CloudPub 3.0 - Бастион, аудит и двухфакторная аутентификация
Представляем CloudPub 3.0 - крупнейшее обновление за всю историю проекта. В этом релизе мы сфокусировались на корпоративной безопасности, аудите и удобстве упр�авления доступом.
Новые возможности
- Бастион для RDP и VNC - централизованный доступ к удалённым рабочим столам с записью сеансов
- Двухфакторная аутентификация - защита с помощью TOTP (Google Authenticator, Яндекс Ключ)
- Система аудита - детальное логирование всех операций пользователей
- Группы - назначение правил фильтрации трафика для пользователей и публикаций
- Учётные данные - централизованное хранение паролей с шифрованием
Бастион для RDP и VNC
Главная новинка версии - функция бастиона для централизованного доступа к удалённым рабочим столам. Теперь вы можете публиковать RDP и VNC серверы с полным контролем подключений.
Чем бастион �отличается от обычного TCP туннеля
| Функция | Бастион | TCP туннель |
|---|---|---|
| Запись сеансов | Да | Нет |
| Аудит действий | Детальный | Только подключения |
| Учётные данные | Централизованные | Передаются клиенту |
| Двухфакторная аутентификация | Да | Нет |
Публикация RDP сервера стала ещё проще:
clo publish rdp 3389 --name "Рабочий компьютер"
Записи сеансов хранятся в формате MWRM и автоматически конвертируются в MP4 для просмотра и скачивания. Это позволяет проводить расследования инцидентов и контролировать действия пользователей на критически важных системах.
Двухфакторная аутентификация
В версии 3.0 появилась полноценная поддержка двухфакторной аутентификации на основе TOTP. Поддерживаются популярные приложения-аутентификаторы:
После включения 2FA вам будут выданы резервные коды для восстановления доступа в случае потери устройства. 2FA работает как при входе в личный кабинет, так и при подключении к RDP/VNC серверам через бастион.
Преимущества 2FA
- Защита от взлома - даже при утечке пароля злоумышленник не сможет войти
- Контроль доступа - вы узнаете о попытке входа
- Соответствие стандартам - для критически важных систем 2FA часто обязательна
Система аудита
Новая система аудита автоматически фиксирует все важные события в CloudPub.
Отслеживаемые операции
Операции с данными:
- Создание, изменение и удаление объектов
- Все изменения настроек
Аутентификация:
- Успешные и неудачные попытки входа
- Выход из системы
Подключения:
- Подключения к серверам через бастион
- Ошибки подключения
- Отключения с указанием длительности сеанса
Каждая запись аудита содержит время, пользователя, IP-адрес, User Agent и детали операции. Поддерживается полнотекстовый поиск с морфологией русского языка.
Разграничение доступа
- Суперпользователи видят все записи аудита
- Руководители команд видят записи своих коллег
- Обычные пользователи видят только свои записи
Группы
Группы - это инструмент для централизованного управления правилами фильтрации трафика. С их помощью вы можете связать пользователей, публикации и правила фильтрации в единую конфигурацию.
Как это работает
Группа объединяет три сущности:
- Пользователи - кому применяются правила
- Публикации - к каким сервисам применяются правила
- Правила фильтрации - что разрешено или запрещено
Когда пользователь из группы обращается к публикации из этой же группы, к его трафику применяются правила фильтрации группы.
Пример: геоблокировка для подрядчиков
Название: Доступ только из России
Пользователи: contractor1@partner.com, contractor2@partner.com
Публикации: internal-api, admin-panel
Правила фильтрации:
- Запретить: geo.code != "RU"
Такая настройка разрешит подрядчикам доступ к внутренним сервисам только с российских IP-адресов.
Учётные данные
Новый раздел "Учётные записи" позволяет централизованно хранить логины и пароли для подключения к RDP/VNC серверам. Поддерживаются типы:
- Логин и пароль
- Логин, пароль и домен (для Windows AD)
- Логин и ключевая пара (для SSH)
Все пароли хранятся в зашифрованном виде. Для максимальной безопасности мы рекомендуем вводить учётные данные при каждом подключении, не сохраняя их на сервере.
Другие улучшения
- Вход по имени пользователя - теперь можно входить не только по email
- Валидация email и телефона - подтверждение контактных данных
- Триграммный поиск - быстрый поиск в логах и аудите
- Пользовательские страницы ошибок - для On-Premise установок
- Обновлённый интерфейс с улучшенной локализацией
- Оптимизированная производительность базы данных