Политики безопасности в UniFi Identity
Настройка политик аутентификации, условного доступа, защиты паролей и соответствия требованиям безопасности для защиты корпоративных ресурсов.
Обзор политик безопасности
Политики безопасности в UniFi Identity позволяют централизованно управлять правилами доступа пользователей к корпоративным ресурсам. Они определяют, как пользователи аутентифицируются, какие дополнительные проверки проходят, и при каких условиях получают доступ.
UniFi Identity следует принципу Zero Trust — «никогда не доверяй, всегда проверяй». Каждый запрос доступа оценивается индивидуально с учётом контекста: пользователь, устройство, местоположение, время и уровень риска.
Типы политик
| Тип политики | Описание |
|---|---|
| Политики паролей | Требования к сложности, срок действия, история паролей |
| MFA политики | Обязательность второго фактора, разрешённые методы |
| Политики сессий | Время жизни сессии, повторная аутентификация |
| Условный доступ | Ограничения по местоположению, устройству, времени |
| Доверие устройствам | Проверка соответствия устройств требованиям |
| Сетевые политики | Доступ к WiFi, VLAN назначение, RADIUS |
Иерархия политик
Политики применяются в определённом порядке приоритета:
- Политики организации — применяются ко всем пользователям по умолчанию
- Политики группы — переопределяют организационные для участников группы
- Индивидуальные политики — высший приоритет, применяются к конкретному пользователю
Политики паролей
Политики паролей определяют требования к созданию и управлению паролями пользователей. Настраиваются в разделе Security → Password Policy.
Параметры политики паролей
Сложность пароля
| Минимальная длина | 8-128 символов (рекомендуется: 12+) |
| Заглавные буквы | Обязательно / Не обязательно |
| Строчные буквы | Обязательно / Не обязательно |
| Цифры | Обязательно / Не обязательно |
| Спецсимволы | Обязательно / Не обязательно |
Жизненный цикл
| Срок действия | 30-365 дней или без срока |
| Предупреждение | За N дней до истечения |
| История паролей | Запрет использования N последних |
| Min. время между сменами | Предотвращает быструю смену |
Защита от атак
| Блокировка после N попыток | 3-10 неудачных попыток |
| Длительность блокировки | 5-60 минут или до разблокировки админом |
| Проверка утечек | Сверка с базами скомпрометированных паролей |
Настройка политики паролей
- Откройте настройки безопасности
В Identity Hub перейдите в Security → Password Policy - Настройте требования к сложности
Рекомендуемые настройки для бизнеса:- Минимальная длина: 12 символов
- Требовать: заглавные + строчные + цифры
- Спецсимволы: опционально
- Проверка утечек: включено
- Настройте жизненный цикл
- Срок действия: 90 дней
- Предупреждение: за 14 дней
- История паролей: 12 последних
- Настройте защиту от атак
- Блокировка после: 5 неудачных попыток
- Длительность блокировки: 15 минут
NIST рекомендует длинные пароли (passphrase) вместо сложных коротких. Фраза "корректная лошадь батарея скобка" запоминается легче и безопаснее, чем "P@ssw0rd123!".
Многофакторная аутентификация (MFA)
MFA значительно повышает безопасность, требуя дополнительное подтверждение личности помимо пароля. UniFi Identity поддерживает несколько методов MFA.
Поддерживаемые методы MFA
| Метод | Описание | Безопасность |
|---|---|---|
| Authenticator App (TOTP) | Google Authenticator, Microsoft Authenticator, 1Password, Authy | Высокая |
| Hardware Security Key | YubiKey, Google Titan и другие FIDO2/WebAuthn ключи | Максимальная |
| Push Notification | Уведомление в Identity Endpoint App с подтверждением | Высокая |
| Email OTP | Одноразовый код отправляется на email | Средняя |
| SMS OTP | Одноразовый код по SMS (не рекомендуется) | Низкая |
Настройка политики MFA
- Откройте настройки MFA
Перейдите в Security → Multi-Factor Authentication - Выберите режим MFA
- Optional — пользователи могут включить MFA по желанию
- Required for admins — MFA обязательна только для администраторов
- Required for all — MFA обязательна для всех пользователей (рекомендуется)
- Разрешите методы MFA
Выберите, какие методы MFA могут использовать пользователи - Настройте grace period
Дайте пользователям время на настройку MFA после включения политики: 7-14 дней — рекомендуемый период
SMS OTP уязвим к SIM-swapping атакам и перехвату. NIST не рекомендует использовать SMS для MFA. Отдавайте предпочтение TOTP, Push или Hardware ключам.
Условный доступ
Политики условного доступа позволяют применять дополнительные требования или ограничения на основе контекста запроса: местоположения, устройства, приложения, времени и уровня риска.
Компоненты условного доступа
Условия (IF):
- Пользователь/Группа
- Приложение
- Местоположение
- Устройство
- Время
- Уровень риска
Действия (THEN):
- Разрешить доступ
- Требовать MFA
- Требовать доверенное устройство
- Заблокировать
Примеры политик условного доступа
| Политика | Условие (IF) | Действие (THEN) |
|---|---|---|
| Блокировка по геолокации | Вход из страны вне списка разрешённых | Заблокировать доступ |
| MFA для внешних сетей | Вход НЕ из корпоративной сети | Требовать MFA |
| Доверенные устройства для админов | Пользователь — администратор И устройство не управляемое | Заблокировать доступ |
| Ограничение по времени | Вход в нерабочее время (22:00-06:00) | Требовать MFA + отправить уведомление |
Создание политики условного доступа
- Откройте раздел политик — Security → Conditional Access → Create Policy
- Задайте условия — выберите, к кому и при каких обстоятельствах применяется политика
- Определите действие — укажите, что происходит при выполнении условий
- Включите в режиме "Report-only" — сначала протестируйте политику без блокировки пользователей
Политики сессий
Политики сессий контролируют время жизни аутентифицированных сессий и требования к повторной аутентификации.
Параметры сессий
| Параметр | Описание | Рекомендация |
|---|---|---|
| Session Timeout | Время неактивности до автоматического выхода | 15-60 минут |
| Max Session Duration | Максимальное время сессии независимо от активности | 8-24 часа |
| Persistent Sessions | Запоминание входа при закрытии браузера | Отключить для критичных приложений |
| Concurrent Sessions | Разрешить одновременный вход с нескольких устройств | Ограничить 3-5 устройствами |
| Re-authentication Interval | Как часто требовать повторный ввод пароля/MFA | Каждые 24 часа для sensitive ресурсов |
Step-up аутентификация
Для особо чувствительных действий можно требовать дополнительную аутентификацию, даже если пользователь уже вошёл в систему:
- Изменение пароля → Требовать текущий пароль
- Изменение MFA → Требовать MFA + пароль
- Доступ к финансовым данным → Требовать MFA каждые 15 мин
- Административные действия → Требовать Hardware Key
Доверие устройствам
Device Trust позволяет ограничить доступ к ресурсам только с устройств, соответствующих корпоративным требованиям безопасности.
Уровни доверия устройств
| Уровень | Описание | Требования |
|---|---|---|
| Managed | Управляемое устройство | Зарегистрировано в MDM, Identity Endpoint App установлен, политики MDM применены |
| Compliant | Соответствующее устройство | Managed + обновления ОС установлены, антивирус активен, шифрование диска включено |
| Unknown | Неизвестное устройство | Нет Identity Endpoint App, не зарегистрировано, BYOD без проверки |
Требования соответствия
Вы можете определить требования, которым должно соответствовать устройство для получения статуса "Compliant":
Операционная система:
- Windows 10/11 с последними обновлениями
- macOS 12+ с обновлениями безопасности
- iOS 15+ / Android 12+
Безопасность:
- Шифрование диска (BitLocker/FileVault)
- Firewall включён
- Антивирус активен и обновлён
- Блокировка экрана настроена
Конфигурация:
- Jailbreak/Root не обнаружен
- Developer mode выключен
- USB debugging отключён (Android)
Сетевые политики
Сетевые политики определяют, как Identity интегрируется с сетевой инфраструктурой для контроля доступа к WiFi, VPN и сегментации сети.
WiFi политики
Password-Free WiFi:
Пользователи с Identity Endpoint App автоматически подключаются к корпоративному WiFi без ввода пароля. Устройство аутентифицируется через сертификат.
- SSID: Corp-WiFi
- Метод: EAP-TLS (сертификат)
- VLAN: Динамически по группе
Динамическое назначение VLAN:
В зависимости от группы пользователя назначается соответствующий VLAN при подключении к WiFi:
| Группа "Сотрудники" | → VLAN 10 (Corporate) |
| Группа "Гости" | → VLAN 50 (Guest, только интернет) |
| Группа "IT" | → VLAN 1 (Management) |
| Группа "IoT устройства" | → VLAN 30 (IoT, изолированный) |
VPN политики
Подробнее о VPN политиках читайте в статье VPN доступ через Identity.
RADIUS политики
Интеграция с RADIUS для аутентификации на сетевом оборудовании описана в статье RADIUS интеграция.
Соответствие требованиям
UniFi Identity помогает организациям соответствовать различным стандартам и регуляторным требованиям в области информационной безопасности.
Поддерживаемые стандарты
| Стандарт | Описание | Статус |
|---|---|---|
| SOC 2 Type II | Контроль доступа, аудит, MFA | ✓ Поддерживается |
| ISO 27001 | Управление доступом, логирование | ✓ Поддерживается |
| GDPR | Права субъектов, защита данных | ✓ Поддерживается |
| HIPAA | Защита медицинских данных | ⚠ Частично |
| PCI DSS | Защита платёжных данных | ⚠ Частично |
| 152-ФЗ | Персональные данные (РФ) | ✓ Поддерживается |
Compliance-готовые политики
UniFi Identity предлагает преднастроенные шаблоны политик для быстрого соответствия требованиям:
Базовый уровень безопасности:
- Пароль: 8+ символов
- MFA: опционально
- Сессия: 8 часов
Рекомендуемый уровень:
- Пароль: 12+ символов, смена 90 дней
- MFA: обязательно для всех
- Сессия: 4 часа, re-auth 24ч
- Условный доступ: по геолокации
Строгий уровень (финансы, медицина):
- Пароль: 14+ символов, смена 60 дней
- MFA: Hardware key или TOTP
- Сессия: 1 час, re-auth 4ч
- Device Trust: только Compliant
- Полный аудит всех действий
Аудит и логирование
UniFi Identity ведёт детальные логи всех событий, связанных с аутентификацией и авторизацией, что необходимо для безопасности и compliance.
Типы логируемых событий
| Категория | События |
|---|---|
| Аутентификация | Успешный/неуспешный вход, MFA попытки, сброс пароля, блокировка аккаунта, выход из системы |
| Управление пользователями | Создание/удаление пользователя, изменение прав, добавление в группу, изменение профиля |
| Административные действия | Изменение политик, настройка SSO, управление приложениями, изменение конфигурации |
| Доступ к ресурсам | Доступ к приложениям, VPN подключения, WiFi аутентификация, отказ в доступе |
Структура лога
{
"timestamp": "2024-01-15T14:32:15.123Z",
"event_type": "authentication.login.success",
"user": {
"id": "usr_abc123",
"email": "ivan.petrov@company.ru",
"name": "Иван Петров"
},
"client": {
"ip": "203.0.113.45",
"user_agent": "Mozilla/5.0...",
"device_id": "dev_xyz789"
},
"location": {
"country": "RU",
"city": "Moscow"
},
"context": {
"mfa_used": true,
"mfa_method": "totp",
"session_id": "sess_123456"
}
}Хранение и экспорт логов
| Хранение | 90 дней (Standard), 1 год (Enterprise) |
| Форматы экспорта | JSON, CSV |
| SIEM интеграция | Webhook, Syslog (Enterprise) |
| Real-time streaming | Enterprise план |
Лучшие практики
Рекомендации
- Включите MFA для всех — MFA блокирует 99.9% автоматизированных атак. Начните с администраторов, затем распространите на всех
- Используйте условный доступ — блокируйте входы из неразрешённых стран и требуйте MFA вне корпоративной сети
- Проверяйте утечки паролей — включите проверку паролей по базам утечек при создании и смене пароля
- Регулярно проверяйте логи — настройте оповещения о подозрительных событиях: множественные неудачные входы, входы из новых стран
Чего избегать
- Не используйте SMS для MFA — SMS уязвим к SIM-swapping атакам. Используйте TOTP, Push или Hardware ключи
- Не ставьте слишком длинные сессии — сессии более 24 часов увеличивают риск при компрометации устройства
Чеклист безопасности
Базовый уровень:
- Пароли минимум 12 символов
- MFA для администраторов
- Блокировка после 5 неудачных попыток
- Логирование включено
Средний уровень:
- MFA для всех пользователей
- Условный доступ по геолокации
- Проверка утечек паролей
- Регулярный аудит доступов
Высокий уровень:
- Hardware ключи для админов
- Device Trust обязателен
- SIEM интеграция
- Автоматизированные оповещения
Заключение
Правильно настроенные политики безопасности — основа защиты корпоративных ресурсов. UniFi Identity предоставляет все необходимые инструменты для реализации современного подхода Zero Trust: многофакторная аутентификация, условный доступ, Device Trust и детальное логирование.
Начните с базовых политик и постепенно усиливайте защиту по мере роста зрелости безопасности в организации.
