Hardening

Введение

Hardening (усиление, закалка) – процесс уменьшения поверхности атаки (attack surface) информационной системы через целенаправленное изменение её конфигурации. Большинство систем из коробки поставляются в состоянии максимальной совместимости, а не максимальной безопасности: включены десятки необязательных сервисов, используются слабые настройки по умолчанию, существуют встроенные учётные записи с известными паролями.

Hardening устраняет эти проблемы: убирает всё лишнее, оставляя только то, что необходимо для бизнес-функции. Это снижает число потенциальных векторов атаки и сложность мониторинга.

История и контекст

Принципы hardening сформулированы ещё в 1970-х в концепции «минимальных привилегий» (Principle of Least Privilege). CIS (Center for Internet Security) с 2000-х публикует детальные CIS Benchmarks – руководства по усилению для более 100 типов систем (Windows, Linux, Kubernetes, cloud-сервисы). STIG (Security Technical Implementation Guide) – аналог для военных систем США. В России Приказы ФСТЭК устанавливают конфигурационные требования для ГИС, КИИ и ИСПДн.

Ключевые меры Hardening

• Отключение ненужных сервисов – SMBv1, Telnet, FTP, LLMNR, NetBIOS, неиспользуемых системных сервисов.
• Управление учётными записями – удаление/отключение стандартных учёток (Administrator, guest), смена паролей по умолчанию, ограничение привилегий (PAM/RBAC).
• Настройка политик паролей – минимальная длина 12+ символов, сложность, история, блокировка.
• Применение патчей и обновлений – как элемент hardening при первоначальной настройке.
• Настройка аудита и логирования – фиксация действий привилегированных пользователей, событий входа, изменений конфигурации.
• Конфигурация межсетевого экрана – правило deny-all с явным разрешением необходимых соединений.
• Шифрование дисков и трафика – BitLocker, dm-crypt, TLS everywhere.

Где применяется

• Серверы Windows/Linux при вводе в эксплуатацию (golden image).
• Сетевое оборудование: маршрутизаторы, коммутаторы, межсетевые экраны.
• Контейнеры (Docker, Kubernetes): CIS Kubernetes Benchmark.
• Облачные среды: AWS, Azure, GCP Security Benchmark.
• Рабочие станции: корпоративные политики через GPO/MDM.

Преимущества и ограничения

Снижает поверхность атаки, упрощает мониторинг, уменьшает число алертов в SIEM. Ограничения: может нарушить совместимость с legacy-приложениями; требует тщательного тестирования в staging-среде; hardened-образ нужно поддерживать актуальным с учётом изменений в приложениях.

Связь с другими понятиями

Hardening создаёт и поддерживает Baseline (ИБ) – эталонную конфигурацию. Снижает число уязвимостей, обнаруживаемых при Vulnerability Scan. Является компенсирующей мерой при невозможности применить Патч-менеджмент (legacy-системы). Проверяется в ходе аттестации и аудита безопасности.