификации с функциональностью, которая подразумевает блокировку пользователя после определенного количества неудачных попыток входа в систему. А также смену пароля при первом входе, проверку сложности нового созданного пароля со сравнением истории использованных паролей.
    • User Registration: полная регистрация пользователей с отслеживанием изменений и конфигураций.
    • Profile Management: расширенное детальное управление профилями с возможностью создания профиля для каждого пользователя.
    • Screen's Log: журнал просмотра экрана системы.
    • Screen Identification by codes: идентификация каждого системного экрана с помощью уникального кода, что делает доступными обслуживание и поддержку.
    • External Authentication Servers: помимо модуля аутентификации, Senhasegura можно использовать в сочетании с другими службами каталогов. Вы можете настроить Senhasegura для выполнения аутентификации на нескольких серверах, включая установление порядка аутентификации. Центральными серверами аутентификации, которые интегрируются с Senhasegura, являются Active Directory, LDAP, TACACS и RADIUS.
    • Two-Factor Authentication: вы можете усилить процесс аутентификации с помощью многофакторной аутентификации, например, используя приложение Google Authenticator.
    • IP Access Blocking: Senhasegura может блокировать доступ через заранее созданный черный список IP-адресов. 
    • Session Management: в этом инструменте модуль управления сессиями отвечает за проверку достоверности сессии и установку времени ожидания до следующего входа в систему.
    • Authentication with A1 and A3 Certificates: процесс аутентификации может осуществляться с использованием сертификатов A1 и A3 в качестве второго фактора аутентификации.

Base Module – Password and information vault

Этот модуль является основой хранилища паролей и выполняет следующие функции:

Password Guard: хранение паролей в хранилище, зашифрованном по алгоритму AES 256 с двойным коэффициентом шифрования. Доступ к паролям в этом модуле возможен только через модуль Access Management.
Protected Information Guard: хранилище паролей обеспечивает зашифрованное хранение информации, такой как токены, сертификаты и файлы.
Backup of Secrets: пароли, защищенная информация и ключи SSH требуют независимого модуля резервного копирования в решении.
Хранилище информации и пароли отвечают за запись секретов в резервную копию, зашифрованную с помощью главного ключа хранилища на основе алгоритма Шамира.

HSM Integration: интеграция с внешними или внутренними аппаратными модулями безопасности.

Base Module – Equipment register

Этот модуль представляет собой интерфейс паролей Senhasegura с оборудованием, пароли которого находятся под управлением. Модуль включает следующие функции:
    • Registration Interface: регистрация оборудования. Индивидуально через веб-экран, либо в процессе регистрации всей партии оборудования.
    • Connector Management: каждое устройство имеет порты для подключения и протокол доступа. Этот модуль управляет настроенными соединениями и взаимодействует с устройствами.
    • Connectivity Test: Senhasegura периодически будет подключаться к зарегистрированным устройствам и проверять их подключение. Пользователи могут быть проинформированы о результатах данного тестирования.
    • Equipment Profile: типы и модели оборудования имеют профили подкачки по умолчанию и шаблоны паролей в инструменте. Этот модуль связывает устройства с этими политиками.

Base Module – Access to information, passwords, and session policies

Модуль политики доступа является единственным, имеющим доступ к хранилищу паролей и информации. В нем представлены следующие функции:    

Access Workflow: рабочий процесс доступа инициирует процесс согласования для доставки аутентифицированной сессии или пароля. Этот процесс имеет разные настройки и маршруты в зависимости от конфигурации клиента.
Access Approvation: функция подтверждения доступа позволяет утверждающему пользователю ответить на запрос доступа с помощью:
Экрана пользователя Электронной почты
SMS
Функции аварийного доступа

Password Split: эта функция отвечает за разделение пароля на две части для сегментированной доставки и соответствует требованиям стандарта PCI.
Access Control: модуль управления доступом объединяет три объекта, учитываемых при принятии решения об отказе от учетных данных или доступа:
Delivery Policy Involved Users Related Equipment

Объединение этих объектов определяет критерии доставки сессий в системе.

User Timing: модуль контроля доступа может быть синхронизирован с сервером аутентификации. Пользователи определенной группы на сервере аутентификации загружаются в группы доступа Senhasegura, что упрощает управление доступом.

Base Module – Reports

        ◦ Reporting Configuration: пользователь может удалить или добавить информацию в тот или иной отчет через интерфейс. Вы можете создать совершенно новый способ визуализации полезной информации для ваших нужд.
        ◦ Shipping Schedule: созданные отчеты могут быть настроены на автоматическую отправку определенным пользователям.
        ◦ PCI Reports: набор специальных отчетов, отвечающих требованиям аудита стандарта PCI.
        ◦ Audit Trails: Senhasegura содержит отчеты со всеми соответствующими системными событиями. События можно экспортировать в SIEM и Syslog.

Base Module - Dashboards

System Health: функция отвечает за графическое отображение обзора оборудования и виртуальных машин Senhasegura. Здесь вы можете просматривать данные, такие как ввод-вывод, память и обработка.
Process Monitoring: отслеживает выполнение важных процессов хранилища:

Password Changes
Access Group Synchronisms Password Reconciliation Connectivity Tests
Settings Backup Password's backup

Business Monitoring: отслеживает работоспособность для защиты учетных данных и информации:

    • Number of Passwords changed x Failures
    • By period
    • Number of Sessions:
    • Active and Concurrent x System Average 
    • Recorded (by period)
    • Average session time logged in
    • Users logged in to the system

Password Change Module

SSH Password Change: устанавливает соединение и запускает сценарий обмена паролем по умолчанию на устройстве, используя протокол SSH, без необходимости установки агентов.
Windows Server: Windows Password Exchange подключается к серверу Windows и запускает локальные сценарии обмена паролями без установки агентов.
Используя собственные протоколы Microsoft (RPC, RM/WMI), Senhasegura может взаимодействовать с устройством с помощью команд из этих протоколов или через команды PowerShell, если включена его поддержка.

Network Asset: установка соединения и запуск сценария обмена паролем по умолчанию на устройстве по протоколу SSH без необходимости установки агентов.
Desktop: установка соединения и выполнение сценария обмена по умолчанию для этого пароля на этом рабочем столе, используя различные протоколы на рабочем столе.
Database: установка соединения и выполнение сценария обмена по умолчанию для этого пароля в этой базе данных, используя базовый протокол.

Password Reconciliation Module

Сверка паролей происходит одинаково на серверах, сетевых ресурсах, компьютерах и банках: периодически выполняется доступ к устройствам и учетным записям, пытаясь аутентифицироваться с использованием последнего сохраненного пароля, проверяя, остается ли хранение под безопасным паролем.

Management Module - Windows sessions

Session Delivery: доставка аутентифицированной сессии выполняется без ввода имени пользователя или пароля.
Session Recording: во время доступа к аутентифицированной сессии система выполняет ее запись в виде видео и текста.
MP4 Video Generation: записанное видео может быть сгенерировано в формате mp4 для скачивания и загрузки.
Audited Proxy Support: встроенная проверенная поддержка прокси-сервера для подключения клиентских приложений по SSH и RDP. Для совместимости между производителями все прокси-модули используют современные алгоритмы шифрования и собственные протоколы.

Management Module – Сессии Linux 

Linux Web Session Delivery: доставка аутентифицированной сессии без ввода имени пользователя или пароля.
Web Session Recording: во время доступа к аутентифицированной сессии система выполняет ее запись в виде видео и текста.
MP4 Video Generation: записанное видео может быть сгенерировано в формате mp4 для скачивания и загрузки.
Audited Proxy Support: встроенная проверенная поддержка прокси-сервера для подключения клиентских приложений по SSH и RDP. Для совместимости между производителями все прокси-модули используют современные алгоритмы шифрования и собственные протоколы.

Management Module - SSH Gate Sessions - Senhasegura Terminal Proxy

        ◦ Linux Session Delivery via SSH Gate: доставка аутентифицированной сессии без ввода имени пользователя или пароля. Этот процесс прозрачен для пользователя через любой SSH-клиент. 
        ◦ Web Session Recording: во время доступа к аутентифицированной сессии система выполняет ее запись в виде видео и текста.
        ◦ Command Audit: все команды, отправляемые на сервер через Senhasegura, проверяются и генерируются предупреждения о выполнении команд.
        ◦ Privilege Control: детальный контроль команд, которые могут быть выполнены с возможностью блокировки не авторизованных для пользователя команд.
        ◦ Audited Proxy Support: встроенная проверенная поддержка прокси-сервера для подключения клиентских приложений по SSH и RDP. Для совместимости между производителями все прокси-модули используют современные алгоритмы шифрования и собственные протоколы.

Management Module - HTTP Sessions

    • HTTP and HTTPS Session Delivery: доставка аутентифицированной сессии на страницу без необходимости ввода имени пользователя или пароля.
    • Web Session Recording: во время доступа к аутентифицированной сессии система записывает видео.
    • MP4 Video Generation: записанное видео может быть сгенерировано в формате mp4 для скачивания и загрузки.

Discovery Module
        ◦ Windows Passwords: обнаружение учетных данных администратора на серверах и рабочих столах платформы Microsoft. Возможность определять, какие из них являются привилегированными, и импортировать их в хранилище.
        ◦ Linux / Unix / AIX Passwords: обнаружение учетных данных администратора на серверах и рабочих столах Linux/Unix/Aix. Возможность определять, какие из них являются привилегированными, и импортировать их в хранилище.
        ◦ AD Passwords: обнаружение учетных данных администратора на сервере Active Directory платформы Microsoft. Возможность определять, какие из них являются привилегированными, и импортировать в хранилище.
        ◦ SQL / Oracle Passwords: обнаружение учетных данных администратора в базах данных. Возможность определять, какие из них являются привилегированными, и импортировать в хранилище.
        ◦ SSH Keys: обнаружение открытых и закрытых SSH-ключей, которые присутствуют на целевом устройстве.
        ◦ Certificates: обнаружение локальных или пользовательских сертификатов Windows, хранящихся на устройствах, контейнерах или в домене.
        ◦ Local Authorities: обнаружение локальных центров сертификации устройств.
        ◦ Services: возможность узнать какие службы выполняются на целевом устройстве.
        ◦ DevOps: обнаружение артефактов DevOps, присутствующих в устройствах.
        ◦ Glossary of Provisions: возможность создать список сканирования с сегментацией по типу.

Module A2A - App to App

    • .Net: доставка пароля через lib на .Net для добавления в код платформы.
    • Java: доставка паролей через библиотеку паролей на Java для добавления в код приложения платформы.
    • PHP: доставка пароля через библиотеку паролей на PHP для добавления в код приложения платформы.
    • Application Server: смена пароля в основных серверах приложений рынка.
    • senhasegura API: доставка пароля через Senhasegura API.

Module senhasegura.go

Senhasegura.go позволяет использовать права администратора для запуска приложений на локальных рабочих станциях. Этот модуль основан на .NET Framework для 4.8.

Поддерживаемые интеграции

Senhasegura предоставляет несколько типов интеграции, помимо возможности настройки шаблонов интеграции. Шаблоны могут быть изменены администратором.

Для выполнения интеграции могут потребоваться специальные плагины. Архитектура паролей и функции интеграции позволяют Senhasegura быстро разрабатывать такие плагины. 

Senhasegura неинвазивна. Поэтому установка агента в системах, управляемых решением, не требуется. Для некоторых приложений можно использовать Senhasegura через агентов, чтобы создать больше возможностей для интеграции.

Операционные системы

Поставщики Версии
Apple OS X
Cisco Cisco IOS, NX-OS (Nexus)
EMC UNIX
F5 Big IP, LTM
HP HPUX, Tru64, NonStop (Tandem), Open VMS, HP5500, Tande
IBM AIX, iSeries, Z/OS, CICS, OS/390
Linux Fedora, Ubuntu, Red Hat, SUSE Linux, Debian
Microsoft Windows XP, Windows Vista, Windows 7, Windows 8 / 8.1, Windows 10, Windows Server 2003, 2008,
2012, 2016
NetApp NetApp
Oracle Solaris, Solaris Intel, Enterprise Linux
Juniper JUNOS

Сетевое оборудование

Поставщики Оборудование
3Com Коммутаторы
A10 Networks
A10
Adtran NetVanta 838, Tracer 6420
Alcatel Коммутаторы, Коммутаторы (Omniswitch 7000 Series), Intelligent Services Access Manager (ISAM)
Allot Allot Secure Service Gateway, Allot Service Gateway, Allot SmartEngage, Allot WebSafe Personal
Applied Innovation AISCOUT-S02
Aruba Networks ArubaOS
Avaya Media Gateway
Avocent DSView management
BlueCoat PacketShaper
Brocade Silkworm
BTI Photonic Systems NETSTENDER 1030
Cisco Маршрутизаторы, ACS (Access Control Server), Коммутаторы Catalyst, Коммутаторы Nexus, JMC, Wireless LAN Controller 5508, WAAS, ONS, ESA (Email Security Appliance), Privilege 15, Unified Communication Manager, ISE (Identity Services Engine), UCS (Unified Computing System)
Citrix Netscaler
Dell Коммутаторы
Enterasys Маршрутизаторы, коммутаторы
Ericsson ServiceOn Element Manager (SOME)
F5 BigIP, LTM
Fujitsu FSC iRMC
Gemalto SafeNet KeySecure, SafeNet HSM
HP ProCurve, HPE 5500
Huawei S1720, S2700, S5700, S6720, S6720 V200R011C10
Juniper Маршрутизаторы (JUNOS), Pulse secure
Mcafee nDLP
Meinberg Lantime
Netscout Infinistream
Nokia NetAct, DX200
Nortel BayStack, VPN Router, Ethernet Routing Switch
Radware ISR Infiniband Switch, ODS1 Load Balancer, Alteon, Linkproof
RFL Electronics
IMUX 2000
Riverbed CMI, Xilinx
RuggedCom Маршрутизаторы, коммутаторы
Symmetricom Symmetricom Xli
Voltaire ISR Infiniband Switch
Extreme Networks Коммутатор, маршрутизатор
Yamaha RTX
DLink Коммутаторы, маршрутизаторы
Foundry Коммутаторы

Серверы приложений

Поставщики Серверы
Red Hat Jboss
Kaspersky Kaspersky Endpoint Security for Business
Microsoft SQL Server, Exchange Server 2007 - 2019, entre outras aplicações que permitam interatividade via RemoteApp, Windows RPC e Windows RM, , IIS
Veritas NetBackup 7.7, 8.0, 8.1 e 8.2
IBM Websphere Application Server, Websphere Datapower
Apache Foundation Apache HTTP Server, Apache tomcat
Oracle WebLogic Server, Peoplesoft, Oracle Application Server

Устройства безопасности (межсетевые экраны, UTMs, IPSs)

Поставщики Устройства
Acme Packet Net-Net OS-E
Aker Aker Firewall UTM
Blue Coat Proxy SG
Checkpoint FireWall-1, SPLAT, Provider-1, GAIA
Cisco Systems PIX, ASA, IronPort, Mail Gateway
Critical Path Memova Anti-Abuse
Fortinet FortiGate, Fortimanager
IBM DataPower Integration Appliance
Juniper Netscreen
Mcafee NSM (Network Security Manager), SideWinder, ePO
Nokia Checkpoint FireWall -1 on IPSO
Palo Alto Networks Panorama
ProofPoint Protection Server
RSA Authentication Manager (SecurID)
Safenet Luna HSM
Schneider Industrial Defender
SonicWall Firewalls
Sophos Astaro Security Gateway
SourceFire SourceFire 3D
Symantec Brightmail Gateway
TippingPoint IPS, SMS
WatchGuard Firebox X Edge e-series, Firebox X Core e-series, Firebox X Peak e-series, WatchGuard XTM
Imperva DDoS Protection

Среды виртуализации

Поставщики Среды
VMware ESX/ESXi Server
Citrix Xen Citrix
Microsoft Hyper-V, Azure
Google Google Cloud Platform (GCP)
Amazon Amazon Web Services (AWS)
Rackspace Rackspace Cloud, GoGrid
IBM IBM SmartCloud
Generic ISO installation media

Базы данных

Поставщики Базы данных
IBM DB2, Informix, Datastage
InterSystems Caché Release 2010 - 2017 (и другие поддерживаемые ODBC)
Microsoft SQL Server
MongoDB MongoDB
MySQL MySQL
ODBC ODBC compatible databases
Oracle Oracle Database, Oracle Enterprise Manage, RDBMS, Mysql 4 - 8, Oracle RAC
Postgresql Postgresql 6 - 11
SAP HANA
Sybase Sybase Database, IQ

Хранилища

Поставщики Хранилища
Dell Dell EMC PowerMax 2000, Dell EMC PowerMax 8000, Dell EMC SC5020, Dell EMC SC5020F, Dell EMC SC7020, Dell EMC SC7020F, Dell EMC SC9000, Dell EMC SCv3000, Dell EMC Unity XT 380F, Dell EMC
Unity XT 480F, Dell EMC Unity XT 680F, Dell EMC Unity XT 880F, Dell EMC XtremIO X2, Dell PowerVault,
Dell EMC Isilon, Dell EMC VMAX Среди других моделей, совместимых с поддерживаемыми соединениями.
IBM Storwize V7000 Gen 3 ”Next Gen”, Storwize V7000 Gen 2+, Storwize V7000 Gen 2, Storwize V7000 family, Storwize V5100E, Storwize V5030E, Storwize V5010E, Storwize V5030, Storwize V5020, Storwize V5010, Storwize V5000
Huawei OceanStor 18000F V5, OceanStor 5300 V3, OceanStor 5300F, OceanStor 5500 V3, OceanStor 5500F, OceanStor 5600 V3, OceanStor 5600F , OceanStor 5800 V3, OceanStor 5800F V5, OceanStor 6800 V3, OceanStor 6800F V5 Среди других моделей, совместимых с поддерживаемыми соединениями
NetApp NetApp ONTAP (BSD)
Hitachi Enterprise Storage, séries E, F, G e 5.000
Pure Storage File Storage

Приложения Windows 

Приложения, разработанные под Java, .Net, PHP, Phyton, учетные записи SQL, Планировщик задач Windows, службы Windows, приложения Apache, приложения IIS, службы COM+, кластерные приложения

Системы каталогов 

Поставщики Системы
Digi Digi Remote Manager
Fujitsu iRMC
Microsoft ActiveDirectory
Novell Novell Directory Services (NDS)
Sun Java System Directory Server
Red Hat Red Hat Directory Server (RHDS), 389 Directory Server, FreeIPA
Oracle ODI Oracle

Удаленный доступ и мониторинг 

Поставщики Модели
Amazon Amazon Web Services (AWS)
Dell Dell Remote Access Card (DRAC)
HP StorageWorks, iLO
CA Technologies CA Remote Control
IBM Maximo Application Suite
SUN Technologies Desktop Management
Digi Digi Remote Manager
Cyclades Cyclades-TS
Fujitsu ServerView Suite

Среды DevOps, VSC и другое программное обеспечение SDLC 

Поставщики Модели
Ansible Ansible
Atlassian Bamboo CI/CD, JIRA Core, Bitbucket
GitLab Inc. GitLab CI/CD
Google Kubernetes
Jenkins Jenkins CI/CD

Инструменты управления ИТ-услугами 

Поставщики Инструменты
Atlassian Jira Service Desk
Zendesk Zendesk
Freshworks Freshdesk
ServiceNow ServiceNow ITSM
GLPI ITSM GLPI

TOTP-инструменты


Senhasegura работает с любым инструментом генерации одноразового пароля на основе времени (TOTP).
Ниже представлены только несколько вариантов:

Поставщики Инструменты
Google Google Authenticator
Microsoft Microsoft Authenticator
Authy Twilio Authy 2-Factor Authentication
Red Hat FreeOTP Authenticator
Sophos Sophos Authenticator
LastPass LastPass Authenticator
andOTP andOTP

Плагины интеграции 

Интеграция Функция
Jenkins Позволяет получить доступ к секретам в Senhasegura

SIEM-решения

Поставщики Версии
Exabeam Версия i 31 и выше
IBM QRadar Версия 7.3 и выше
LogRhythm Версия 7.4 и выше
Rapid7 - InsightIDR Версия 20180814 и выше
Rapid7 - InsightOps Версия 20190204 и выше
Securonix Версия 6.3 и выше
Splunk Версия 6.3 и выше

SSO-решения

Поставщики Решения
Okta Lifecycle Management
RSA RSA SecurID
Duo Duo Multi-factor Authentication
Red Hat Keycloak

Интеграции аутентификации

SSO
Инструменты Протокол Интеграция
Active Directory LDAP Полная
Azure AD SAML 2.0 Полная
ForgeRock SAML 2.0 Полная
Google OpenID Полная
AuthID OpenID Полная
Keycloak OpenID SAML 2.0 Полная
Okta OpenID SAML 2.0 Полная
MFA
Инструменты Протокол Интеграция
Duo TOTP OpenID Полная
Email TOTP Частичная
Google Authenticator TOTP Полная
Microsoft Authenticator TOTP Полная
Okta TOTP OpenID Частичная
RSA
Полная
SmartCards A3 x.509 Частичная
SMS TOTP Частичная
Symantec VIP TOTP Полная
Tokens A3 x.509 Частичная

Версия встроенного браузера

Firefox 91.6.1esr (64-бит)

Функции шифрования и безопасности

Шифрование

Библиотека OpenSSL, поддерживаемая OpenSSL Software Foundation, представляет собой реализацию криптографических протоколов SSL и TLS с открытым исходным кодом. В библиотеке реализованы основные алгоритмы шифрования на языке программирования C. Senhasegura использует криптографическую библиотеку OpenSSL для выполнения всех криптографических процессов, необходимых для работы решения. Библиотека OpenSSL шифрует всю информацию, хранящуюся в базе данных, поэтому все данные, используемые Senhasegura, защищены от несанкционированного доступа. Вся связь между компонентами решения использует протокол SSL (Secure Sockets Layer) для шифрования передаваемых сообщений.

Библиотека OpenSSL сертифицирована по стандарту FIPS 140-2. Узнать больше по ссылке:
https://csrc.nist.gov/CSRC/media/projects/cryptographic-module-validation-program/documents/security- policies/140sp4282.pdf

Для компаний, которым требуется более высокий уровень безопасности, Senhasegura предлагает PAM Crypto Appliance и интеграцию с основными HSM на рынке, таким образом, придерживаясь стандартов безопасности FIPS 140-2 уровня 2 и выше. Для аутентификации в веб-интерфейсе Senhasegura — как локально, так и через внешние серверы аутентификации — все пароли пользователей хранятся в формате хэшей SHA-256. Связь между рабочей станцией клиента и Senhasegura осуществляется посредством зашифрованной связи с соблюдением стандартов шифрования используемых протоколов. Независимо от канала связи, будь то RDP, SSH или HTTPS

Доступ к удаленным целевым устройствам соответствует одному и тому же стандарту шифрования во всех протоколах, допускающих настройку.

Стандарты безопасности

HSM-шифрование

Для компаний, которым требуется более высокий уровень безопасности, вы можете выбрать аппаратный безопасный модуль (HSM), аппаратное устройство безопасности и шифрования с военными спецификациями и стандартами защиты от несанкционированного доступа.

Технические характеристики HSM

Шифрование веб-прокси

Шифрование прокси терминала 

Шифрование сессий SSH 

Симметричные шифры
Симметричные шифры, поддерживающие аутентифицированное шифрование 
MAC
Алгоритмы обмена ключами
Ключ сертификата
Типы ключей 

Доступность и чрезвычайные ситуации 

Система Senhasegura поддерживает работу на виртуальных или физических устройствах. Виртуальное устройство Senhasegura настроено для установки без отключения пользователей-администраторов в операционной системе.
В любой конфигурации система поддерживает настройки для высокой доступности и угроз внешних чрезвычайных ситуаций.

Резервное копирование

Senhasegura предоставляет несколько механизмов для восстановления информации в случае сбоя:

Резервное копирование зашифрованного пароля

Внешнее копирование в клиентской инфраструктуре. Резервный файл с этой информацией защищен паролем, который распространяется на многократное хранение среди доверенных участников по свободному выбору клиента. Для получения и извлечения информации требуется как минимум два пользователя-хранителя. После доставки Senhasegura все пароли к сейфу будут сброшены, и клиент получит их соответствующее хранение, за исключением паролей к базе данных Senhasegura и операционной системе.
Начиная с версии 3.10 процедура резервного копирования также будет выполняться для пользовательских паролей и ключей доступа модуля DevSecOps.

Быстрое восстановление резервного копирования

Внутреннее и быстрое восстановление. Такой вид копирования обеспечивает хранение большего объема критической информации и считается более быстрым. Так как при наличии базового содержимого среда восстанавливается быстро и становится доступной уже по запросу.

Зашифрованное резервное копирование настроек 

Благодаря этому типу копирования не только сохраненные данные, но и настройки пароля могут быть доступными для извлечения. Этот тип резервного копирования не включен по умолчанию, но его активация доступна в настройках системы.

Безопасное резервное копирование видео 

Senhasegura позволяет сохранять резервные копии видео в удаленном каталоге под ответственность клиента. По умолчанию видео хранятся в файловой системе решения.

Резервное копирование секретов

Резервное копирование секретов: console credentials и access keys хранятся в выделенных каталогах.

Мониторинг, системный журнал и SIEM

Senhasegura имеет возможности мониторинга, предназначенные для оповещения администраторов о любом процессе, интеграции, подключении или сбое доступа.

Система отправляет оповещения администратору на экран, по электронной почте или SMS, snmpmibs и snmptraps. 

Решение может быть интегрировано с любым отраслевым инструментом с использованием стандарта SNMP V1, V2 или V3.
Интеграция с сервисами Syslog и SIEM.

Собственная интеграция с ArcSight.

Совместимость с браузерами

Веб-интерфейс Senhasegura доступен только по протоколу HTTPS, и мы рекомендуем предоставить собственный сертификат SSL в соответствии с действующими на рынке предположениями о безопасности.

Senhasegura использует технологии HTML5 и WebSocket, и только браузеры, поддерживающие эти технологии, обеспечат полную защиту паролей. Решение также поддерживает совместимость со следующими браузерами в их самых последних версиях:

Условия работы сети

Соединения между пользователями и приложением Senhasegura имеют минимальную пропускную способность 180 Кбит/с на удаленную сессию без потери функциональности.

Соединения между пользователями и приложением Senhasegura имеют максимальную задержку 900 мс без потери функциональности.

Приложение Senhasegura позволяет поддерживать протоколы IPV4 и IPV6 в соответствии со спецификацией IETF RFC 2460.

Поддерживаемые протоколы и порты


Senhasegura позволяет использовать несколько протоколов через соответствующие стандартные порты или любые другие, настроенные в решении, для следующих операций: удаленные подключения, изменение пароля, Scan Discovery, аутентификация и доступ в интернет.

Операции выполняются на основе портов, настроенных на устройстве.

Соединение Порт по умолчанию Описание
HTTP 80 Веб-доступ
HTTPS 443 Защищенный веб-доступ
LDAP 389 Scan Discovery / Аутентификация
LDAPS 636 Смена пароля / Scan / Discovery / Аутентификация
MySQL 3306 Удаленное подключение* / смена пароля
Oracle 1521 Удаленное подключение* / смена пароля
PostgreeSQL 5432 Удаленное подключение* / смена пароля
RDP * 3389 Удаленное подключение
RM HTTP 5985 Смена пароля / Scan Discovery
RM HTTPS 5986 Смена пароля / Scan Discovery
SQL Server 1433 Удаленное подключение* / смена пароля
SSH 22 Удаленное подключение / смена пароля
Telnet 23 Удаленное подключение / смена пароля
VNC ** 5900 Удаленное подключение
Windows RM 5986 Смена пароля
Windows RPC 135 Смена пароля / Scan Discovery
X11 Forward ** 22 Удаленное подключение / изменение пароля

Поддерживаемые протоколы доступны только для TLS1.2 и TLS1.3 после подключения к хранилищу Senhasegura.

* только RemoteApp
** графические интерфейсы

Производительность 

Архитектура Senhasegura рассчитана на максимальную производительность во всех операциях, выполняемых с помощью решения.

Все тесты на Senhasegura PAM Crypto Appliance проводились со следующей конфигурацией:

Настройки оборудования

Настройки Senhasegura 

Сессии SSH через терминальный прокси Senhasegura 

Соединения ЦПУ ОП ДИСК W
500 5% 10 Гб 4.500 КБ/с
2000 20% 50 Гб 6.000 КБ/с
3500 55% 85 Гб 8.000 КБ/с

Сессии SSH через Senhasegura веб-прокси 

Соединения ЦПУ ОП ДИСК W
250 10% 10 Гб 2.000 КБ/с
750 35% 15 Гб 5.000 KБ/с
1250 45% 20 Гб 7.500 КБ/с

Сессии RDP через Senhasegura RDP Proxy 

Соединения ЦПУ ОП ДИСК W
500 5% 15 Гб 2.000 КБ/с
1250 10% 30 Гб 5.000 КБ/с
2000 15% 50 Гб 8.500 КБ/с

Сессии RDP через Senhasegura веб-прокси 

Соединения ЦПУ ОП ДИСК W
250 5% 10 Гб 1.000 КБ/с
1000 10% 20 Гб 9.000 КБ/с
1750 20% 30 Гб 16.000 КБ/с

Веб-соединения HTTP (высокая нагрузка)  

Соединения ЦПУ ОП ДИСК W
10 10% 5 Гб 1.500 КБ/с
20 18% 10 Гб 1.800 КБ/с
30 20% 15 Гб 2.100 КБ/с

Веб-соединения HTTP (средняя нагрузка)

Соединения ЦПУ ОП ДИСК W
10 10% 4 Гб 10.000 КБ/с
20 20% 8 Гб 40.000 КБ/с
30 20% 10 Гб 80.000 КБ/с

Веб-соединения HTTP (низкая нагрузка)

Соединения ЦПУ ОП ДИСК W
10 10% 10 Гб 10.000 КБ/с
35 20% 15 Гб 20.000 КБ/с
60 30% 20 Гб 40.000 КБ/с

Лимит ресурсов 

Платформа Senhasegura имеет несколько функций, которые технически ограничены по причинам ограничений базы данных, ограничений операционной системы, ограничений файловой системы или ограничений архитектуры программного обеспечения.

Ограничения, связанные с контрактом или лицензией, устанавливаются контрактом и не будут рассматриваться в этом разделе.

Ограничения, связанные с количеством контрактных экземпляров в кластерном сценарии, также не будут рассматриваться в этом разделе. Мы сосредоточимся на ограничениях экземпляра и его компонентов.

Лимит пользователей 

Технически приложение может поддерживать до 16 500 000 записей пользователей. Данный лимит распространяется на пользователей WebService A2A, пользователей служб и фактических пользователей системы. Это число не отражает возможности одновременного использования системы всеми этими пользователями. Емкость одновременного использования может варьироваться в зависимости от типа использования, количества контрактных экземпляров и предоставляемой сетевой задержки.

Лимит устройств

Технически приложение поддерживает до 16 500 000 записей устройств. В это число входят даже деактивированные устройства. Данный лимит не отражает возможность доступа ко всем этим устройствам через прокси или любой другой асинхронный процесс, который одновременно обращается к устройству. Возможность управления устройствами может зависеть от количества контрактных экземпляров, поддерживаемых систем и протоколов, а также предоставляемой сетевой задержки.

Лимит учетных данных и защищенная информация 

Технически приложение может поддерживать до 16 500 000 учетных записей. Этот лимит распространяется даже на учетные данные, ставшие неактивными с течением времени. Это число не означает, что все эти учетные данные доступны и используются асинхронными задачами или прокси-сессиями одновременно. Возможность управления учетными данными зависит от количества контрактных экземпляров и предоставляемой сетевой задержки.

Запись прокси-сессии 

В отличие от других решений на рынке, Senhasegura не выполняет захват экрана в формате изображения или видео в реальном времени в формате mp4 или других медиаформатах. Реальное постоянство протокола обеспечивает точную и оптимизированную копию сессий. Время бездействия записывается с помощью меток времени 4 байта в секунду, в отличие от захвата экрана, который потребляет гораздо больше ресурсов. Запись протокола в собственном формате уже учитывает собственный формат сжатия протокола.

Видео сессии зашифровано и хранится в собственном формате и на том же сервере, что и пароль, со всеми стандартными средствами защиты хранилища, обеспечивающими целостность видео. Если заказчик хочет применить собственные стандарты безопасности, он может настроить внешнее резервное копирование.

Поведение пользователя будет определять количество сессий, которые можно сохранить. Не исключая возможности расширения диска или подключения удаленного хранилища для увеличения емкости хранилища.

Такое сочетание факторов делает лимит сессий практически неограниченным. Обратитесь к таблице производительности, описанной в производительности сессии, чтобы рассчитать свою потребность.

Одновременные прокси-сессии 


Количество одновременных сессий может варьироваться в зависимости от количества контрактных экземпляров, что делает решение соответствующим вашим потребностям без чрезмерного приобретения ресурсов. Кластерная архитектура также позволяет определять выделенные узлы для конкретных протоколов или определять выделенные экземпляры для разных центров обработки данных или сегментов сети. Такое сочетание факторов делает лимит сессий практически неограниченным. Обратитесь к таблице производительности, описанной в разделе производительности, чтобы рассчитать свои потребности.

Версии Senhasegura 

Номенклатура версий Senhasegura соответствует формату M. N.P. (например, 3.22.1-9)

Тип обновления Описание
M - Общее Включает глубокие архитектурные и/или технологические изменения.
N – дополнительные компоненты Включает новые функции и/или улучшения существующих функций. Также включает известные исправления ошибок и незначительные архитектурные изменения.
P – критическое  Включает исправления критических ошибок и исправления безопасности (рекомендуется немедленное обновление).

Как часто выходят новые версии 

Частота обновлений Senhasegura может варьироваться от 1 до 5 месяцев, в зависимости от периода года.

Что касается доступных форматов, есть два варианта:

Требования к установке 

Сценарии использования

Для корректного функционирования решения необходимо определить возможные сценарии использования, в которых будет выполняться управление привилегированным доступом.

Ниже вы можете найти несколько вариантов использования:

Требования в управляемых системах 

Определите следующую информацию для управляемых систем:

Требования к привилегированной учетной записи 

Чтобы получить доступ к управляемым системам, вы должны иметь следующую информацию из учетных данных или привилегированных учетных записей:

Требования к группам доступа и пользователям 

Чтобы запустить хранилище Senhasegura и определенные привилегированные учетные записи, необходимо создать группы доступа. Они позволят применять фильтры по сегментам или группам, различным управляемым системам, привилегированным учетным записям и привилегиям, для которых пользователи должны иметь свои собственные учетные данные доступа. Вы можете создать их локально в хранилище или интегрировать с источником аутентификации, таким как Active Directory, Radius или TACACS, для настройки этих функций:

Требования:

Пример заполнения поля группы доступа:

Имя Система Привилегированные УЗ Пользователи Опции Ограничения доступа
Servers SRV Win 2016 (10.235.x.x) Administrator a.martinez только доступ к сессии без запроса или одобрения Каждый день с 8:00 до 17:00

При росте числа пользователей и устройств, определенных изначально, решение должно быть рассчитано с запасом в 20%, чтобы расти без необходимости модификации оборудования. Если рост более значительный, всегда можно масштабировать решение, интегрируя его с другим оборудованием с превосходящими возможностями.

Профили пользователей в Senhasegura

Чтобы решение работало по назначению, мы рекомендуем иметь следующие профили доступа:

Пример заполнения полей пользователя:

Имя Имя пользователя Отдел Email Телефон Группа доступа Профиль
Alex Martinez a.martinez Administration alex.m@gmail.com +000 000XXXX Servers Пользователь с привилегированным доступом

Требования к виртуальным устройствам PAM

Совместимость

Вы можете реализовать Senhasegura в виртуализированных средах. Требования к виртуализации зависят от решения, используемого для развертывания, и необходимых устройств. В соответствии с определенной архитектурой совместимыми средами являются следующие:

Требования к оборудованию

Данные требования зависят от максимального количества одновременных сессий, обрабатываемых решением, и времени хранения записи, заданного каждым сценарием в различных средах, которые определяются в соответствии со следующей информацией:

    • RDP/SSH: когда доступ осуществляется прокси-сервером терминала.
    • Web: когда доступ осуществляется через браузер.

Структура доступа выглядит следующим образом:

senha-structure.png

Потребление на соединение 

Оборудование Нагрузка RDP/SSH Веб
ЦПУ: количество одновременных подключений на ядро (подк./ядро) Умеренная 300 30
ОП: объем памяти, используемый на одно соединение (Мб/подк.) Умеренная 20 40
ЖД: место на диске по времени на соединение (Кб/с/подк.) Умеренная 3
4
Сетевой трафик на соединение (Сторона сервера RX / TX) (кбит/с / подк.)
Умеренный 1/3 45/5
Cетевой трафик на соединение (Сторона клиента RX / TX) (кбит/с / подк.)
Умеренный 0.2/1.0 10/80

Для архитектуры высокой доступности (Active-Passive) с двумя элементами в кластере необходимы две машины с точными требованиями к оборудованию. Для модели (Active-Active) необходимо добавить балансировщик, который не входит в комплект.

Требования к оборудованию RDS сервера (только если применимо)

Если нужно определить сессии с сегментированными приложениями в средах Windows (выделенные программные клиенты, промежуточные базы данных и т. д.), вам необходимо внедрить сервер служб удаленных рабочих столов (RDS), лицензирование и внедрение которого не покрываются Senhasegura. Доступность функций для этой услуги требования к доступности оборудования и лицензии должны быть умножены на количество функций: Службы удаленного рабочего стола. 

Приложения должны быть опубликованы с этого сервера, после чего Senhasegura будет использовать API удаленных приложений для использования службы. Размер этого сервера зависит от количества конкретных параллельных серверов для этого типа сессии: Узлы сессий удаленного рабочего стола.

Мы рекомендуем приобрести этот сервер по крайней мере с одной операционной системой Windows Server 2008 R2 и с лицензиями на пользователя или сервер, которые должен предлагать производитель: «RDS Per User CAL». Ссылка на производителя с информацией о лицензировании: Удаленный рабочий стол клиентская лицензия доступа.

Что касается аппаратного обеспечения, необходимого для работы производимого сервера, существует таблица уровней функциональной нагрузки объектов

У производителя есть руководства по реализации этой функции с информацией о ней: Рекомендации для виртуальной машины удаленного рабочего стола.

Исходя из всего вышеизложенного, в случае с клиентами мы рекомендуем оценить количество вариантов использования, требующих сегментированного доступа для каждого приложения, при этом мы имеем количество одновременных пользователей и успеваем получить необходимые требования к оборудованию для сервера RDS, который должен быть установлен на месте.

Установка Senhasegura

Установка Senhasegura

Развертывание Senhasegura

Создайте виртуальную машину с 8 ГБ оперативной памяти и 4 ядрами процессора - этих ресурсов будет достаточно для начала работы.

Подключите к созданной машине готовый виртуальный диск с установленным продуктом:

  1. OVA
    https://drive.google.com/file/d/1ODWBKDPvntmAQ6YPXTAfYLZRqdCLGfhz/view
  2. VMDK
    https://drive.google.com/file/d/1Ud2L2gUda-TbUL7yOgqnRXa7rLK-UWRm/view
  3. OVA - SHA1
    https://drive.google.com/file/d/1FDf_OaLi2vGcYhl6udRDB2GdN9QoXDxa/view
  4. VHD
    https://drive.google.com/file/d/1F7Wt-26YaInbRuJnBV-vuxzCLHuXJccL/view
  5. RAW
    https://drive.google.com/file/d/16_GYDdVW82YKtTQV46AWXEKX_5FL7ldU/view
  6. Microsoft Azure
    https://drive.google.com/file/d/1F7Wt-26YaInbRuJnBV-vuxzCLHuXJccL/view
  7. Google Cloud Platform
    https://drive.google.com/file/d/1cxIZ7tzraiqir3TRXh3vPBbwxoNQXco3/view
  8. KVM - RedHat - ProxMox - Nutanix and others
    https://drive.google.com/file/d/1cH0bl_rt0q7BUubsa2Gooxm-vrwSNrd1/view

Подключение к машине

Запустите машину, подключитесь в ней любым SSH-клиентом

Порт SSH
59022
Имя пользователя:
mt4adm
Пароль: mt4adm

Настройка сети

sudo orbit network 

Изменение имени хоста

sudo orbit hostname [НОВОЕ ИМЯ ХОСТА]

Подключение к серверам точного времени

sudo orbit ntp --servers=СЕРВЕР-1,СЕРВЕР-2 --listen-interface=eth0

Обновление системы

sudo apt-get update
sudo apt-get install orbit-cli
sudo orbit upgrade 

Перезагрузитесь после обновления

sudo orbit shutdown --reboot 

Проверка версии

sudo orbit version

Установка завершена!

Установка Senhasegura

Активация пробной версии

Предполагается, что вы устаналиваете пробную версию в рамках пилота или являетесь зарегистрированным поставщиком Senhasegura. В обоих случаях у вас должен быть контакт специалиста из АФИ Дистрибьюшн, который понадобится для активации пробной версии.
В случае, если такого контакта у вас нет, напишите нам на support@afi-d.ru

После установки перейдите в веб-интерфейс Senhasegura:

  1. откройте веб-браузер
  2. введите в поле адреса IP-адрес виртуальной машины с Senhasegura
  3. нажмите Enter

При первом входе в интерфейс вы увидите код запроса для активации лицензии.

Код действует 30 минут, поэтому:

  1. Убедитесь, что наш специалист, помогающий вам с проведением пилота, на связи в любом из мессенджеров.
  2. Передайте ему код запроса.
  3. Получите код активации.
  4. Вставьте код активации в соответствующее поле и подтвердите активацию.

После успешной активации снова введите в веб-браузере в поле адреса IP-адрес виртуальной машины с Senhasegura, чтобы попасть на страницу входа, ознакомиться и согласиться с лицензионным соглашением (EULA):

USERNAME (Имя пользователя)
admin
PASSWORD (Пароль)
5enh@5eGuR@!


Установка Senhasegura

Включение модулей

Сразу после установки и активации Senhasegura вам доступен только веб-интерфейс платформы Orbit.
Чтобы включить остальные модули:

  1. Перейдите по адресу https://(IP Senhasegura)/flow/orbit
  2. Нажмите кнопку Settings
  3. Включите Enable application и Enable robots
  4. Перезагрузите веб-консоль (обновите страницу в браузере)

Теперь модули доступны для добавления устройств, пользователей и дальнейшей настройки.

Установка Senhasegura

Смена стандартных паролей

Не храните пароли от учетных записей администратора Senhasegura внутри Senhasegura, так как они могут понадобиться в случае, когда PAM по какой-то причине недоступен.

Подключение по SSH

Порт SSH
59022
Имя пользователя:
mt4adm
Пароль:

mt4adm

Чтобы поменять пароль, воспользуйтесь командой passwd

Вход в веб-интерфейс

USERNAME (Имя пользователя)
admin
PASSWORD (Пароль)
5enh@5eGuR@!

После входа стандартный пароль нужно поменять на безопасный, записать его и положить в сейф.
Дальнейшую работу с системой следует вести от имени отдельно созданного пользователя.

Учетная запись встроенного администратора обладает исключительными правами и должна использоваться лишь для первичной настройки и в случае аварий.

Установка Senhasegura

Настройка сетевого экрана (Firewall)

Следующие разрешающие правила следует добавить на вашем сетевом экране перед продолжением настройки.

Доступ Senhasegura к внешним службам

Протокол Источник

Исходящий

порт

Назначение


Порт

назначения

UDP Активный узел Senhasegura
ANY NTP server 123
UDP Активный узел Senhasegura ANY DNS server 53
TCP Активный узел Senhasegura ANY MAIL server SMTP
TCP Активный узел Senhasegura ANY LDAP server LDAP
TCP Активный узел Senhasegura ANY LDAP server LDAPS
UDP Активный узел Senhasegura ANY RADIUS server RADIUS
TCP Активный узел Senhasegura ANY TACACS server TACACS
UDP Активный узел Senhasegura ANY TACACS server TACACS
TCP Активный узел Senhasegura ANY LOG server SYSLOG
UDP Активный узел Senhasegura ANY LOG server SYSLOG
TCP Активный узел Senhasegura ANY BACKUP server SSH
TCP Активный узел Senhasegura ANY BACKUP server NFS
TCP Активный узел Senhasegura ANY BACKUP server SMB

Доступ внешних служб к Senhasegura

Протокол Источник

Исходящий

порт

Назначение

Порт

назначения

TCP BACKUP server ANY Активный узел Senhasegura SSH
TCP BACKUP server ANY Активный узел Senhasegura NFS
TCP BACKUP server ANY Активный узел Senhasegura SMB

Доступ пользователей к Senhasegura

Протокол Источник

Исходящий

порт

Назначение

Порт

назначения

TCP Пользователи Senhasegura
ANY Активный узел Senhasegura HTTPS
TCP Пользователи Senhasegura ANY Активный узел Senhasegura HTTP
TCP Пользователи Senhasegura ANY Активный узел Senhasegura SSH
TCP Пользователи Senhasegura ANY Активный узел Senhasegura RDP

Доступ Senhasegura к целевым устройствам

Ниже приведен полный список портов, по которым Senhasegura может обращаться к целевым устройствам. Открыть нужно только те, которые фактически будут использоваться Senhasegura для управления устройством.

Протокол Источник

Исходящий

порт

Назначение

Порт

назначения

TCP Активный узел Senhasegura ANY Целевые устройства
SSH
TCP Активный узел Senhasegura ANY Целевые устройства TELNET
TCP Активный узел Senhasegura ANY Целевые устройства ORACLE
TCP Активный узел Senhasegura ANY Целевые устройства MS-SQL
TCP Активный узел Senhasegura ANY Целевые устройства POSTGRE
TCP Активный узел Senhasegura ANY Целевые устройства MySQL
TCP Активный узел Senhasegura ANY Целевые устройства RDP
TCP Активный узел Senhasegura ANY Целевые устройства RPC
TCP Активный узел Senhasegura ANY Целевые устройства RM
TCP Активный узел Senhasegura ANY Целевые устройства SMB
TCP Активный узел Senhasegura ANY Целевые устройства HTTP
TCP Активный узел Senhasegura ANY Целевые устройства HTTPS

Между узлами Senhasegura (в случае создания кластера)

Протокол Источник

Исходящий

порт

Назначение

Порт

назначения

TCP

Активный узел Senhasegura

ANY

Второстепенный узел Senhasegura

SSH
TCP

Активный узел Senhasegura

ANY

Второстепенный узел Senhasegura

MySQL
TCP

Активный узел Senhasegura

ANY

Второстепенный узел Senhasegura

9300
TCP

Активный узел Senhasegura

ANY

Второстепенный узел Senhasegura

4567
TCP

Активный узел Senhasegura

ANY

Второстепенный узел Senhasegura

4568
TCP

Активный узел Senhasegura

ANY

Второстепенный узел Senhasegura

4444
UDP

Активный узел Senhasegura

ANY

Второстепенный узел Senhasegura

4567
TCP

Активный узел Senhasegura

ANY

Второстепенный узел Senhasegura

HTTP
TCP

Активный узел Senhasegura

ANY

Второстепенный узел Senhasegura

HTTPS
TCP

Второстепенный узел Senhasegura

ANY

Активный узел Senhasegura

SSH
TCP

Второстепенный узел Senhasegura

ANY

Активный узел Senhasegura

MySQL
TCP

Второстепенный узел Senhasegura

ANY

Активный узел Senhasegura

9300
TCP

Второстепенный узел Senhasegura

ANY

Активный узел Senhasegura

4567
TCP

Второстепенный узел Senhasegura

ANY

Активный узел Senhasegura

4568
TCP

Второстепенный узел Senhasegura

ANY

Активный узел Senhasegura

4444
UDP

Второстепенный узел Senhasegura

ANY

Активный узел Senhasegura

4567
TCP

Второстепенный узел Senhasegura

ANY

Активный узел Senhasegura

HTTP
TCP

Второстепенный узел Senhasegura

ANY

Активный узел Senhasegura

HTTPS

Настройка резервного копирования

Варианты резервных копий

Senhasegura предоставляет следующие варианты резервного копирования:

Резервное копирование секретов и системы создается, когда опция резервного копирования включена и настроена. Для резервного копирования видео прокси сессий необходимо выбрать «Да» в окне «Enable sessions file backup?».

Если система потеряет доступ к удаленному каталогу резервного копирования, вам будет отправлено уведомление по электронной почте и в SIEM.

Подключение резервного раздела 

Если вы хотите, чтобы резервная копия была создана в разделе удаленного диска, перейдите в Orbit Config ManagerSettings Backup; вы можете настроить его через CIFS или NFS или прямую отправку с помощью rsync.  Выберите «Да» в окне «Mount a remote partition?».

Резервное копирование через CIFS или NFS

Для создания резервных копий Senhasegura через CIFS или NFS:

  1. Выберите Mounting a remote partition (via CIFS or NFS).
  2. Нажмите на Add remote partition.
  3. В окне Add remote partition, заполните поля Remote host и Remote path информацией о сервере, где senhasegura сохранит созданную резервную копию. Например,
    • Remote host: myserver.com или 10.10.1.5
    • Remote path: /files/backup/senhasegura
  4. Выберите протокол:
    • Samba (CIFS): потребуется пользователь с правами записи в каталог в Remote path, иначе Senhasegura не сможет создать резервную копию. При необходимости добавьте имя домена, если этого требует ваш хост-сервер.
    • Network File System (NFS): при выборе NFS обязательно разрешите IP-адрес Senhasegura в конфигурациях Remote Host NFS, иначе Senhasegura не сможет создать резервную копию.

Вы можете использовать зарегистрированные учетные данные в качестве метода аутентификации. Для этого откройте Settings ➔ System parameters ➔ System parameters ➔ Application и выберите нужные учетные данные в поле Remote backup credential.

Пароли от удаленных хранилищ не должны содержать символы \, &, и !

Резервное копирование через rsync

Требования

Чтобы Senhasegura создавала резервные копии через rsync, необходимо настроить rsync и предоставить доступ к серверу резервного копирования с открытым ключом.

Резервное копирование rsync выполняется с аутентификацией с использованием SSH-ключа. Вам нужно будет настроить отдельного пользователя на вашем сервере и положить его открытый ключ в «authorized_keys».

Настройка резервного копирования через rsync 

Шаг 1 - Настройка резервного копирования системы Senhasegura 

  1. Выберите Send to a remote Linux server (via RSYNC).
  2. Добавьте User сервера резервного копирования, который будет использоваться Senhasegura.
  3. Добавьте имя хоста или IP-адрес резервного сервера, например, myserver.com или 10.10.1.5.
  4. Добавьте каталог Remote path чтобы сохранить резервное копирование. Например, “/files/backup/senhasegura".

Шаг 2 - Резервная копия учетных данных Senhasegura  

  1. Откройте Orbit ➔ Settings ➔ Backup menu.
  2. Включите резервное копирование системы и видео.
  3. Настройте удаленный раздел с помощью rsync.
  4. Введите имя пользователя, IP-адрес устройства и полный путь к созданной папке резервного копирования.

Шаг 3 - Копирование открытого ключа пользователя  

1. Войдите на главный узел Senhasegura, используя SSH, порт 59022, с пользователем mt4adm.
2. Соберите открытый ключ, этой командой    :

sudo cat /root/.ssh/id_rsa.pub

3. Скопируйте открытый ключ с вашего терминала.
4. Войдите на используемый сервер резервного копирования и добавьте открытый ключ в файл «authorized_keys» от пользователя, указанного в поле User во время настройки Senhasegura rsync.
5. Вставьте скопированный открытый SSH-ключ корневого пользователя главного экземпляра Senhasegura в файл authorized_keys целевого устройства.

vim  /home/rsync/.ssh/authorized_keys

Шаг 4 - Тестовое резервное копирование через rsync

1. Войдите на сервер Senhasegura, используя SSH, порт 59022, с пользователем mt4adm
2. Выполните следующую команду:

sudo orbit backup create

3. Вы получите подтверждение от rsync и информацию о расчетной продолжительности передачи данных.
4. Проверьте, находятся ли файлы теперь в Remote path на сервере резервного копирования.

Файл журнала резервного копирования

Чтобы проверить журнал резервного копирования:

1. Войдите на сервер Senhasegura, используя SSH, порт 59022, с пользователем mt4adm.
2. Запустите следующую команду:

tail -f /var/log/orbinibkp.log

Обновление версии

Важно!

Проверьте Changelog, чтобы найти исправления, новые функции, улучшения безопасности и удобства использования.

Обновление кластера
При обновлении senhasegura в кластере не переключайте узлы в автономные. Обновите их один за другим, начиная с основного узла. Работа кластера при этом не будет нарушена.
Несоблюдение порядка обновления может привести к поломке кластера.

Требования 

Создание снимка виртуальных машин

Снимки должны быть сделаны при выключенной виртуальной машины, чтобы обеспечить возможность возврата без нарушения целостности данных.

Создание снимка кластера
Соблюдайте следующий порядок отключения: начните с последнего узла и закончите ведущим.
Сделать снимок нужно для каждого узла, но строго по отдельности, чтобы не разрушить кластер:
 - отключите один узел
 - сделайте снимок
 - включите узел
 - подтвердите запуск
 - дождитесь ввода узла в работу
 - только теперь переходите к следующему узлу

1. Выключите экземпляр Senhasegura с помощью orbit:

sudo orbit shutdown

2. После выключения узла сделайте снимок средствами гипервизора.
3. Когда снимок будет сделан, снова включите узел senhasegura.
4. После создания снимков для всех узлов senhasegura, приступайте к обновлению.

Онлайн-обновление

1. Обновите платформу с помощью нашего официального зеркала, чтобы ваш экземпляр получил самую последнюю версию senhasegura.

2. Приведенные ниже команды обновят список пакетов, исполнимый файл orbit и платформу. Терминал отобразит длинный вывод журнала, который может занять несколько минут.

Не выполняйте команду «apt-get upgrade» вместо «orbit upgrade».
Если вы все-таки запустили эту команду, выполните «orbit upgrade», чтобы исправить ситуацию.

sudo apt-get update
sudo apt-get install orbit-cli
sudo orbit upgrade

3. Перезапустите узел, чтобы убедиться, что обновление прошло успешно.

sudo orbit shutdown --reboot

4. Подождите, пока узел завершит перезагрузку, и система будет готова для доступа через веб-интерфейс.

Не переходите к обновлению следующего узла в кластере, пока не убедитесь в том, что обновленный узел вернулся из перезагрузки и работает

Автономное обновление 

Если у senhasegura нет доступа в интернет, выполните следующие действия, чтобы запустить автономное обновление:

1. На другом сервере или рабочей станции загрузите пакет обновления по ссылке
https://repo:HpRh0BVMNVAq@repo.senhasegura.com/buster-se-update.sh
Например, командой:

wget https://repo:HpRh0BVMNVAq@repo.senhasegura.com/buster-se-update.sh

2. На сервере senhasegura создайте временную папку для обновления в каталоге /var/update/:

sudo install -d /var/offlineupdate -o mt4adm -g mt4adm

3. Загрузите файл обновления на сервер senhasegura в каталог /var/offlineupdate

4. После переноса закомментируйте все строки в файле resolv.conf, используя «#» перед каждой строкой, чтобы обновление не пыталось подключиться к интернету и запустить онлайн-обновление.

sudo nano /etc/resolv.conf

resolv.conf-comment.png

5. Предоставьте загруженному файлу права на выполнение с помощью приведенной ниже команды:

sudo chmod +x /var/offlineupdate/buster-se-update.sh

6.  Запустите утилиту screen, чтобы можно было вернуться к установке в случае разрыва подключения:

screen

6.  Запустите пакет с помощью следующей команды:

cd /var/offlineupdate/
sudo /bin/bash ./buster-se-update.sh

9.  Подтвердите согласие с условиями лицензии (EULA)

10. После окончания обновления вернитесь к файлу resolve.conf и удалите «#» из всех измененных до этого строк.

11. Перезагрузите машину с помощью следующей команды:

sudo orbit shutdown --reboot

12. После перезагрузки выполните следующую команду и подтвердите перезагрузку сервисов.

sudo orbit application init

13. Приложение обновлено. Чтобы проверить текущую версию, используйте команду ниже:

sudo orbit version

Контакты технической поддержки

В случае высокой загруженности специалистов техподдержки, приоритет будет отдан вопросам, инструкции для которых отсутствуют в этой базе знаний. Для поиска по базе знаний воспользуйтесь соответствующим полем в самом верху страницы.

В любой непонятной ситуации пишите на support@senha.ru