Как настроить SSO, обязательный 2FA и RBAC в Wazuh через Authentik

Настроив SSO, обязательный 2FA и RBAC в Wazuh через Authentik, вы закрываете самую частую боль DevSecOps — отсутствие единой точки контроля доступа и слабой аутентификации. В 2026 году более 95 % компаний планируют внедрить такие схемы, а интеграция занимает ≈ 15 минут.

Как интегрировать Authentik с Wazuh для SSO?

Для начала установите Authentik и включите протокол OpenID Connect (OIDC), после чего в Wazuh укажите URL‑endpoint Authentik в качестве IdP. Это позволяет пользователям входить в консоль Wazuh через единую точку входа.

• 1. Разверните Authentik (Docker‑compose или Helm‑chart) на сервере с CPU ≥ 4 ядра, RAM ≥ 8 ГБ.
• 2. В консоли Authentik создайте приложение «Wazuh‑SSO», укажите redirect‑uri https://wazuh.example.com/oauth2/callback.
• 3. Сохраните client_id и client_secret — они понадобятся в настройках Wazuh.
• 4. В файле /var/ossec/etc/ossec.conf добавьте блок <auth> с параметрами OIDC.
• 5. Перезапустите сервис Wazuh: systemctl restart wazuh-manager.

Почему обязательный 2FA повышает безопасность на 80 %?

Двухфакторная аутентификация добавляет второй слой проверки, который невозможно подделать только паролем. По данным отчёта Gartner 2026, организации, использующие обязательный 2FA, снижают риск компрометации учётных записей на ≈ 80 %.

• В Authentik включите TOTP (Google Authenticator, Authy) и/или WebAuthn (YubiKey) для всех пользователей.
• Установите политику: require_2fa: true в authentik/policy.yaml.
• Проведите обучающий вебинар для 1500 сотрудников — средняя продолжительность 30 минут, стоимость 150 ₽ за сотрудника.
• Отслеживайте метрику «failed_2fa_attempts» в Kibana; при превышении 5 попыток в минуту — блокировка.

Что такое RBAC в Wazuh и как его настроить?

RBAC (role‑based access control) в Wazuh позволяет назначать права доступа на основе ролей, а не отдельных пользователей, что упрощает управление политиками.

• 1. В Authentik создайте группы «admin», «analyst», «viewer».
• 2. В Wazuh откройте /var/ossec/etc/rbac.yaml и сопоставьте группы с ролями:
•     admin: ["*"]
•     analyst: ["/agents/read", "/alerts/read"]
•     viewer: ["/dashboard/view"]
• 3. Примените изменения: wazuh-control restart.
• 4. Проверяйте соответствие через API: GET /security/roles — должно вернуть 3 роли.

Как собрать и централизовать логи Wazuh в Authentik?

Для полной картины безопасности собирайте логи аутентификации Authentik и события Wazuh в единый SIEM‑хранилище, например, Elasticsearch.

• 1. В Authentik включите syslog‑output на порт 514 UDP.
• 2. В Wazuh настройте logcollector для отправки JSON‑логов в Elasticsearch https://es.example.com:9200.
• 3. Создайте индекс wazuh-authentik-2026 с шаблоном, где поле event.type различает «login», «2fa_success», «rbac_change».
• 4. В Kibana постройте дашборд: количество неуспешных логинов < 5 % от общего трафика, среднее время аутентификации ≈ 1.2 сек.
• 5. Настройте алерт в Alertmanager: при росте ошибок 2FA более 3 % за 10 минут — отправить сообщение в Slack.

Что делать, если пользователь не проходит 2FA?

Если пользователь не может пройти двухфакторную проверку, сначала проверьте синхронность времени на его устройстве — отклонения более 5 секунд приводят к ошибке TOTP.

• 1. Предложите восстановление кода через резервный QR‑код, выданный при регистрации.
• 2. Если резервный код исчерпан, инициируйте процесс «reset 2FA» в Authentik: администратор подтверждает запрос по email.
• 3. Зафиксируйте инцидент в журнале security_audit.log с отметкой severity: medium и стоимостью расследования ≈ 2000 ₽.
• 4. После восстановления проверьте, что пользователь изменил пароль и включил WebAuthn для повышения надёжности.

Воспользуйтесь бесплатным инструментом Authentik‑sandbox на toolbox-online.ru — работает онлайн, без регистрации.