Профили безопасности

Зона ответственности: Printum + Заказчик / Интегратор

Коротко: Printum поддерживает использование профилей безопасности SELinux для ограничения доступа компонентов системы к ресурсам операционной системы. Профили поставляются отдельно и предназначены для эксплуатации в инфраструктурах с повышенными требованиями информационной безопасности.

Требование

Система должна обеспечивать возможность ограничения доступа процессов к ресурсам операционной системы и выполнять только разрешённые действия.

Применение профилей безопасности позволяет снизить последствия ошибок конфигурации, эксплуатации уязвимостей и компрометации отдельных компонентов системы.

Как это реализовано в Printum

Для эксплуатации в защищённых контурах поставляются профили безопасности на базе SELinux.

Профили реализованы в виде SELinux-модулей и обеспечивают контроль доступа компонентов Printum к ресурсам операционной системы.

В комплект поставки входят следующие SELinux-модули:

• printum_global — общие правила безопасности для Мониторинга и ПринтМенеджера;
• printum_agent — профиль Агента Мониторинга;
• printum_m_install — профиль установки, обновления и восстановления Мониторинга;
• printum_pm_install — профиль установки, обновления и восстановления ПринтМенеджера.

Профили устанавливаются до развёртывания системы и применяются средствами SELinux.

Работа профилей предполагает использование режима SELinux Enforcing, при котором разрешены только действия, явно предусмотренные политиками безопасности.

Профили реализуют принцип минимально необходимых привилегий: компонентам Printum предоставляется доступ только к тем ресурсам операционной системы, которые требуются для их работы.

Что требуется от инфраструктуры

Для использования профилей безопасности необходимо:

• использовать операционную систему с поддержкой SELinux;
• включить SELinux;
• использовать режим Enforcing.

Установка и сопровождение профилей выполняются администраторами инфраструктуры заказчика.