Введение
Hardening (усиление, закалка) – процесс уменьшения поверхности атаки (attack surface) информационной системы через целенаправленное изменение её конфигурации. Большинство систем из коробки поставляются в состоянии максимальной совместимости, а не максимальной безопасности: включены десятки необязательных сервисов, используются слабые настройки по умолчанию, существуют встроенные учётные записи с известными паролями.
Hardening устраняет эти проблемы: убирает всё лишнее, оставляя только то, что необходимо для бизнес-функции. Это снижает число потенциальных векторов атаки и сложность мониторинга.
История и контекст
Принципы hardening сформулированы ещё в 1970-х в концепции «минимальных привилегий» (Principle of Least Privilege). CIS (Center for Internet Security) с 2000-х публикует детальные CIS Benchmarks – руководства по усилению для более 100 типов систем (Windows, Linux, Kubernetes, cloud-сервисы). STIG (Security Technical Implementation Guide) – аналог для военных систем США. В России Приказы ФСТЭК устанавливают конфигурационные требования для ГИС, КИИ и ИСПДн.
Ключевые меры Hardening
- Отключение ненужных сервисов – SMBv1, Telnet, FTP, LLMNR, NetBIOS, неиспользуемых системных сервисов.
- Управление учётными записями – удаление/отключение стандартных учёток (Administrator, guest), смена паролей по умолчанию, ограничение привилегий (PAM/RBAC).
- Настройка политик паролей – минимальная длина 12+ символов, сложность, история, блокировка.
- Применение патчей и обновлений – как элемент hardening при первоначальной настройке.
- Настройка аудита и логирования – фиксация действий привилегированных пользователей, событий входа, изменений конфигурации.
- Конфигурация межсетевого экрана – правило deny-all с явным разрешением необходимых соединений.
- Шифрование дисков и трафика – BitLocker, dm-crypt, TLS everywhere.
Где применяется
- Серверы Windows/Linux при вводе в эксплуатацию (golden image).
- Сетевое оборудование: маршрутизаторы, коммутаторы, межсетевые экраны.
- Контейнеры (Docker, Kubernetes): CIS Kubernetes Benchmark.
- Облачные среды: AWS, Azure, GCP Security Benchmark.
- Рабочие станции: корпоративные политики через GPO/MDM.
Преимущества и ограничения
Снижает поверхность атаки, упрощает мониторинг, уменьшает число алертов в SIEM. Ограничения: может нарушить совместимость с legacy-приложениями; требует тщательного тестирования в staging-среде; hardened-образ нужно поддерживать актуальным с учётом изменений в приложениях.
Связь с другими понятиями
Hardening создаёт и поддерживает Baseline (ИБ) – эталонную конфигурацию. Снижает число уязвимостей, обнаруживаемых при Vulnerability Scan. Является компенсирующей мерой при невозможности применить Патч-менеджмент (legacy-системы). Проверяется в ходе аттестации и аудита безопасности.
