Доступ к системе хранения данных: что это, как его контролировать

Чтобы обеспечить надежное хранение данных, организации используют специальные системы (СХД), которые отвечают за обработку информации, предоставление быстрого доступа к файлам, управление информационными ресурсами. Главная задача компаний — следить за порядком внутри СХД, грамотно распределять полномочия для работы с информационными ресурсами, предпринимать меры для снижения рисков инцидентов ИБ. Рассказываем, как должны быть организованы хранение данных и доступ к информации.

Какая информация содержится в системах хранения данных

В СХД может храниться любая информация в цифровом виде. Например, персональные данные, уникальные разработки, финансовые документы, фото-, аудио- и видеофайлы. Информационные ресурсы могут быть представлены в различных форматах в зависимости от типа используемых систем хранения. Выделяют три типа СХД:

Файловые. Информация в них хранится в виде файлов, собранных в папки и каталоги. Большинство компаний используют именно этот вариант.
Блочные. Хранение информации в виде отдельных блоков с уникальными идентификаторами для удобного поиска.
Объектные. Хранение сведений в виде объектов, которые включают файлы с информацией, метаданные и уникальные идентификаторы.

Данные в системах хранения могут быть структурированными и неструктурированными. Структурированные приведены к единому формату, их использование контролируется. С неструктурированными все наоборот — они разрозненно хранятся в разных хранилищах, часто остаются без внимания. Именно с такими данными связаны высокие риски ИБ.

Что такое доступ к системе хранения данных

Доступ к системе хранения данных — определенные полномочия для работы с информацией из корпоративных хранилищ. Примеры уровней доступа:

Чтение — минимальные полномочия, разрешающие просматривать данные без права вносить изменения.
Запись — разрешение на редактирование файлов, внесение новых объектов, удаление информации.
Выполнение — права, разрешающие открывать каталоги, запускать исполняемые файлы.
Административные права доступа — полномочия, разрешающие широкий спектр действий с объектами ИТ-инфраструктуры.

Каждая организация использует свою модель разграничения доступа к системам хранения данных. Чаще всего это атрибутивная или ролевая. В атрибутивной права доступа назначаются на основе атрибутов, связанных с пользователями и объектами ИТ-инфраструктуры. Ролевая модель подразумевает формирование ролей с готовыми наборами полномочий под определенные должности и рабочие задачи.

Также существуют такие методы, как иерархия и наследование прав доступа. Иерархия — принцип распространения привилегий, полученных для вышестоящих объектов. Например, создатель файла обладает полными правами на ресурс и может назначать полномочия для других пользователей, но этих полномочий не может быть больше, чем у него. Наследование — это назначение определенных полномочий для работы с каким-либо каталогом из системы хранения и распространение таких же полномочий на нижележащие разделы и отдельные файлы. Такие методы позволяют упростить управление доступом и контролировать использование привилегий.

Для контроля доступа к информационным базам компании часто используют службу каталогов Active Directory для систем Windows Server. Также она позволяет поддерживать целостность и доступность данных, обеспечивает удобный поиск и гибкие настройки.

Как организовать безопасный доступ к системам хранения данных

Базовые меры, которые следует предпринимать всем компаниям:

Соблюдать принцип наименьших привилегий — назначать только те полномочия, которых будет достаточно для выполнения служебных обязанностей. Избыточные права доступа сильно повышают риски внутренних инцидентов ИБ.
Своевременно блокировать неиспользуемые учетные записи и отзывать неактуальные полномочия, например, после увольнения сотрудников или перехода на другие должности.
Предусмотреть двухфакторную аутентификацию при входе в корпоративные системы, чтобы затруднить несанкционированное использование учетных записей.
Регулярно проверять информационные массивы, чтобы обнаруживать среди них неучтенные конфиденциальные данные.
Проводить аудит прав доступа и аудит событий доступа, чтобы иметь представление, кто работает с информацией и какие операции совершает.
Периодически проводить проверку текущих прав доступа — сертификацию. Если в компании изменились какие-либо условия, например произошла реорганизация отделов и сотрудники перешли на другие должности, проводится ресертификация, то есть повторная проверка.

Многие компании используют специализированные системы, где реализованы различные технологии для контроля хранения и доступа к данным, поскольку вручную обрабатывать информационные массивы и сведения о пользовательских полномочиях сложно, а в крупных организациях физически невозможно. Пример таких решений — DAG (Data Access Governance).

Ошибки при организации доступа к системам хранения данных, как их избежать

Типичные ошибки, которые допускают многие организации:

Совместное использование учетных записей. В таком случае следует отслеживать события доступа и контролировать, какие операции сотрудники совершают с данными.
Отсутствие четкого разграничения прав доступа. Важно соблюдать принцип наименьших привилегий и назначать только те полномочия, которые нужны для выполнения служебных обязанностей.
Непонимание иерархии прав доступа. Необходимо периодически проводить аудит, чтобы знать, кто и кому назначал полномочия.
Несвоевременный отзыв доступа у уволенных сотрудников. Можно настроить автоматическое отключение неактуальных учетных записей.

И главное — компания должна иметь наглядное представление, какой информацией располагает. Только в этом случае можно обеспечить надлежащее хранение данных и контроль доступа.

ошибки при организации доступа к системам хранения данных

Solar DAG — современное решение для аудита прав доступа к данным в системах хранения

Solar DAG — система, с помощью контентного анализа определяющая конфиденциальные и критичные данные в массивах неструктурированных данных, которые разрозненно хранятся и практически не контролируются. На основе результатов сканирования ответственные лица могут назначать файлам служебные метки согласно степени конфиденциальности и распределять информацию по конечным местам хранения.

Цель использования Solar DAG — не просто обнаружить чувствительную информацию, а взять ее под контроль, предупредить утечки и несанкционированный доступ к данным на системах хранения. Решение позволяет получить представление об актуальных полномочиях учетных записей и о том, какие операции совершаются с конфиденциальной информацией. Оно играет важную роль в проведении аудита прав доступа и учете событий в файловых системах. Рассказываем, как Solar DAG повышает эффективность этих мероприятий.

Аудит прав доступа

Периодический аудит обеспечивает эффективное управление хранением данных и доступом к информации. Проверка позволяет получить представление, какие права назначены учетным записям, являются ли они релевантными. Solar DAG предоставляет необходимую информацию для проведения аудита. Система формирует подробный отчет «Учетные записи», где описаны права доступа конкретных учетных записей, их иерархия. Из отчета «Ресурсы» видно, какие учетные записи могут работать с теми или иными информационными ресурсами. Все изменения полномочий отражаются в срезах «Изменение прав доступа к ресурсу», «Изменение прав доступа учетной записи».

Также Solar DAG формирует отчет «Отключенное наследование». С его помощью можно выявить и взять под контроль каталоги, доступ к которым получен путем прямого назначения. В отчете будет подробная информация, у кого есть такой доступ к объектам систем хранения данных, когда и при каких обстоятельствах он получен.

Аудит событий доступа

Solar DAG журналирует события в корпоративных файловых системах, фиксирует все операции с данными, уведомляет ответственных лиц о нарушениях. Благодаря этой функции при возникновении инцидентов ИБ можно быстро установить виновников и принять меры для устранения слабых мест в стратегии защиты данных.

В новом релизе у Solar DAG появилась возможность предпринимать активные действия при срабатывании политик доступа, например отключать учетную запись пользователя или автоматически завершать сеанс. Действия применяются непосредственно к инициаторам события или бенефициарам получения доступа.

Аргументы за использование Solar DAG для контроля доступа к данным на системах хранения

Ключевые преимущества решения от ГК «Солар»:

Высокая производительность. Solar DAG проводит контентный анализ со скоростью до 1,5 ТБ/сутки и в потоковом режиме обрабатывает до 100 млн событий на системах хранения.
Синергия экспертизы и эффективных методов. В Solar DAG используются передовые технологии контроля хранения и доступа к данным.
Интеграция с DLP-системой Solar Dozor и IdM-платформой Solar inRights. Совместная работа этих решений расширяет возможности управления доступом и защиты конфиденциальных данных.
Адаптация под геораспределенную ИТ-инфраструктуру. Можно настраивать области видимости объектов и централизованно управлять данными филиалов.
Удобное управление. Solar DAG имеет дружелюбный простой интерфейс, в котором легко разобраться без специальных знаний.
Присутствие в реестре отечественного ПО. DAG-система адаптирована под российский рынок и подходит для импортозамещения зарубежных продуктов аналогичного класса.

ЗАКЛЮЧЕНИЕ

Надлежащее хранение данных и контроль доступа к информации — важные аспекты борьбы с утечками и внутренними инцидентами ИБ. Компании должны выявлять конфиденциальные сведения в общих информационных массивах, ответственно подходить к назначению конечных хранилищ и разграничению прав доступа. Выполнять эти задачи поможет система Solar DAG. Для знакомства с демоверсией продукта оставьте заявку на консультацию.