Ctrl+K
Ctrl+K
Ctrl+K

Рекомендации по обеспечению безопасности

Рекомендации по обеспечению безопасности#

Соблюдение приведенных рекомендаций позволяет минимизировать риски несанкционированного доступа, компрометации данных и нарушения целостности платформы Astra Automation. Представленные рекомендации охватывают следующие ключевые аспекты:

  • сетевые ограничения;

  • аутентификацию и управление доступом;

  • журналирование и мониторинг;

  • настройку узлов;

  • безопасность соединений;

  • управление настройками системы;

  • обновление и резервное копирование.

Сетевые ограничения#

Для защиты платформы Astra Automation важно ограничить сетевой доступ, оставив только необходимые сервисы. Следующие рекомендации помогут снизить риск несанкционированного доступа и потенциальных атак на уязвимые службы:

  • Оставьте открытыми для входящих подключений только необходимые порты TCP:

    Порт

    Назначение

    Узлы

    22

    Подключение по SSH

    Все узлы

    27199

    Подключение узлов плоскости исполнения к промежуточным и исполняющим узлам

    Automation Controller

    443

    Подключение по протоколу HTTPS

    • Automation Controller

    • Private Automation Hub

    • Контроллер Event-Driven Ansible

    5432

    Подключение к СУБД PostgreSQL

    • Automation Controller

    • Private Automation Hub

    • Контроллер Event-Driven Ansible

    • СУБД PostgreSQL

  • Разрешите доступ к СУБД PostgreSQL только для тех узлов Astra Automation, которым необходимо работать с базами данных.

  • Ограничьте прямой доступ по SSH к узлам Astra Automation.

  • Разрешите HTTPS-доступ к компонентам системы только из доверенных сетей.

Аутентификация и управление доступом#

Чтобы минимизировать риски компрометации учетных данных и защитить критические компоненты платформы Astra Automation от несанкционированного доступа, воспользуйтесь следующими рекомендациями:

  • Используйте внешнюю аутентификацию (SSO/LDAPS) для всех учетных записей, включая сервисные. Рекомендуется оставить только одну локальную учетную запись администратора, например, admin, на случай аварий и недоступности SSO.

  • Минимизируйте круг лиц с правами администратора.

  • Разграничьте учетные данные для администраторов и автоматизации.

  • Внедрите разноуровневые ключи и доступы для выполнения наборов сценариев с разными привилегиями.

Журналирование и мониторинг#

Следующие рекомендации помогают оперативно выявлять и предотвращать инциденты, угрожающие безопасности системы:

  • Используйте параметр no_log в местах, где обрабатываются конфиденциальные данные.

  • Настройте централизованный сбор журналов.

  • Используйте криптографически подписанные инструменты ведения журналов, чтобы защитить их от подмены и модификации.

  • Обеспечьте регистрацию всех пользовательских сессий.

Настройка узлов#

Следующие рекомендации помогут вам настроить узлы Astra Automation таким образом, чтобы минимизировать риски эксплуатации уязвимостей:

  • Настройте узлы с помощью коллекции astra.hardening.

  • Исключите запуск дополнительных сервисов на узлах Astra Automation.

  • Совершайте развертывание платформы с выделенного сервера, который имеет доступ ко всем узлам контролера и будет работать далее для обслуживания с помощью aa-setup (обновление, резервное копирование). Доступ к этому узлу должен быть ограничен.

Безопасность соединений#

Следующие рекомендации помогут защитить передаваемые данные от перехвата и несанкционированного доступа, обеспечив целостность и конфиденциальность информации:

  • Включите SSL для защиты подключений к СУБД PostgreSQL, добавив в инвентарь установщика платформы следующие переменные:

    [all:vars]
pg_sslmod=verify-full
postgres_use_ssl=true

    all:
  vars:
    pg_sslmod: verify-full
    postgres_use_ssl: true

  • Обеспечьте обязательное использование HTTPS, добавив в инвентарь установщика платформы следующие переменные:

    [all:vars]
automationedacontroller_disable_https=false
automationhub_disable_https=false
nginx_disable_https=false

    all:
  vars:
    automationedacontroller_disable_https: false
    automationhub_disable_https: false
    nginx_disable_https: false

  • Используйте собственную инфраструктуру управления ключами (PKI, Public Key Infrastructure) для управления сертификатами и публичными ключами.

Управление настройками системы#

Автоматизация управления настройками с использованием следующих рекомендаций позволит поддерживать целостность и защищенность среды Astra Automation:

  • Применяйте подход Infrastructure-as-Code (IaC) для развертывания платформы.

  • Используйте подход Configuration-as-Code (CaC) для управления настройками платформы.

  • Используйте внешние хранилища для хранения учетных данных.

  • При запуске aa-setup используйте аргумент --ask-vault-pass для защиты конфиденциальных данных.

Обновления и резервное копирование#

Следующие рекомендации позволят вам поддерживать актуальность программного обеспечения и минимизировать риски утраты данных в случае инцидентов или сбоев:

  • Переходите не более чем на две основные версии за раз.

  • Настройте регулярное резервное копирование.

  • Храните резервные копии в надежном месте.

Содержание