Три способа защитить аккаунт в панели управления: 2FA, IAM и доступ по SSH
selectel.ru В панель
selectel.ru В панель
описание картинки

Двухэтапная аутентификация, IAM и SSH-ключи для доступа к серверам: три способа защитить аккаунт в панели управления

Ульяна Малышева
Ульяна Малышева Технический редактор
7 марта 2023

Рассказываем о трех важных инструментах, которые помогут не подвергать риску свой аккаунт в панели управления.

Изображение записи

Выбирая провайдера IT-инфраструктуры, компании часто обращают внимание именно на обеспечение безопасности хранения данных. Поэтому операторы дата-центров вкладываются в ее развитие: как на уровне ЦОД (в СКУД, видеонаблюдение, охрану), так и на уровне услуг, проходя внешние аттестации и запуская услуги межсетевых экранов, защиты от DDoS и т.д. 

Чтобы не «обнулить» вклад в информационную безопасность, клиенту важно тоже думать о базовой цифровой гигиене. И, обеспечивая свою инфраструктуру современными ИБ-решениями, не забывать про старт работы с ней — в частности, про панель управления. Защита аккаунта — зона ответственности клиента, а не провайдера, поэтому о ней важно помнить. В тексте расскажем о трех важных инструментах, которые помогут не подвергать риску свой личный кабинет.

Двухфакторная аутентификация 

2FA — привычный для многих формат аутентификации в приложениях или сервисах. В рамках него для вхождения в систему требуется не только введение логина и пароля, но и дополнительное подтверждение владения аккаунтом. Часто это введение кода, отправленного на альтернативный девайс пользователя — как правило, смартфон. 

Двухфакторная аутентификация позволяет существенно усложнить взлом аккаунта или свести шансы взлома к нулю. Наличие надежного пароля — не всегда панацея. Особенно если владелец не соблюдает правила цифровой гигиены: использует один пароль для нескольких систем, не меняет его с некоторой периодичностью и т.д. Развитие технологий хакинга и учащение ситуаций со сливами персональных данных ставят под сомнение надежность паролей.  

В этом плане проверка личности через гаджет, который «ближе к телу», — более безопасный сценарий. Взломать аккаунт,  если пароль был скомпрометирован, можно удаленно — хоть с другого континента. А вот получить доступ к вашему телефону, на который придет код аутентификации, в разы сложнее.

Защитите свой аккаунт

Подключите двухфакторную аутентификацию в настройках панели управления.

2FA в Selectel

Двойная аутентификация есть и в Selectel. Для новых пользователей она включается автоматически. Владелец аккаунта, в отличие от дополнительных пользователей, может отключить 2FA. Но делать это мы не рекомендуем по нескольким причинам:

  • Без двойной аутентификации вы более уязвимы для взлома. Мошенник может завладеть вашими данными, получить доступ к ресурсам и счету. При отсутствии уведомлений о входе в систему вы можете даже не сразу понять, что вы больше не единственный «хозяин» аккаунта.  
  • Если злоумышленник завладеет вашим аккаунтом, он может подключить 2FA, чтобы вам было сложнее вернуть доступ к аккаунту. 

Вместо отказа от двойной аутентификации лучше выбрать один из способов ее прохождения. В панели управления Selectel на данный момент можно выбрать следующие способы получения кода: 

  • через приложение-аутентификатор (рекомендуем бесплатный Google Authenticator) — работает без интернета и сети, 
  • через смс-сообщения на номер телефона, привязанный к аккаунту, — нужно учитывать, что вариант зависит от работы мобильной сети; также могут быть проблемы поступления sms, если у вас включен VPN. 

Вариант с смс-сообщениями — устанавливается по дефолту для всех новых клиентов. Если вы сталкиваетесь с проблемами при получении смс, поменяйте способ аутентификации в панели управления. Для этого нажмите на аккаунт → Профиль и настройкаДвухэтапная аутентификация.

Варианты 2FA

Если по каким-то причинам у вас нет доступа к телефону, войти в аккаунт можно с помощью резервного кода. Генерация резервных кодов открывается при подключении двухэтапной аутентификации. Они создаются автоматически при нажатии на соответствующую кнопку и введении пароля от аккаунта. Распечатайте коды или запишите их, чтобы использовать тогда, когда у вас нет доступа к телефону. Хранить эти коды также нужно со всей ответственностью — не оставляйте их на рабочем столе в свободном доступе, не храните в «Избранном» в Telegram.

Резервные коды в панели управления
Панель управления каждый раз генерирует уникальный набор рандомных кодов.

Рекомендация. Не допускайте использование одного аккаунта несколькими людьми — добавляйте саб-юзеров. Каждый новый пользователь в рамках аккаунта может добавить свой номер телефона, что исключит невозможность использования 2FA для нескольких пользователей одного аккаунта. 

Система управления ролями 

Повторим, что ситуация, в которой несколько сотрудников пользуются одним аккаунтом под одним паролем и логином — неправильная. Шеринг паролей и передача данных аккаунта могут стать уязвимым местом вашей системы. Чтобы обеспечить работу нескольких людей в рамках одного аккаунта, в Selectel реализовали возможность добавления пользователей, или саб-юзеров.

Пользователей может быть 5 или 15 — в зависимости от размеров компании и количества инфраструктурных проектов. При этом их роль в аккаунте может отличаться. Один сотрудник работает только с одним проектом, другой — заходит только для изучения данных о потреблении ресурсов и биллинга. И далеко не каждому сотруднику нужны права на удаление и добавление инфраструктуры. Более того, сотрудников с такими правами должно быть как можно меньше. 

Разграничение прав с помощью системы управления ролей, или IAM, понизит шансы компании стать жертвой внутренних и внешних угроз. Например, саботажа в компании, ошибки нетехнического специалиста при работе с панелью или его попадания в сети социального инжиниринга. 

В начале года Selectel реализовал систему управления ролями в панели управления. И мы рекомендуем использовать ее не только компаниям, которым это нужно для сертификаций. 

В панели управления можно добавлять не только обычных, но и сервисных пользователей — для автоматизации и программного доступа к ресурсам (например, через API). Но в этом тексте нас интересуют именно пользователи ПУ — они могут настроить 2FA, отправку уведомлений, могут менять пароли доступа и просматривать журнал авторизаций. 

В системе IAM есть роли на уровне всего аккаунта и отдельных проектов. Их можно поделить на активные и пассивные: тех, кто может что-то менять, и тех, кто может только смотреть. Сотрудники первой категории должны быть особенно внимательны к правилам ИБ. 

Выбор ролей в панели управления

К активным пользователям относятся следующие роли: 

  • администратор аккаунта (имеет доступ ко всему аккаунту, но не может управлять пользователями),
  • администратор пользователей (может изменять роли пользователей, но не имеет доступа к инфраструктуре, биллингу), 
  • администратор проекта (может управлять инфраструктурой, но только в рамках одного проекта). 

Удостоверьтесь, что у таких пользователей подключена двухфакторная аутентификация. 

К более пассивным относятся следующие роли: 

  • администратор биллинга (имеет доступ к балансу, биллингу, потреблению и другой финансовой информации, к инфраструктуре доступа у него нет), 
  • наблюдатель аккаунта (имеет полный доступ к разделам аккаунта, но только на чтение), 
  • наблюдатель проекта (имеет полный доступ к конкретному проекту, но только на чтение). 

Пользователь может сочетать в себе несколько ролей, так что зоны ответственности за работу в панели управления можно настроить достаточно гибко.

Рекомендация. Подключите уведомления на почту о балансе и платежах, статусе услуг и сервисов. Это позволит вам быстро получать новости об изменениях в панели управления и вовремя пресечь подозрительную активность.

Также вам в помощь — журнал авторизации. Поставьте галочку напротив пункта «Отправлять уведомления об авторизации на электронную почту», чтобы также отслеживать нетипичное поведение. Например, авторизацию в нерабочее и нехарактерное для сотрудников компании время.  

Подробнее о IAM в Selectel можно прочитать в блоге и в документации компании.  

SSH-ключ вместо пароля для доступа к серверу

Последняя рекомендация связана именно с работой с серверами. Для подключения к серверу можно использовать пароль, но мы рекомендуем более безопасную альтернативу — SSH-ключ. 

Недостатки паролей мы уже перечисляли: сложные пароли нужно запоминать или где-то безопасно хранить, а более простые — легко подобрать. Серверы — популярная цель для брутфорса, атака на сервер может начаться спустя 10-15 минут после его появления в сети. Поэтому лучше подумать о более безопасных способах подключения к серверу, чем пароль.

В Selectel им может стать SSH-ключ, состоящий из открытого (публичного) и закрытого (приватного) ключей. Его невозможно взломать методом перебора, а для кражи приватного ключа злоумышленник должен иметь полный доступ к правам администратора операционной системы. 

Подробнее о SSH-ключах и о том, как с ними работать, читайте здесь → 

Рекомендация. Клиенты Selectel могут хранить SSH-ключи в менеджере секретов. Так вам не придется использовать сторонние сервисы для хранения паролей — Bitwarden, Keeper, Passbolt и другие. Хранение секретов в панели — еще один повод подключить 2FA в настройках.

Информационная безопасность и 152-ФЗ

Читайте также:

Изображение записи
Внутренняя кухня

Как и зачем мы забенчили скорость сетевого стека

Наталия Бажан
Наталия Бажан Проектировщик интерфейсов
Изображение записи
Внутренняя кухня

Как протестировать новый сервис, если сроки горят

Ульяна Муратова
Ульяна Муратова Специалист по тестированию