Изменение политики контроля учетных записей

С версии 20.41 Платформы НЕЙРОСС изменяется политика контроля учетных записей. «Облачные» учетные записи, общие для всех узлов НЕЙРОСС, заменяются на «локальные» и «технические». Учетная запись, созданная на одном узле НЕЙРОСС, может использоваться для аутентификации в интерфейсе другого узла НЕЙРОСС только после процедуры регистрации. При этом такая учетная запись становится локальной для другого узла НЕЙРОСС, независимой от своего «прообраза» и теоретически может иметь другую роль и индивидуальные права.

Общие сведения

В целях повышения киберзащищённости решения НЕЙРОСС в новых версиях продуктов изменяется подход к аутентификации пользователей на контроллерах и в серверном программном обеспечении. В том числе:

1. Аутентификация пользователей в серверном программном обеспечении осуществляется с применением современных стандартизированных протоколов и средств «посерверно», с повышенным уровнем информационной безопасности. Учётная запись, созданная на одном сервере в сети НЕЙРОСС, автоматически не позволяет получить доступ к другому серверу. Для использования учётной записи на втором сервере, администратору второго сервера необходимо явно предоставить доступ для данной учётной записи — выдать специфичные для сервера права и назначить специфичный для данного сервера пароль.
2. Аутентификация пользователей в интерфейсе контроллеров допускается:
   1. На этапе пусконаладки ­— только под одной встроенной учётной записью (root) — для полной настройки устройства.
   2. На этапе эксплуатации — только под временными учётными записями, выдаваемыми центральным сервером — только для сервисного обслуживания.

Данные изменения внедряются в продукты НЕЙРОСС постепенно, итеративно. Версии разных продуктов с данными изменениями выпускаются в разное время. При этом решение НЕЙРОСС обеспечивает максимально возможную, но всё же ограниченную обратную совместимость новых средств и старых, программного обеспечения новых и предыдущих версий для обеспечения их совместной работы, сохранения работоспособности систем при их постепенной модернизации.

В переходный период некоторые привычные функции в предыдущих версиях технических и программных средств могут перестать работать на уровне системы, либо могут быть ограничены. В частности:

1. Учётные записи, зарегистрированные в системе НЕЙРОСС, при обновлении серверного ПО остаются активны на сервере, но в определенных случаях требуют смены пароля в соответствии с установленной политикой безопасности.
2. Учётные записи, создаваемые в новых версиях серверного ПО, автоматически не могут быть использованы для доступа в интерфейс других серверов, видеорегистраторов и контроллеров. Для использования данных учётных записей на других серверах необходимо явно регистрировать их на этих серверах, назначая специфичные для сервера пароли и права доступа.
3. Учётные записи, создаваемые в новых версиях серверного ПО, автоматически распространяются на все узлы НЕЙРОСС, но как «технические» учётные записи, с «техническим» паролем. Использование данных учётных записей для настройки и эксплуатации оборудования не предполагается (под ними не удастся аутентифицироваться в интерфейсе контроллеров). Изменение такого пользователя (например, смена пароля) через интерфейс контроллера может привести к нарушению работы отдельных функций системы.

Во избежание непонимания и проблем при эксплуатации средств НЕЙРОСС в переходный период:

1. В продуктах НЕЙРОСС добавлены необходимые подсказки, предупреждения и ограничения для информирования пользователей о новых принципах работы решения.
2. В документации на продукты НЕЙРОСС приведена информация о нововведениях и приведены рекомендации по эксплуатации системы в переходный период.
3. При наличии в составе систем и нового серверного программного обеспечения, и предыдущих версий контроллеров, рекомендуется эксплуатировать последние в соответствии с новым кибербезопасным подходом:
   1. Использовать только системную учётную запись root для администрирования контроллера, установив для неё сложный пароль.
   2. Не создавать вручную новые учётные записи через интерфейс контроллера. Не модифицировать технические учётные записи, автоматически создаваемые на контроллерах со стороны нового серверного ПО для поддержки обратной совместимости.

«Локальные» и «технические» учетные записи

С версии 20.41 Платформы НЕЙРОСС «облачные» учетные записи, общие для всех узлов НЕЙРОСС, заменяются на «локальные» и «технические».

«Локальные» учетные записи используются на узлах серверного типа: Платформе НЕЙРОСС, видеорегистраторах ДеВизор, и определяют права доступа ТОЛЬКО к конкретному серверному узлу. Такая учётная запись по-прежнему синхронизируется во все другие серверные узлы автоматически в рамках процедуры синхронизации, но в этих других узлах имеет статус незарегистрированной. При необходимости авторизации на другом сервером узле под данной учетной записью её требуется вручную зарегистрировать и задать специфичный для данного узла пароль.

«Технические» учетные записи рассылаются в контроллеры, терминалы, консоли и другие узлы НЕЙРОСС на базе ARM автоматически после создания «локальной» учетной записи на сервере. «Техническая» учётная запись имеет «технический» скрытый пароль, формируемый сервером, и используется для управления узлами с сервера. Авторизация на таких узлах под учетной записью сервера невозможна, так как доступ к техническому паролю скрыт. В будущих версиях контроллеров и других узлов будет реализован механизм выдачи одноразового пароля для выполнения сервисного обслуживания. На текущий момент вход в веб-интерфейс и настройка контроллеров и других узлов на базе ARM осуществляется СТРОГО под учётной записью root.