Использование TLS
Рекомендуется запретить небезопасные подключения к Серверу администрирования. Например, при настройке Сервера администрирования, рекомендуется не включать подключения по HTTP-протоколу к Серверу администрирования.
Обратите внимание, что по умолчанию часть HTTP-портов Сервера администрирования закрыта. Оставшийся порт используется Веб-сервером Kaspersky Security Center (8060). Этот порт можно ограничить параметрами сетевого экрана устройства с Сервером администрирования.
Строгие параметры TLS
Рекомендуется использовать протокол TLS версии 1.2 или выше и ограничить или запретить использование небезопасных алгоритмов шифрования.
Вы можете настроить протоколы шифрования (TLS), используемые Сервером администрирования. При этом учитывайте, что на момент выпуска определенной версии Сервера администрирования параметры протокола шифрования по умолчанию настроены так, чтобы обеспечить безопасную передачу данных.
Ограничение доступа к базе данных Сервера администрирования
Рекомендуется ограничить доступ к базе данных Сервера администрирования. Например, вы можете разрешить доступ только с устройства с Сервером администрирования. Это позволит снизить вероятность взлома базы Сервера администрирования данных через известные уязвимости.
Вы можете настроить параметры в соответствии с руководством по эксплуатации используемой базы данных, а также предусмотреть закрытые порты на сетевых экранах.
Безопасность взаимодействия с внешней СУБД
Если СУБД устанавливается на отдельном устройстве при установке Сервера администрирования (внешняя СУБД), рекомендуется настроить параметры безопасного взаимодействия и аутентификацию с этой СУБД. Для получения дополнительной информации о настройке SSL-аутентификации см. Аутентификация сервера PostgreSQL и Сценарий: аутентификация сервера MySQL.
Настройка списка разрешенных IP-адресов для подключения к Серверу администрирования
По умолчанию пользователи Kaspersky Security Center Linux могут войти в Kaspersky Security Center Linux с любого устройства, на котором установлено приложение Kaspersky Security Center Web Console или приложение OpenAPI. Настроить Сервер администрирования можно таким образом, чтобы пользователи могли подключаться к нему только с устройств с разрешенными IP-адресами. Например, если злоумышленники попытаются подключиться к Kaspersky Security Center Linux через Сервер Kaspersky Security Center Web Console, установленный на устройстве, которое не включено в список разрешенных, они не смогут войти в Kaspersky Security Center Linux.
Настройка списка разрешенных IP-адресов для подключения к Kaspersky Security Center Web Console
По умолчанию пользователи Kaspersky Security Center Linux могут подключаться к Kaspersky Security Center Web Console с любого устройства. На устройстве с Kaspersky Security Center Web Console необходимо настроить сетевой экран (встроенный в операционную систему или сторонний) таким образом, чтобы пользователи могли подключаться к Kaspersky Security Center Web Console только с разрешенных IP-адресов.
Безопасное подключение к контроллеру домена во время опроса
Чтобы опросить контроллер домена, Сервер администрирования или точка распространения с операционной системой Linux пытается подключиться к этому домену через LDAP. По умолчанию проверка сертификата при подключении не требуется. Чтобы принудительно включить проверку сертификата, нужно установить для флага KLNAG_LDAP_TLS_REQCERT значение 1. Вы также можете указать путь к сертификату от аккредитованного центра сертификации (CA) для доступа к цепочке сертификатов, используя флаг KLNAG_LDAP_SSL_CACERT.