Сегментация сети и зоны безопасности

Зона ответственности: Заказчик / Интегратор

Коротко: Printum поддерживает развёртывание в сегментированных сетях и не требует размещения всех компонентов в одном сетевом сегменте. Разделение компонентов по зонам безопасности определяется архитектурой инфраструктуры заказчика.

Требование

Система должна поддерживать эксплуатацию в инфраструктурах, использующих разделение на зоны безопасности и сетевые сегменты.

Сегментация сети позволяет ограничивать сетевое взаимодействие между компонентами и снижать последствия возможных инцидентов безопасности.

Как это реализовано в Printum

Архитектура Printum допускает размещение компонентов системы в различных сетевых сегментах.

Мониторинг и ПринтМенеджер могут размещаться в разных сегментах сети и взаимодействовать через документированные сетевые порты.

Поддерживается филиальная архитектура, при которой несколько экземпляров ПринтМенеджера располагаются в различных филиалах и взаимодействуют с централизованным Мониторингом.

Возможны различные варианты развёртывания системы, включая использование балансировщиков нагрузки, выделенных серверов приложений и распределённой инфраструктуры.

Что требуется от инфраструктуры

Определение зон безопасности, настройка межсетевых экранов, маршрутизации, DMZ и правил сетевого взаимодействия выполняются средствами инфраструктуры заказчика.

При внедрении предоставляется перечень используемых портов и схема сетевого взаимодействия компонентов системы.

Совместимость с антивирусным ПО

Атрибутный состав записи в журнале

Аудит действий администраторов

Журналы без чувствительных данных

Защита журналов от изменения и доступ к журналам

Мониторинг и анализ событий безопасности

Передача событий в SIEM

Перечень регистрируемых событий безопасности

Синхронизация времени (NTP)

Мандатное управление доступом

Профили безопасности

Хранение паролей в хэшированном и зашифрованном виде

Rootless режим контейнера

Отсутствие SUID-SGID файлов и утилит повышения привилегий

Соответствие рекомендациям CIS Benchmark

Фиксированные теги контейнерных образов

Хранение секретов в контейнерных образах

Контроль целостности ПО и конфигурационных файлов

Механизмы резервного копирования и восстановления

Использование небезопасных сетевых протоколов

Сегментация сети и зоны безопасности

Анонимный доступ запрещён

Блокировка и управление учётными записями

Доменная аутентификация и единый вход (SSO)

Идентификация и аутентификация пользователей

Парольная политика

Ролевая модель RBAC

Тайм-аут сессии и автоматическое завершение сеанса

Технические учётные записи

Использование СКЗИ и ГОСТ-криптографии

Управление сертификатами

Шифрование каналов связи

Сегментация сети и зоны безопасности

Требование

Как это реализовано в Printum

Что требуется от инфраструктуры