Как защитить корпоративные данные: 5 правил безопасного управления паролями и доступами
Многие компании, где нет выделенной роли, занимающейся безопасностью, сталкиваются с проблемами неорганизованного подхода к управлению доступами и хранению паролей. Часто случаются ситуации, когда уволенные сотрудники годами сохраняют доступ к чувствительной информации, ключевые сервисы привязываются к личным аккаунтам сотрудников, а боты создаются с их личных учетных записей. Нередки случаи, когда нужно внести изменения, но никто не знает, у кого есть доступ.
Всего этого можно избежать, следуя нескольким простым правилам. В этой статье я опишу подход к организации доступов, который мы используем в Хекслете уже много лет. Он хорошо работает в компании нашего размера (около 80 человек). Изначально это была внутренняя инструкция, но материал оказался полезным и универсальным, и потому превратился в статью.
Менеджмент паролей
Используйте менеджеры паролей с поддержкой команд (корпоративного доступа) для хранения всех корпоративных паролей. Это позволяет:
- Генерировать сложные пароли, которые не нужно запоминать.
- Избежать хранения паролей в текстовых документах или личных менеджерах сотрудников.
- Централизовать управление доступами и гарантировать, что пароли доступны только тем, кому нужно.
- Легко делиться паролями между членами команды и контролировать, кто имеет доступ к каким сервисам.
- Следить за безопасностью: продвинутые менеджеры указывают на слабые или скомпрометированные пароли, рекомендуют включить двухфакторную аутентификацию и обновлять старые пароли.
Многие такие сервисы работают по принципу создания хранилищ (vaults), к которым раздаются доступы разным группам пользователей. Это позволяет легко разделять доступы между подразделениями или уровнями управления.
Если вы можете использовать зарубежные сервисы, отличным вариантом является Bitwarden, к тому же он имеет открытый код. Для крупных компаний имеет смысл поставить продвинутую версию Vaultwarden на собственный сервер. Если покупка зарубежных сервисов недоступна, существуют отечественные решения, которые можно найти через поиск.
Небольшое отступление. На момент написания этой статьи, к нашему большому удивлению, ни один из российских сервисов не предоставляет двухфакторной аутентификации в облачной версии, только в коробке. Из-за этого мы на них пока не мигрируем, хотя хотели бы.
У этой схемы возможны варианты. Например мы используем 1Password и заводить туда всех сотрудников достаточно дорого. Поэтому внутри менеджера заведены ключевые люди и руководители направлений. При необходимости они дают доступы сотрудникам к нужным сервисам, а они уже в свою очередь хранят их в своих хранилищах, по крайней мере, я на это надеюсь :) Поэтому имеет смысл рекомендовать сотрудникам использовать менеджеры паролей и для себя тоже. Тем более они сейчас из коробки есть в большинстве экосистем, а не только в браузерах.
Чеклист для менеджмента паролей
Плохо:
- Пароли хранятся у сотрудников, которые регистрируют сервисы.
- Пароли передаются через чаты, например, "скиньте в личку пароль от...".
- Пароли хранятся в таблицах (Google Docs, Yandex Disk и т.д.).
Хорошо:
- Пароли сервисов сразу заносятся в корпоративный менеджер паролей.
- При необходимости сотрудники ищут пароли в хранилище.
Корпоративная почта
Для работы используйте корпоративную почту, предоставляемую сервисом вроде Яндекс 360. Это решение значительно повышает безопасность: сотрудники автоматически получают доступ к сервисам с поддержкой SSO, что упрощает добавление в корпоративные чаты и сервисы. С помощью таких сервисов можно принудительно включить двухфакторную аутентификацию для всех пользователей.
При увольнении сотрудника его корпоративный аккаунт блокируется, что автоматически закрывает доступ к сервисам, работающим через SSO (например, Яндекс Диск или Google Drive).
Даже там где SSO нет или не куплен соответствующий тариф (а они бывают дорогими), по возможности нужно регистрироваться на корпоративную почту. Исключение составляют сервисы, где люди сидят из под своих аккаунтов. К ним, например, относятся социальные сети. Там в управление группами и каналами стандартной практикой является добавление сотрудников через личные аккаунты.
Группы (Списки рассылки)
У сервисов предоставляющих такую почту есть еще одна вещь, которая нам пригодится в для управления доступами. Речь идет про списки рассылки, их еще называют группами.
Работает это так. В сервисе создается список рассылки, которому задается имя (как email) и затем в нее добавляются пользователи. Письма отправленные на этот email, автоматически уходят всем, кто входит в эту группу. Важно, что этот email не является полноценным ящиком, в него нельзя “зайти”.
Чеклист для корпоративной почты
Плохо:
- Сотрудники используют личные почтовые ящики для рабочих коммуникаций.
- Доступ к корпоративной почте сохраняется после увольнения сотрудника.
- Отсутствует централизованная система управления корпоративными аккаунтами.
Хорошо:
- Используется централизованная система управления аккаунтами.
- Каждый сотрудник имеет корпоративный почтовый ящик.
- При увольнении доступ к почте и сервисам блокируется автоматически.
Разделение личных и корпоративных аккаунтов
Многие сервисы, используемые в работе (мессенджеры, облачные хранилища), также популярны в личном использовании. Это приводит к неудобствам: постоянное переключение между аккаунтами, риск перепутать учетные записи и отправить конфиденциальную информацию не тем людям.
Чтобы избежать этого, используйте профили браузера. Создайте личный и рабочий профили, в каждом из которых будут свои учетные записи, доступы и окружение.
Профилей может быть и больше двух. Например у меня есть профиль под каждую организацию, в которой я принимаю то или иное участие.
Чеклист для разделения аккаунтов
Плохо:
- Постоянное переключение между учетными записями.
Хорошо:
- Настроенные рабочие и личные профили в браузере, разделяющие доступы.
Мастер-аккаунты
Регистрация в любых сервисах нужно стандартизировать иначе владельцами аккаунтов будут оказываться произвольные сотрудники с полными доступами ко всему, включая биллинг, возможности удаления аккаунта и доступу после увольнения.
Главное правило: регистрация должна выполняться на специальный ящик, который принадлежит не конкретным людям, а создан исключительно для мастер-аккаунтов. Доступ к нему есть только у ограниченного круга лиц, обычно, это кто-то из топов. Именно они выполняют регистрацию в новых сервисах, а не линейные сотрудники.
Вместо реального ящика, для этого можно создать список рассылки. У себя мы используем специальную рассылку (группу), в которую входят только несколько самых доверенных лиц.
Чеклист для мастер-аккаунтов
Плохо:
- Сотрудники регистрируют новые сервисы самостоятельно.
- Аккаунты регистрируются на личные или корпоративные почты конкретных людей.
Хорошо:
- Новые аккаунты регистрируются руководителями.
- Регистрация производится на специально созданный для этого ящик или список рассылки.
Командный доступ
Использование мастер-аккаунта важно, но недостаточно для обеспечения полной безопасности. Если давать доступ к сервисам через мастер-аккаунт, то любой сотрудник будет иметь административный доступ к сервису и возможность заходить в него после увольнения. Частично это можно решить сменой пароля, но честно говоря, постоянно менять пароль во всех сервисах после увольнений это то еще занятие (никто так не делает).
На этом этапе есть развилка. Многие сервисы не поддерживают понятия “команда”, поэтому там не остается другого выхода, как давать доступ к сервису через мастер аккаунт.
Другие же поддерживают и в этих сервисах можно добавлять сотрудников в команду с нужным уровнем доступа без мастер-аккаунта. Если это возможно, то обязательно делайте именно так. Для исключения сотрудника из сервиса будет достаточно его отключить. Плюс он не сможет случайно или специально сделать что-то потенциально опасное, так как его права в системе будут ограничены.
С командами тоже бывает не просто, когда сервис снимает деньги за количество сотрудников или не дает добавить их на текущем тарифе больше определенного числа. Глобально я за то, чтобы платить, но бывают ситуации, когда сервисом пользуется немало людей в компании, но крайне эпизодически. В таком случае можно завести второй ящик или список рассылки, предназначенный для использования всеми сотрудниками и добавить его как человека в команду на нужном сервисе. Мастер-аккаунт же снова останется в безопасности.
Чеклист для командного доступа
Плохо:
- Сотрудники пользуются сервисом через мастер-аккаунт.
- У сотрудников есть доступ к мастер-аккаунту, даже при наличии своего аккаунта.
Хорошо:
- Сотрудники не имеют доступа к мастер-аккаунту.
- Вход на сервисы осуществляется по своей, в идеале, корпоративной почте.
Общие мысли
Кто за этим всем будет следить? В относительно небольших компаниях, вполне нормально что все это делают фаундеры. К этому же процессу можно подключить HR если он у вас есть. В крупных же компаниях, для этого есть специальные люди и даже подразделения. Но там и без этой статьи все делают как надо :)
Что бы вы еще добавили? Поделитесь своим опытом.
По парольным менеджерам в РФ с зарубежными сейчас сложно.
А из российских есть всего ОдинКлюч, Пассворк, Тимду и Беарпасс.
А так, действительно, классный инструмент, как с точки зрения кибербеза, так и по удобству
Мы наткнулись на то, что российские в облаке не предоставляют 2fa, только в коробке