Управління ідентичністю - безпека для Ubuntu Server та Desktop

Сучасні підприємства функціонують у гібридному світі, де локальна інфраструктура співіснує з хмарними сервісами. Загрози безпеки еволюціонують щодня. IT-адміністратори мають підтримувати баланс: підтримувати традиційні локальні робочі процеси та впроваджувати хмарні архітектури. Ідентичність стала новим периметром безпеки, замінивши традиційні мережеві засоби захисту.

У Canonical ми розробили всебічну систему для забезпечення управління ідентичністю між Ubuntu-серверами та робочими столами, що з’єднує застарілі середовища Active Directory з сучасними постачальниками ідентичностей у хмарі.

У цій статті ми розглянемо, як система Canonical покращує безпеку управління доступом, заповнюючи прогалину між традиційними середовищами Active Directory та сучасними постачальниками ідентичностей.

Основи: локальна аутентифікація та її обмеження

Традиційно механізми аутентифікації Linux спиралися на облікові дані в локальних файлах /etc/passwd та /etc/shadow. Хоча це працює для маленьких, ізольованих розгортань, зростання масштабу стає непридатним. Ручне управління користувачами схильне до помилок і забирає багато часу. Це також створює значні вразливості в безпеці, особливо коли права доступу співробітників змінюються або користувачі залишають організацію.

Щоб захистити сучасні корпоративні системи, організації повинні перейти за межі цих ізольованих островів ідентичності. Принаймні, організації повинні мати централізовану аутентифікацію для авторитетних джерел, щоб забезпечити узгодженість незалежно від того, чи користувачі отримують доступ до десктопів, SSH-серверів чи виконують привілейовані команди.

Active Directory довгий час слугувала основним рішенням, що призвело до інтеграції всіх кінцевих точок у розширювані ліси. Проте цю практику стає важче реалізувати через обмеження безпеки Kerberos, збільшення кількості підключених пристроїв, труднощі з впровадженням багатофакторної аутентифікації (MFA) та неможливість ефективно працювати через публічний інтернет. Хоча ми активно інвестуємо в екосистему з ADsys, ми почали шукати, як перевести аутентифікацію Linux у сучасну епоху.

Перехід у хмару: модернізація аутентифікації Linux за допомогою authd

Для організацій, які приймають постачальників ідентичностей (IdPs) у хмарі, таких як Microsoft Entra ID (колишня Azure Active Directory) та Google Cloud IAM, Canonical розробила authd. Це рішення усуває історичні бар’єри, які перешкоджали інтеграції систем Linux з хмарними ідентичностями.

Authd працює на основі модульної архітектури брокера. Цей дизайн відокремлює традиційну функціональність аутентифікації у демоні від логіки інтеграції. Це дозволяє Ubuntu підтримувати одночасно кілька постачальників ідентичностей. Ключовою інновацією є впровадження нашого OAuth 2.0 Device Authorization Grant (RFC 8628). Цей процес дозволяє користувачам аутентифікуватися на окремому пристрої, наприклад, на смартфоні, що особливо корисно для безголових серверів або SSH-з’єднань, коли браузер недоступний.

За допомогою Authd ви можете:

Масштабована багатофакторна аутентифікація (MFA): на десктопах та серверах, використовуючи рідні можливості IdP.
Офлайн-доступ: кешування облікових даних дозволяє користувачам аутентифікуватися, навіть коли вони не підключені до інтернету.
Гнучкість брокера ідентичностей: адміністратори можуть встановлювати конкретні брокери як snap-пакети.
Управління привілеями: централізовано надавати або відкликати привілеї sudo на основі членства у групах IdP.
Централізований аудит та управління: події аутентифікації Ubuntu реєструються разом із вашими SaaS-застосунками.

Міст між підприємством: Ubuntu Pro та Active Directory System Services (ADSys)

Для підприємств, які глибоко інвестували в локальну інфраструктуру, ми пропонуємо Active Directory System Services (ADSys). ADSys заповнює прогалину, залишену традиційними реалізаціями System Security Services Daemon (SSSD), виступаючи повнофункціональним клієнтом Group Policy для Ubuntu.

Доступний з підпискою Ubuntu Pro, ADSys дозволяє адміністраторам керувати флотом Ubuntu з використанням тих же інструментів та робочих процесів, що й для Windows. Встановлюючи адміністративні шаблони на контролерах домену, ви можете нативно впроваджувати політики через консоль управління груповими політиками.

Ключові технічні переваги ADSys включають:

Нативна підтримка об’єктів групової політики (GPO): ми безпосередньо відображаємо Windows GPO на налаштування Ubuntu.
Управління привілеями: адміністратори можуть надавати або відкликати привілеї sudo Active Directory користувачам.
Автоматичне виконання скриптів: підтримка планування скриптів для виконання під час запуску системи.
Управління Dconf: адміністраторам дозволено блокувати налаштування робочого столу.
Управління профілями AppArmor: дозволяє впроваджувати власні профілі.
Автоматична реєстрація сертифікатів: менеджер сертифікатів дозволяє клієнтам реєстрацію сертифікатів.

Висновок

Управління ідентичністю є основним засобом контролю безпеки для сучасних розгортань Ubuntu. Незалежно від того, чи ваша інфраструктура спирається на потужні традиційні ієрархії Active Directory або швидкісні децентралізовані структури хмари, ми надаємо інструменти для підвищення безпеки.

У нашому нещодавно випущеному білому документі ми надаємо практичні шаблони та технічні специфікації для проектування, визначення та впровадження надійних контролів управління ідентичністю у вашому серверному та робочому середовищі.

Наша робота містить технічне дослідження сучасних парадигм управління ідентичністю, включаючи детальні конфігурації для управління доступом до хмарної та локальної інфраструктури Linux.

Також документ пропонує детальний аналіз переваг та етапів впровадження SSH сертифікатів для безперешкодної, аудитованої аутентифікації SSH.