Bank, jako instytucja zaufania publicznego, podlega stałemu nadzorowi i kontroli w celu zapewnienia bezpieczeństwa zgromadzonych depozytów. Jednocześnie rosnące potrzeby klientów, którzy są świadomi udogodnień technologicznych, są motorem dla wielu innowacji w sektorze finansowym. W rezultacie współczesne banki, które przetwarzają i gromadzą ogromne ilości danych, stały się silnie uzależnione od technologii informatycznych. Duże znaczenie ma zastosowanie niezawodnych struktur IT, a w szczególności zapewnienie wydajnego i bezpiecznego środowiska pracy dla użytkownika końcowego. W większości banków odpowiada za to usługa katalogowa Microsoft Active Directory (AD), która umożliwia scentralizowaną kontrolę bezpieczeństwa zasobów sieciowych. Mimo że AD jest krytycznym elementem środowiska IT, administratorzy często niewłaściwie zarządzają AD, co może stanowić realne zagrożenie dla bezpieczeństwa banku.
Czym jest AD
Active Directory jest centralnym punktem uwierzytelniania oraz bazą danych zasobów sieciowych, który używa magazynu danych (nazywanego również katalogiem) o określonej strukturze, jako podstawy organizacji informacji katalogowych. Zawiera on dane o obiektach AD, takich jak serwery, woluminy, drukarki oraz konta użytkowników i komputerów w sieci. Zazwyczaj obecność AD nie jest w ogóle zauważana i doceniana przez użytkowników końcowych, ponieważ jest ona zupełnie „przezroczysta” w ich codziennej pracy. Wyjątkiem są sytuacje, w których dochodzi do zmiany hasła lub zablokowania konta np. w wyniku podania błędnych danych logowania.
Po co bankom AD
Działanie AD można porównać do układu nerwowego, bez którego bank (organizm) nie jest w stanie poprawnie funkcjonować. Podstawowym zadaniem usługi AD jest uwierzytelnianie użytkowników i komputerów w sieci oraz zapewnienie jednolitego bezpieczeństwa w środowisku Windows. Od poprawnego działania AD zależy dostępność wielu najważniejszych aplikacji i usług w banku, np. Exchange. Usługa Active Directory obsługuje wiele bezpiecznych protokołów i mechanizmów uwierzytelniania będących standardami używanymi do potwierdzania tożsamości w czasie logowania.
Jakie są zagrożenia
Ze względu na złożoność struktury informatycznej w bankach oraz przepisy dotyczące bezpieczeństwa, zarządzanie i administrowanie AD nie jest zadaniem łatwym. Banki posiadają często rozbudowaną sieć oddziałów, co komplikuje możliwość kontroli i scentralizowanego zarządzania dostępem użytkowników do zasobów. Są też narażone na przestoje i zakłócenie pracy, spowodowane możliwymi awariami i błędami administracyjnymi. Brak właściwego monitorowania, zabezpieczenia i diagnostyki AD może przynieść duże straty finansowe.
Lepiej zapobiegać
Odpowiednie zarządzanie środowiskiem AD ma kluczowe znaczenie dla bezpieczeństwa i ciągłości działania banku. Zapewnienie odpowiedniego poziomu wsparcia w administracji AD jest możliwe jedynie przez specjalistyczne narzędzia, które w istotny sposób ograniczają ryzyko przestoju spowodowane nieumyślnymi błędami administracyjnymi, awariami lub naruszeniami bezpieczeństwa IT. Natywne funkcje administracyjne Microsoft dla usługi AD bardziej skupiają się na rozwiązaniu problemu już po jego zaistnieniu niż na zapobieganiu i zabezpieczaniu środowiska AD przed pojawieniem się niepożądanych sytuacji. Dla wielu firm i instytucji taki sposób zarządzania AD może okazać się nieskuteczny i niewystarczający, zwłaszcza w przypadku dużych, rozproszonych środowisk. Banki oczekują rozwiązań proaktywnych, które odpowiednio wcześnie wykryją problem, pomogą w jego zdiagnozowaniu i szybkiej eliminacji. Wymaga to zastosowania dodatkowych narzędzi informatycznych np. firmy Dell Software (dawniej Quest Software), która posiada w tym zakresie duże doświadczenie i oferuje szeroką ofertę rozwiązań dostosowanych do potrzeb każdej organizacji.
Diagnostyka i monitorowanie wydajności AD
Podstawowym rozwiązaniem Dell Software, które umożliwia szybkie wykrywanie, diagnozowanie i rozwiązywanie problemów, dotyczących wydajności Active Directory jest Foglight for Active Directory. Narzędzie pozwala administratorom na szczegółowe monitorowanie i analizowanie środowiska AD pod kątem jego wydajności i dostępności. Ponadto udostępnia raporty SLA, które pomagają efektywniej zarządzać potrzebami biznesowymi. Uzupełnieniem funkcjonalności Foglight for AD jest specjalistyczne narzędzie diagnostyczne Spotlight on AD, które z jednego centralnego miejsca pozwala zdiagnozować i naprawić problemy w całej topologii serwerów AD (kontrolerów).
Odtwarzanie AD
Kolejnym problemem, jaki można spotkać w bankowym środowisku AD jest odtwarzanie po awariach oraz granularne przywracanie zmian AD. W rozbudowanej infrastrukturze trudno jest szybko wznowić sprawność domeny w przypadku, gdy uległa ona awarii. W dużych środowiskach proces ten może trwać nawet wiele godzin! Rozwiązanie Recovery Manager for Active Directory oferuje możliwość przywrócenia wszystkich serwerów domeny AD z jednego miejsca, w tym samym czasie, testowanie poprawności odtworzenia domeny, a także wykonywanie kopii zapasowej i przywracanie obiektów, a nawet ich pojedynczych atrybutów w trybie online, bez restartowania serwera. Ta funkcjonalność nie jest możliwa za pomocą standardowych narzędzi oferowanych przez Microsoft.
Bezpieczeństwo AD
Utrzymywanie środowiska AD wymaga także odpowiedniego jego zabezpieczenia. Duże ryzyko niepożądanej aktywności występuje ze strony osób, posiadających zbyt wysokie uprawnienia do obiektów AD w organizacji. Konsekwencją tych działań może być spowodowanie awarii lub niedostępności obiektów (np. kont), poprzez ich modyfikacje lub skasowanie. Pomocne może być tutaj rozwiązanie ChangeAuditor for Active Directory, które oferuje szczegółowe audytowanie oraz możliwość powiadamiania administratorów lub działów bezpieczeństwa o wykrytych incydentach w środowisku AD, dotyczących np. wprowadzonych zmian w domenie, konfiguracji lub aplikacji. W kwestii kontroli uprawnień pomocnym narzędziem jest Enterprise Reporter, który pozwala gromadzić, przechowywać i raportować dane, które są potrzebne do oceny bezpieczeństwa, analizy usług Active Directory lub przeprowadzania audytu z uwzględnieniem historycznych zmian w konfiguracji. W przypadku kiedy administracja dostępem i uprawnieniami pracowników jest dużym wyzwaniem dla banku, można skorzystać z zaawansowanego rozwiązania , które nie tylko odciąży administratorów od przyznawania uprawnień dla użytkowników, ale całkowicie je zautomatyzuje i przekaże osobom zarządzającym bezpieczeństwem banku.
Zarządzanie użytkownikami uprzywilejowanymi
Mając na uwadze bezpieczeństwo nie można zapomnieć o dostępie administracyjnym do domeny i kontrolowaniu działań realizowanych przez administratorów. Baza danych AD powinna być w sposób szczególny chroniona, a w szczególności dostęp do jej danych przy użyciu wysoko uprawnionych kont. Konta takie nazywane są kontami uprzywilejowanymi i bez odpowiednich narzędzi informatycznych są bardzo trudne do kontrolowania. Standardowe narzędzia Microsoft nie dostarczają informacji o tym, kto korzysta z danego loginu i hasła oraz w jakim celu go użył. Konta uprzywilejowane są często pozbawione jakiejkolwiek kontroli. W konsekwencji osoba posiadająca dostęp do takich kont może wyczyścić wszelkie ślady swojej aktywności w systemie. Pełny nadzór nad kontami uprzywilejowanymi dają rozwiązania z rodziny Dell One Privilege Account Management (nazywane TPAM). Zapewniają one bezpieczny „sejf” do przechowywania i zarządzania hasłami do kont uprzywilejowanych. Ponadto pozwalają na monitorowanie i rejestrowanie każdej aktywności wykonywanej za pomocą kont uprzywilejowanych.
Zarządzanie obciążeniem AD
Ważnym aspektem, na który warto również zwrócić uwagę jest rozpoznanie, jak funkcjonuje usługa AD i w jaki sposób jest wykorzystywana przez użytkowników końcowych oraz aplikacje. AD to baza danych, dlatego niezwykle trudno jest sprawdzić kto, kiedy, gdzie i skąd wykonał zapytanie oraz jak ono wyglądało. Administratorzy nie posiadają praktycznie żadnych informacji o tym, w jaki sposób aplikacje odpytują bazę AD. Pomocne może być tutaj narzędzie ChangeAuditor for AD Queries, które w czasie rzeczywistym pozwala monitorować, raportować i analizować zapytania AD. Rozwiązanie zapewnia szczegółowy wgląd w działanie i wydajność AD. Umożliwia również rejestrowanie i rozpoznawanie zapytań LDAP, które powodują obciążenie bazy AD.
Wsparcie AD – wybór czy konieczność
Współczesne banki są „przeładowane” nowymi technologiami, które ułatwiają pracę i dostarczają nowe możliwości, ale jednocześnie komplikują administratorom efektywne zarządzanie środowiskiem IT. Usługa AD pozwala wprowadzić kontrolę nad zasobami sieciowymi i zapanować nad rozbudowaną infrastrukturą informatyczną. Ale podobnie jak my nie możemy funkcjonować bez sprawnego układu nerwowego, tak samo organizacja jaką jest bank, nie będzie wydajna bez „zdrowego” i odpowiednio zarządzanego środowiska AD. Bez właściwego wsparcia efektywne i bezpieczne zarządzanie kontami oraz uprawnieniami użytkowników to misja niemożliwa do wykonania nawet dla najlepszych administratorów. Dopiero zastosowanie specjalistycznych narzędzi informatycznych, np. Dell Software, pozwala w pełni zautomatyzować i usprawnić pracę administratorów we wszystkich obszarach zarządzania AD, zapewniając bezpieczeństwo banku i jego klientów.
miesięcznik finansowy BANK, kwiecień 2015