-
Notifications
You must be signed in to change notification settings - Fork 2
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
[EDP-DDM-30543] github: Added about admin accounts secure configurations
Change-Id: I96905fa152272e7b388c37c9facb3145e7bd93a0
- Loading branch information
1 parent
679f38d
commit 34505b7
Showing
16 changed files
with
242 additions
and
0 deletions.
There are no files selected for viewing
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Binary file added
BIN
+318 KB
docs/ua/modules/admin/images/admins-security/bruteforce_protection.png
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Binary file added
BIN
+423 KB
docs/ua/modules/admin/images/admins-security/password_policy_advanced.png
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Binary file added
BIN
+369 KB
docs/ua/modules/admin/images/admins-security/password_policy_general.png
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
Loading
Sorry, something went wrong. Reload?
Sorry, we cannot display this file.
Sorry, this file is invalid so it cannot be displayed.
75 changes: 75 additions & 0 deletions
75
docs/ua/modules/admin/pages/installation/admins-security/2fa.adoc
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,75 @@ | ||
| = Налаштування двохфакторної автентифікації | ||
| include::platform:ROOT:partial$templates/document-attributes/default-set-ua.adoc[] | ||
|
|
||
| == Загальні положення | ||
|
|
||
| Двохфакторна автентифікація (2FA) є важливою стратегією в кібербезпеці, яка забезпечує додатковий рівень захисту облікових записів, комбінуючи два різні типи перевірки - зазвичай це щось, що користувач знає (пароль), і щось, що користувач має (наприклад, мобільний телефон або токен). Цей метод значно ускладнює несанкціонований доступ, зменшуючи ризики, пов'язані зі слабкими або скомпрометованими паролями, та допомагає відповідати нормативним вимогам. Незважаючи на додатковий крок у процесі входу та потенційні технічні виклики, переваги 2FA в контексті зростаючих кіберзагроз є значними, що робить її критично важливим компонентом у стратегії кібербезпеки Платформи Реєстрів. | ||
|
|
||
| == Кроки налаштування 2FA | ||
|
|
||
| 1. Вхід в Адміністративну Консоль Keycloak | ||
| 2. Виберіть _openshift_ реалм, для якого будуть здійснені налаштування. | ||
| 3. У меню зліва виберіть "Authentication". | ||
| 4. Перейдіть у вкладку "Flows" | ||
| 5. Навпроти "Browser - Conditional OTP " поставте перемикач у положення "REQUIRED" | ||
| 6. Переконайтесь що на кроці "Condition - User Configured" та OTP Form перемикач також у положенні "REQUIRED" | ||
| 7. Переконайтесь що у вкладці "Required Actions" параметр "Configure OTP" увімкнений (див. Зображення Кроки налаштування OTP "Required Actions" ) | ||
| 8. При наступному вході адміністративному користувачеві буде запропоновано налаштувати двухфакторну автентифікацію (див. Зображення 2 та наступну секцію) | ||
|
|
||
| CAUTION: Процедура має бути повторена для _<registry>-admin_ реалму реєстру для випадків, коли користувача було створено не через Control Plane, а напряму в реєстровому реалмі через Keycloak UI. | ||
|
|
||
| .Кроки налаштування двохфакторної автентифікації | ||
| image::admins-security/2fa.png[Кроки налаштування двохфакторної автентифікації] | ||
|
|
||
| .Кроки налаштування OTP "Required Actions" | ||
| image::admins-security/required_actions_otp.png[Кроки налаштування OTP "Required Actions"] | ||
|
|
||
| == Кроки налаштування автентифікатора | ||
|
|
||
| . Вхід в Адміністративну Консоль Keycloak | ||
| . Після введення облікових даних зявиться інтерфейс налаштування другого фактору. | ||
| + | ||
|
|
||
| .Кроки налаштування автентифікатора | ||
| image::admins-security/authenticator.png[Кроки налаштування автентифікатора] | ||
|
|
||
| + | ||
| [TIP] | ||
| -- | ||
| Додатки які офіційно підтримуються KeyCloak для налаштування TOTP - Google Authenticator та FreeOTP. Microsoft Authenticator, на момент написання розділу (кінець 2023 року), може бути використаний лише за умови налаштування OTP політики з ненадійним алгоритмом SHA1 та не рекомендується. | ||
| -- | ||
|
|
||
| . Встановіть додаток "Google Authenticator" на ваш мобільний пристрій. | ||
| . Відкрийте додаток та натисніть "+" додати обліковий запис. | ||
| . Відскануйте згенерований RQ-код з другого кроку (якщо треба надайте "Google Authenticator" доступ до камери). | ||
| + | ||
|
|
||
| .Відскануйте QR-код | ||
| image::admins-security/qr_scan.png[Відскануйте QR-код] | ||
|
|
||
| . Переконайтесь що новий обліковий запис було додано | ||
| + | ||
|
|
||
| .Обліковий запис додано | ||
| image::admins-security/authenticator_added.png[Обліковий запис додано] | ||
|
|
||
| . Введіть згенерований одноразовий код в інтерйесі з другого кроку | ||
| . Введіть довільний ідентифікатор вашого пристрою. Будь-яка назва яка для вас буде ідентифікувати використаний пристрій з автентифікатором | ||
| . Підтверте форму. | ||
|
|
||
| == Кроки налаштування параметрів OTP | ||
|
|
||
| 1. Вхід в Адміністративну Консоль Keycloak | ||
| 2. Виберіть openshift realm, для якого будуть здійснені налаштування. | ||
| 3. У меню зліва виберіть "Authentication". | ||
| 4. Перейдіть у вкладку "OTP Policy" | ||
| 5. Змініть "OTP Hash Algorithm" на SHA256 | ||
| 6. Збережіть зміни | ||
|
|
||
| .Кроки налаштування OTP політик | ||
| image::admins-security/otp_policy.png[Кроки налаштування OTP політик] | ||
|
|
||
| [TIP] | ||
| -- | ||
| Хоча SHA1 широко використовується та підтримується, він вважається слабшим , ніж SHA256 або SHA512. Якщо можливо, використовуйте SHA256 або SHA512 для підвищення безпеки. Однак переконайтеся, що ваш вибір сумісний із користувацькими OTP додатками. | ||
| -- |
31 changes: 31 additions & 0 deletions
31
.../ua/modules/admin/pages/installation/admins-security/bruteforce-protection.adoc
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,31 @@ | ||
| = Захист від підбору паролів | ||
| include::platform:ROOT:partial$templates/document-attributes/default-set-ua.adoc[] | ||
|
|
||
| == Загальні положення | ||
|
|
||
| Захист від атак brute force є ключовим аспектом забезпечення безпеки для системи управління ідентифікацією та доступом, як Keycloak. Атаки brute force полягають у спробах несанкціонованого доступу шляхом безперервного підбору паролів, що може призвести до компрометації облікових записів. Щоб запобігти таким атакам, необхідно впровадити механізми, які обмежують кількість спроб входу та встановлюють часові затримки після невдалих спроб. | ||
|
|
||
| === Кроки налаштування | ||
|
|
||
| 1. Вхід в Адміністративну Консоль Keycloak | ||
| 2. Виберіть openshift realm, для якого будуть здійснені налаштування. | ||
| 3. У меню зліва виберіть "Realm Settings". | ||
| 4. Перейдіть до вкладки "Security Defenses". | ||
| 5. Нище перейдіть до вкладки "Brute Force Detection" | ||
| 6. Увімкніть перемиках | ||
| 7. Конфігурація параметрів + | ||
| *Постійне Блокування (Permanent Lockout):* Не рекомендується включати постійне блокування, оскільки це може призвести до відмови у обслуговуванні та незручностей для користувачів. + | ||
| *Максимальна Кількість Невдалих Спроб Входу (Max Login Failures):* 5 спроб + | ||
| *Збільшення Часу Очікування (Wait Increment):* 300 секунд + | ||
| Це часовий період, що додається до часу блокування після кожної невдалої спроби входу після досягнення порога максимальної кількості невдалих спроб. + | ||
| *Швидка Перевірка Входу (Quick Login Check):* Рекомендоване значення 1000 мілісекунд (1 секунда) + | ||
| Це мінімальний час між спробами входу. Установка його на 1 секунду може запобігти швидким автоматизованим атакам, не впливаючи значно на користувацький досвід. + | ||
| *Мінімальний Час Швидкого Входу (Minimum Quick Login Wait):* 2 хвилини + | ||
| Це мінімальний час очікування для спроби входу після невдачі. + | ||
| *Максимальний Час Очікування (Max Wait):* 30 хвилин + | ||
| Це максимальний час, протягом якого користувач буде заблокований після повторних невдач. + | ||
| *Час Скидання Невдач (Failure Reset Time):* 12 годин + | ||
| Це час, після якого кількість невдач для користувача скидається, якщо не було невдач. + | ||
|
|
||
| .Кроки налаштування OTP політик | ||
| image::admins-security/bruteforce_protection.png[Кроки налаштування OTP політик] |
9 changes: 9 additions & 0 deletions
9
docs/ua/modules/admin/pages/installation/admins-security/overview.adoc
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,9 @@ | ||
| = Безпечне налаштування адміністративних акаунтів | ||
|
|
||
| Безпечне налаштування систем та облікових записів адміністраторів платформи є критично важливим для забезпечення захисту від кіберзагроз та несанкціонованого доступу. Воно включає застосування надійної політики паролів, впровадження двофакторної аутентифікації для додаткового рівня перевірки, та активацію захисту від brute force атак. | ||
|
|
||
| == Огляд розділу | ||
|
|
||
| * xref:installation/admins-security/password-policy.adoc[] | ||
| * xref:installation/admins-security/2fa.adoc[] | ||
| * xref:installation/admins-security/bruteforce-protection.adoc[] |
Oops, something went wrong.