Перейти к основному содержимому

Обновление 6.3.0 (20.10.2021)

Основная информация

Обновление 6.3.0 сосредоточено вокруг функционала, направленного на повышение информационной безопасности системы и контроля над ней. Изменения ИБ коснулись многих подсистем, но в большей мере затронули управление пользователями и паролями, администрирование и авторизацию.

Дополнительно, в рамках обновления введено публичное API для работы с Заказными отчетами SLA, а также реализованы некоторые небольшие доработки и исправлены некоторые старые баги.

Информационная безопасность

Основные хайлайты обновления связаны с информационной безопасностью и затрагивают, в основном, функционал управления пользователями и их данными. Для конфигурации безопасности пространства на желаемом уровне, введены политики пользовательской безопасности в административной панели, рядом с политиками управления рабочими группами. Проведено обновление некоторых функций Авторизации и добавлен интерфейс вывода логов пользователей и КЕ.

Пользователи

Изменения, коснувшиеся пользователей и управление ими:

  • Изменение минимальных требований к сложности пароля – теперь любой новый пароль должен содержать буквы латинского алфавита, цифры и спец. символы, а длина должна быть не менее 10 символов, когда пароль предоставляется пользователю посредством почты, и не менее 6, когда пользователь меняет его самостоятельно.
  • Еще одним требованием к паролю стала смена при первой авторизации в пространстве – данное действие необходимо для того, чтобы отправка первичного пароля по почте не смогла скомпрометировать учетную запись.
  • В карточку пользователя в разделе управления пользователями и Профиль добавлена возможность просмотра всех активных сессий пользователя. При необходимости, пользователь самостоятельно или с помощью Администратора может завершить все ненужные или подозрительные сессии.
  • Изменение коснулось также и самих Администраторов – теперь Администраторы не могут менять пароль самим себе через Административную панель, как обычным пользователям – оставлена возможность с мены пароля только через Профиль, с подтверждением текущего пароля.

Политики

Для автоматизации управления паролями пользователей, а также для возможности автоматической блокировки учетных записей в случае их утечки, в Административной панели появились настраиваемые политики пользовательской безопасности. Политики не являются обязательными и могут быть активированы или деактивированы для пространства в любой момент. Политики включают в себя:

  • Настройку автоматической блокировки профиля пользователя при нескольких неудачных попытках аутентификации.
  • Настройку блокировки пользователя при длительном отсутствии успешных попыток аутентификации.
  • Настройку максимального времени действия пароля – срока, по истечении которого пользователю придется поменять пароль, чтобы войти в систему.
  • Настройку допустимой частоты изменения пароля.
  • Настройку количества хранимых парольных хэшей для исключения случаев использования уже старых паролей.
  • Настройку допустимого времени бездействия пользователя, по истечении которого пользователь будет разлогинен, если не совершал в в интерфейсе никаких действий.

Изображение

Администраторы пространства

Для ограничения контроля над составом списка Администраторов и уменьшения рисков несанкционированного доступа к нему, рабочая группа Администраторов пространства вынесена из общего списка в Административную панель.

  • Административная группа использует тот же функционал в части управления пользователями и ролями, что и обычные рабочие группы, однако лишена Внешних ресурсов и Рассылок за ненадобностью. Ролевая модель Администраторов полностью отличается от таковой для пользователей и учитывает только разделы, находящиеся в Административной панели. При необходимости, для Администраторов можно настроить несколько отдельных ролей, ответственных за собственные блоки администрирования.

Изображение

Авторизация

  • В подсистеме авторизации с обновлением 6.3.0 появилась поддержка внешних провайдеров аутентификации – теперь в систему можно подключить внешний провайдер, например, Google или Facebook и использовать их для авторизации. Однако, данный механизм пока введен в тестовом режиме и не обладает интерфейсом, поэтому подключение провайдера может потребовать от Администратора доступа к базе данных monq.

  • Данная возможность повлекла за собой настройку разрешенных провайдеров для отдельных пользователей – Администратор может запретить пользователю использовать те или иные провайдеры, подключенные в данный момент к пространству и оставить только возможность аутентификации по логину и паролю, или наоборот – разрешить использовать только внешние провайдеры, заблокировав возможность входа в пространство по email.

  • Эти изменения, в совокупности с изменениями минимальных требований безопасности к паролям, были учтены на экране Авторизации, в том числе в ошибках, которые теперь явно выводятся на форме.

Логирование

Для повышения контроля над действиями пользователей и основными объектами системы – КЕ, в интерфейс добавлены экраны просмотра журналов событий этих объектов.

В Административной панели, в разделе «Пользователи» появилась вкладка «История действий» – полноценный журнал логов со всеми операциями, связанными с пользователями:

  • Создание, удаление, изменение пользователей
  • Попытки аутентификации и окончание сессий
  • Изменения рабочих групп и ролей пользователя

На экране Администратор может просмотреть всю историю пользователя от его создания до удаления.

Изображение

Журнал РСМ, в отличие от истории пользователей, доступен и рядовым пользователям – в основном меню, в блоке РСМ, появился раздел «Журнал». Журнал изменений КЕ хранит события:

  • Создания, удаления, изменения КЕ
  • Создания, удаления, изменения связей между КЕ

Изображение

Оба экрана логирования обладают фильтром по времени, поисковой строкой и сортировкой для более удобного просмотра логов.

Заказные отчеты SLA

Немаловажным функционалом в текущем обновлении, но не связанным с информационной безопасностью, стали Заказные отчеты SLA. Заказные отчеты требуют большего времени для формирования, поэтому генерируются для пользователя в асинхронном режиме по запросу.

В этой версии функционал доступен только через публичный API, но уже обладает основными функциями:

  • Пользователь может получить список доступных для него шаблонов отчетов.
  • Пользователь может заказать отчет по доступному шаблону.
  • Пользователь может получить заказанный отчет.

Дополнительно предусмотрена возможность выбора формата, в котором пользователь получит отчет. Заказной отчет по шаблонам доступности формирует отчет только по событиям (не по КЕ).

Прочее

В обновление также попало несколько небольших доработок:

  • Блок редактирования рабочих групп пользователя в его карточке в Админ. панели адаптирован для работы с Мультиролями.
  • Названия РГ в списке рабочих групп профиля сделаны интерактивными – теперь это ссылки, ведущие на соответствующие группы.
  • Обновлен механизм проверки работы лицензии – теперь, при временных сбоях, окончании срока действия лицензии или её восстановлении через интерфейс, статус лицензии обновляется мгновенно.

Работа над ошибками

  • В связи с обновлением парольных политик, унифицированы механизмы проверки вводимых паролей, что устранило ошибку в профиле, при которой не происходила проверка на сложность пароля.
  • Ввод текущего пароля в профиле пользователя более не требует его валидности по новым правилам.
  • На системном агенте monq теперь запрещено выполнять команды shell.
  • Исправлен фильтр полей событий, поступающих из Zabbix, имеющих заглавные буквы.
  • Исправлена пустая .xlsx-выгрузка на экране Первичных событий.
  • Доработано автопостроение РСМ в части автомиграции. Теперь при изменении связей учитываются события типа DrsVmMigratedEvent.
  • Исправлена расшарка прав для всех рабочих групп в Потоках данных.