Атрибутивная модель управления доступом
Узнать большеЛюбые предприятия, независимо от отрасли и масштабов развития, могут сталкиваться с трудностями в части управления учетными записями, при назначении полномочий для сотрудников, в вопросах контроля использования внутренних ресурсов. Сложности возникают из-за отсутствия понимания, кто, когда и с какой целью может работать с информационными системами (ИС). Чтобы избежать проблем, нужно организовать централизованное управление доступом к компонентам информационной инфраструктуры. Удобнее всего использовать для этой цели зрелые платформы класса Identity Management/Identity Governance&Administration (далее применяется сокращение — IdM/IGA). Расскажем о роли этих систем управления доступом, их ключевых функциях и преимуществах.
Управление доступом к ИС, возможные риски
Управление доступом — подход, подразумевающий контроль использования ИС, определенных ресурсов и данных, своевременную выдачу релевантных полномочий для работы с теми или иными объектами инфраструктуры. Если все эти процессы реализуются вручную, зачастую происходят сбои и ошибки под влиянием человеческого фактора, которые приводят к росту рисков инцидентов информационной безопасности (ИБ).
С какими угрозами в части управления доступом могут столкнуться предприятия:
- Несанкционированный вход в ИС под учетными записями сотрудников, которые уже не работают в компании. Иногда после увольнения работников их учетки остаются активными, поскольку заявки на отзыв доступа вручную выполняются долго. Случается и такое, что про учетные записи просто забывают, чем могут воспользоваться злоумышленники.
- Накопление чрезмерных полномочий. Например, права могут вовремя не отзываться после перевода работников на новые штатные позиции, назначаться для выполнения временных задач и долгое время оставаться активными. Не факт, что сотрудники в таких случаях будут злоупотреблять полномочиями намеренно — иногда они делают это по ошибке, забывая о специфике работы в системах.
- Ненадежные пароли, в связи с чем сильно возрастает вероятность взлома учетных записей. Особенно опасно, если злоумышленники завладеют доступом к привилегированным учеткам с широкими полномочиями для работы в ИС, используемых компанией.
- Наличие забытых учетных записей, которые не принадлежат никому из сотрудников и были созданы для тестовых запусков систем. Ими могут воспользоваться злоумышленники или кто-то из персонала компании. Если учетки имеют расширенные полномочия, их несанкционированное использование с большой долей вероятности приведет к инцидентам ИБ.
Чтобы минимизировать перечисленные риски и повысить общий уровень информационной безопасности, предприятия должны выстраивать управление доступом на базе передовых технологий и практик, с применением специальных систем, позволяющих автоматизировать большинство рутинных процессов, связанных с учетными записями, предоставлением, изменением, прекращением и контролем полномочий.
Зачем компаниям нужны системы управления доступом
На IdM/IGA-платформы возлагаются следующие задачи:
- Защита информационных активов, которые обрабатываются компанией.
- Оптимизация процессов назначения и отзыва прав доступа сотрудников к рабочим ресурсам согласно внутренним политикам компании.
- Управление жизненным циклом всех учетных записей, которые есть в ИС компании: регистрация, блокировка и разблокировка, прекращение доступа для учеток при изменении штатных позиций или увольнении сотрудников, аудит действий, связанных с учетными записями.
- Обеспечение соответствия внутренним регламентам, отраслевым и законодательным нормам.
- Управление паролями: автоматическая генерация в соответствии с положениями парольной политики, возможность самостоятельной установки и сброса, гибкое применение парольных политик для разных ИС, используемых компанией.
- Аудит доступа: выявление несоответствий в полномочиях, снижение рисков инцидентов ИБ, связанных с несанкционированным использованием прав, обнаружение SoD-конфликтов (назначения несовместимых полномочий одному сотруднику).
Также IdM/IGA-платформы предоставляют широкие возможности для работы с пользовательскими заявками на дополнительные права доступа к ИС и отдельным ресурсам — они упрощают процедуры оформления, согласования и исполнения этих заявок, позволяют хранить историю пользовательских запросов. Системы формируют оптимальные маршруты согласования в соответствии с внутренними регламентами и автоматически направляют заявки по этим маршрутам. Также платформы позволяют настраивать функции тайм-аута и эскалации, с помощью которых можно реализовывать оптимальные сценарии реагирования на приостановку процессов согласования, например, отклонять не рассмотренную в отведенный период заявку, автоматически одобрять ее или перенаправлять на согласование другому ответственному сотруднику.
Подходы к управлению доступом
Организации преимущественно используют четыре модели управления доступом: ролевую, мандатную, дискреционную и модель на основе атрибутов. Рассмотрим специфику и особенности каждого подхода.
Ролевая схема
Одной из самых эффективных и безопасных схем управления доступом называют ролевой подход Role-based access control (далее — RBAC). Он подразумевает формирование ролей, каждой из которых назначается свой набор полномочий в зависимости от должностей и задач сотрудников, которым будет присвоена та или иная роль.
Модель удобна тем, что не нужно выдавать права доступа отдельным работникам — достаточно присвоить определенные роли с уже привязанными к ним привилегиями. Если прав будет недостаточно для выполнения конкретных задач, сотрудники могут запросить их дополнительно по заявке.
Мандатный принцип
Mandatory Access Control (MAC) — подход, диктующий разграничение доступа к объектам (конкретным ресурсам, данным) информационной инфраструктуры на основании служебных меток конфиденциальности, назначенных этим объектам и дозволенного уровня доступа для того или иного субъекта (пользователя). Например, каким-то сотрудникам будет разрешено работать со строго конфиденциальными данными, каким-то — исключительно с информацией, которая не представляет особой тайны.
Дискреционный подход
Подход Discretionary Access Control (DAC) подразумевает, что доступ к целевым ИС и внутренним ресурсам будет вручную предоставлять администратор или владелец ресурсов. Ответственное лицо создает списки сотрудников с указанием их прав в отношении того или иного компонента информационной инфраструктуры предприятия.
Модель управления доступом на основе атрибутов
Этот подход получил название Attribute-based Access Control (ABAC) и подразумевает предоставление доступа с опорой на правила, привязанные к субъектам (сотрудникам) и объектам (ИС и определенным ресурсам). Предоставленные атрибуты автоматически оцениваются и сверяются с действующими регламентами доступа, после чего назначаются полномочия, достаточные для работы того или иного специалиста.
Эту модель управления часто выбирают крупные предприятия с многотысячным штатом сотрудников, когда нужно обеспечить гибкость в предоставлении прав. Но такой подход хорошо работает в комплексе с ролевым, который считается более универсальным.
Методы контроля доступа
К ключевым методам относят идентификацию и аутентификацию. Первая процедура подразумевает распознавание пользователя в ИС, подтверждение его существования. Аутентификация позволяет системе убедиться, что пользователь тот, за кого себя выдает и имеет права на использование учетной записи, под которой осуществляется вход. Для критически важных ресурсов аутентификация чаще всего бывает многофакторной, то есть при попытке подключения нужно не только ввести пароль от учетки, но и предъявить еще какое-то доказательство, например, код с телефона, токен или биометрическую характеристику.
Управление доступом подразумевает обязательное журналирование всех операций и аудит действий сотрудников. В этом помогут IdM/IGA-платформы, которые предоставляют актуальные сведения о доступе к ресурсам для подготовки текущей отчетности для офицеров службы информационной безопасности и исторические данные для расследований.
Какие организации нуждаются в управлении доступом к ИС
В управлении доступом нуждаются все организации вне зависимости от сферы деятельности, но универсального подхода, который подходил бы всем, не существует — каждая компания должна учитывать характер рабочих задач, количество сотрудников, особенности используемых информационных систем и другие объективные факторы. Расскажем о специфике управления доступом на примере трех отраслей.
Сфера финансов
К этой сфере применяются строгие законодательные требования, диктующие необходимость надежной защиты целевых систем, внутренних ресурсов и обрабатываемых массивов данных. Нарушение регламентов ведет к последствиям в виде больших штрафов, а в некоторых ситуациях и к отзыву лицензии на деятельность.
Отсутствие продуманного контроля доступа к внутренним ресурсам в банках и других финансовых учреждениях приводит к уязвимости конфиденциальной информации, высоким рискам ее утечки и нелегитимного использования. Поэтому важно, чтобы доступ к финансовым системам, данным о клиентских счетах и операциях с деньгами предоставлялся только тем сотрудникам, которым он положен в соответствии со служебными обязанностями.
Еще одна ключевая задача в контексте доступа к ИС в финансовых учреждениях — автоматизация выдачи и отзыва полномочий. Это необходимо, чтобы обеспечить надлежащее обслуживание клиентов и при этом не создавать дополнительных рисков ИБ. Если в учреждении наблюдается текучка кадров, изменение прав вручную и назначение дополнительных полномочий по пользовательским заявкам будет происходить долго и, скорее всего, с ошибками, что негативно скажется на рабочих процессах и общем уровне защищенности информационного периметра.
Также внутри финансовых организаций должны действовать отдельные правила управления правами доступа для конкретных ресурсов: платежных и информационных систем, систем управления взаимодействием с клиентами и т.д. Если не разграничить подходы, существенно возрастут риски SoD-конфликтов, использования одних и тех же паролей для нескольких учетных записей, случаев несанкционированного доступа. Избежать этих проблем и соблюсти принцип разграничения ответственности позволит внедрение IdM/IGA-системы управления доступом.
Государственный сектор
Главная сложность для этой отрасли заключается в использовании большого количества специализированных сервисов и систем, в том числе унаследованного ПО, от которого не получится отказаться даже при условии, что его сложно настраивать под текущие задачи. Каждый объект информационной инфраструктуры имеет собственные уникальные механизмы выдачи прав доступа и идентификации, что приводит к необходимости создания многочисленных наборов учетных данных. Это не только повышает вероятность инцидентов ИБ, но и создает неудобства для работников государственных организаций, которым приходится запоминать логины и пароли для каждой системы, регулярно отправлять заявки на предоставление дополнительных полномочий для работы с той или иной программой. Внедрение IdM/IGA-системы управления доступом предоставит удобные механизмы для управления полномочиями, продуманные инструменты для быстрой обработки заявок и создания общей парольной политики для всех используемых сервисов.
Еще одна задача IdM/IGA-платформы в государственных учреждениях — обеспечение гранулированного доступа к внутренним ресурсам для внешних пользователей: подрядчиков, поставщиков программных решений, партнеров. С ее помощью можно назначать и контролировать этот доступ, минимизируя риски информационной безопасности для компании.
Промышленная отрасль
На производствах трудится огромное количество работников, которые в рамках служебных обязанностей должны взаимодействовать с различными внутренними сервисами и критически важными информационными объектами. IdM/IGA-платформа позволяет им получать доступ к нужным ресурсам и при этом обеспечивает эффективный контроль исполнения регламентов.
Использование системы управления доступом в промышленных организациях дает гарантии, что взаимодействовать с внутренними ресурсами будут только авторизованные пользователи, которыми могут быть не только сотрудники, но и подрядчики, партнеры. В этом контексте платформа по управлению доступом выполняет две важные задачи — за счет контролируемого доступа позволяет обезопасить чувствительные сведения компании и укрепить отношения с партнерами благодаря грамотно организованной совместной работе с ресурсами.
Если организация причислена к объектам критической информационной инфраструктуры, то использование продуманной платформы для управления доступом позволит соблюсти законодательные требования, касающиеся защиты строго конфиденциальных данных. Придерживаться регламентов удается за счет того, что IdM/IGA-платформа предоставляет эффективные инструменты для создания отчетности, журналирования операций, проведения аудита прав доступа.
Сильные стороны Solar inRights — системы управления доступом
Solar inRights — IdM/IGA-платформа, предоставляющая удобные инструменты для управления доступом к ИС и внутренним ресурсам в компаниях разного масштаба. Основные преимущества решения:
- Доступность всей необходимой функциональности «из коробки».
- Кастомизация системы под актуальные задачи заказчика, легкая масштабируемость внутри информационной инфраструктуры.
- Высокая производительность, позволяющая подключать более 200 000 пользователей, десятки ИС и ресурсов.
- Профессиональная техническая поддержка, благодаря которой быстро решаются все вопросы, связанные с работой системы.
- Работа на импортонезависимых компонентах, благодаря чему платформа может использоваться в рамках программы импортозамещения.
- Интуитивно понятный, удобный интерфейс, простые настройки, быстрое введение в эксплуатацию.
- Возможность настройки пользовательского интерфейса на любых рабочих устройствах.
Внедрение Solar inRights позволяет перейти на единую систему управления доступом взамен использования нескольких разрозненных инструментов, выполняющих отдельные задачи в части контроля прав доступа.