Urząd Miejski w Kruszwicy
Wdrożenie rozwiązania BeyondTrust Privileged Remote Access w Urzędzie Miejskim w Kruszwicy
Opis Klienta
Kruszwica, miasto królewskie położone w II połowie XVI wieku, w 2012 roku obchodziło jubileusz 590-lecia nadania praw miejskich. Dziś jest ważnym ośrodkiem gospodarczym, handlowym i turystycznym. Miasto liczy ponad 9 tys. mieszkańców, a w całej gminie zamieszkuje ją ponad 21 tysięcy osób. Kruszwica, kojarzona najbardziej dzięki Mysiej Wieży, która stanowi pozostałości po zamku. Dzięki swojej bogatej historii, stanowi ważny punkt turystyczny na Szlaku Piastowskim.
Miasto cały czas się rozwija, inwestuje w drogi, obiekty użyteczności publicznej i turystykę, jak również stawia na rozwój społeczności. Prowadzi dotacje dla mieszkańców, wspiera ich w działaniach proekologicznych, rozwija strukturę oświatową. Gmina Kruszwica stawia na możliwość wykorzystania ekologicznych, odnawialnych źródeł energii, rozwój turystyki krajobrazowej oraz stworzenie jak najlepszych warunków do życia i rozwoju.
https://gminakruszwica.pl/
Partner
COMP S.A. stoi na czele Grupy Kapitałowej Comp, w skład której wchodzą spółki technologiczne specjalizujące się w rozwiązaniach z zakresu bezpieczeństwa IT, sieciowego i kryptografii oraz w rozwiązaniach dla handlu i usług. Wszechstronne kompetencje, 30 lat doświadczenia, własne centra R&D oraz zespół niezastąpionych ekspertów to przewagi, dzięki którym należymy do liderów rynków IT i Retail.
COMP S.A. to jeden z największych integratorów rozwiązań informatycznych w Polsce. Z powodzeniem łączy najwyższej jakości produkty własne z najlepszymi rozwiązaniami oferowanymi przez innych producentów sprzętu i oprogramowania. Posiadając unikatową wiedzę w obszarze ochrony informacji oferuje rozwiązania, których integralną częścią jest szeroko pojmowane bezpieczeństwo specjalne. Dotyczy ono zarówno rozwiązań sprzętowych i aplikacyjnych, jak i całego obszaru architektury i realizacji wdrożenia. Podstawą tworzonych przez Spółkę systemów są opracowane i produkowane własne kryptograficzne rozwiązania sprzętowe i aplikacyjne.
https://comp.com.pl
Producent
BeyondTrust to światowy lider w zakresie zarządzania dostępem przywilejowanym. Oferuje kompleksową platformę bezpieczeństwa, integrującą szereg modułów i wspomagającą zapobieganie naruszeniom. Wspiera organizacje w zakresie ochrony przywilejów dla stacji roboczych, serwerów, środowisk chmurowych, a także dla urządzeń sieciowych. BeyondTrust dostarczył swoje rozwiązania do ponad 20 000 klientów na całym świecie.
https://beyondtrust.com
Cel projektu
W toku rozmów handlowych zostały zdefiniowane 3 zagadnienia w obszarze dostępu zdalnego, które zidentyfikowano jako istotne. Zarówno z perspektywy konieczności podniesienia poziomu bezpieczeństwa, jak również podniesienia komfortu pracy. Potrzeby te zostały szczególnie uwypuklone w czasie zwiększonej częstotliwości pracy zdalnej.
Trzy nadmienione powyżej zagadnienia to:
- Dostęp do zasobów wewnętrznych dla kontraktorów (podmiotów zewnętrznych) przy zachowaniu rozliczalności i zapewnieniu odpowiedniego poziomu bezpieczeństwa,
- Współdzielenie sesji z użytkownikami końcowymi, w celu świadczenia pomocy zdalnej,
- Sprawna adaptacja mechanizmów dostępu zdalnego do dynamicznie zmieniających się warunków świadczenia pracy.
W ostatnim punkcie szczególnie istotne było umożliwienie pracownikom jednostki podłączania się, w możliwie prosty sposób, do stacji roboczych pozostawionych w biurach.
Rozwiązanie
Analizując przedstawione przez klient zagadnienia, dystrybutor dobrał rozwiązanie w taki sposób, by jego skala (a co za tym idzie wysokość inwestycji) oraz funkcjonalność, odpowiadały pokładanym w narzędziu oczekiwaniom i adresowało wszystkie krytyczne potrzeby.
Dobrane rozwiązanie to BeyondTrust Privileged Remote Access, które zapewnia kontrolę nad dostępem dostawców, kontraktorów i administratorów do krytycznej infrastruktury IT. Narzędzie umożliwia także rejestrację sesji z wykorzystaniem kont uprzywilejowanych.
Podstawowe funkcje systemu obejmują:
- kontrolę dostępu – rozwiązanie umożliwia wdrożenie zasady najmniejszego uprzywilejowania, regulując i ograniczając poziom dostępu użytkowników,
- dostęp bez VPN – architektura systemu pozwala nawiązywać w sposób bezpieczny połączenia do zasobów zdalnych, bez konieczności zestawiania tuneli VPN,
- rejestracja sesji – narzędzie zapewnia rejestrację i rozliczalność sesji z wykorzystaniem standardowych protokołów połączeniowych (RDP, VNC, HTTP/S i SSH). Podnosi również bezpieczeństwo wykorzystania kont uprzywilejowanych,
- zmniejszenie powierzchni ataku – system konsoliduje i uszczelnia procesy zatwierdzania i audytowania użycia kont uprzywilejowanych,
- zarządzanie hasłami – system pozwala na automatyczne podstawianie poświadczeń do sesji uprzywilejowanych, bez konieczności ujawniania ich operatorowi,
- audyt i raportowanie – rozwiązanie gromadzi i porządkuje informacje na temat wykorzystania kont uprzywilejowanych, a także o całym procesie wnioskowania i zatwierdzania dostępów.
Zestawiając oferowane przez narzędzie funkcje z oczekiwaniami klienta, możliwe było zaplanowanie procesu wdrożeniowego, który pozwoli na efektywne wykorzystanie systemu. Zaplanowano także modyfikację procesów dostępowych dla użytkowników rozwiązania (w tym kontraktorów) oraz przygotowano zestawy procedur ułatwiający zarządzanie zmianą oraz dodawanie nowych zasobów i nowych podmiotów.
Rezultat
W rezultacie przeprowadzonego wdrożenia nastąpiło uproszczenie procesu nawiązywania dostępu do zasobów dla wszystkich użytkowników implementowanego systemu, m.in. dzięki zastosowaniu architektury niewymagającej stosowania tuneli VPN oraz wykorzystaniu synchronizacji użytkowników z Active Directory. Dostęp do zasobów odbywa się na poziomie appliance systemu Privieleged Remote Access (PRA) z wydzieleniem i ograniczeniem widoku zasobów przez użytkownika. Oznacza to, że po zalogowaniu się do systemu PRA, użytkownik widzi wyłącznie te hosty, do których może nawiązywać połączenia.
Jednoczenie podniesiono poziom bezpieczeństwa wszystkich dostępów zdalnych poprzez zaimplementowanie:
- autentykacji dwuskładnikowej,
- szyfrowania całości komunikacji,
- nagrywania i logowania wszystkich sesji zdalnych,
- oddzielenia kontraktorów od haseł kont uprzywilejowanych,
- logowania wszystkich zdarzeń systemowych PRA,
- wymogu ręcznej akceptacji wniosków o dostęp do wybranych hostów,
- hardenowanego appliance producenckiego, będącego podstawą działania systemu PRA.
Istotne z perspektywy bezpieczeństwa było również zaimplementowanie takich mechanizmów dostępu do stacji roboczych, by uniemożliwić podłączenie serwisanta do sesji użytkownika w nieodpowiednim momencie. Sesje takie obywają się na zasadzie współdzielenia tego samego ekranu między serwisantem a użytkownikiem końcowym. Użytkownik ma wtedy możliwość przerwania sesji (wyrzucenie serwisanta) w dowolnym momencie.
Dla użytkowników pracujących z domu istotną cechą narzędzia jest możliwość stosowania konsoli WEB. Umożliwia ona zdalne połączenie do komputera pozostawionego w biurze, bez konieczności instalowania dodatkowego oprogramowania na prywatnych urządzeniach. Dla podniesienia bezpieczeństwa interakcji pomiędzy stacjami roboczymi, a komputerami prywatnymi, odebrano możliwość kopiowania plików oraz synchronizacji schowka między urządzeniem domowym i służbowym. Użyteczną funkcją w tym modelu implementacji okazała się możliwość wybudzania tak pozostawionych stacji roboczych przez LAN.
Wdrożenie zaoferowanego systemu pozwoliło zaadresować wszystkie zidentyfikowane zagadnienia. Pozwoliło także podnieść poziom bezpieczeństwa w całej infrastrukturze krytycznej, która została objęta mechanizmami charakterystycznymi dla rozwiązań PAM (Privilege Access Management). Szczególnie sprawdziło się we współpracy z podmiotami zewnętrznymi, dla których utrudnione jest wdrożenie procedur i polityk wewnętrznych. Zaimplementowane narzędzie pozwala wymusić określone procesy i zabezpieczyć dostęp wraz zagwarantowaniem rozliczalności, bez redukcji wydajności i produktywności pracowników i kontraktorów.
Komentarz klienta
Wdrożenie rozwiązania BeyondTrust Privilege Remote Access zbiegło się czasowo z dwoma innymi ważnymi dla Urzędu wdrożeniami: systemu bezpieczeństwa sieci oraz budowy zwirtualizowanego środowiska Data Center klasy HCI.
Dzięki profesjonalizmowi EMS Partner udało się uniknąć potencjalnych problemów wynikających z faktu wzajemnego oddziaływania na siebie tych wdrożeń. Współpraca przebiegała w świetnej atmosferze, a cele projektu zostały w 100% osiągnięte.
Urząd Miejski w Kruszwicy pozyskał rozwiązanie, które podniosło jego bezpieczeństwo i jednocześnie usprawniło pracę w czasie pandemii.
– Artur Przybysz, Urząd Miejski w Kruszwicy
Komentarz partnera
Zespół, z którym współpracowaliśmy zarówno po stronie producenta jak i klienta cechuje bardzo wysoki poziom profesjonalizmu i unikalnego zaangażowania w projekt. Produkty spełniają najwyższe standardy jakościowe, doskonale dostosowujące się do zmieniających się potrzeb rynkowych.
– Joanna Hermansdorfer, COMP S.A.