
Атрибутивная модель управления доступом
Узнать больше28.06.2024
Компании используют различные информационные системы (ИС), программы и сервисы, для доступа к которым нужны учетные записи (УЗ) с различными наборами полномочий. Чем больше объектов, тем масштабнее количество учеток и сложнее контроль соблюдения назначенных пользователям прав. Отдельно стоит отметить риски и неудобства, которые возникают при массовой регистрации учетных записей. В статье рассказываем, как упростить этот процесс и выстроить риск-ориентированную модель управления УЗ с помощью специализированных решений.
Зарегистрированные в используемых компанией ИС учетные записи можно условно разделить на три группы:
Также учетные записи можно разделить на обычные и привилегированные. Аккаунтам первого типа присваиваются минимально достаточные для работы в целевых ИС права. Привилегированные учетные записи наделяются расширенными полномочиями, позволяющими настраивать оборудование и средства защиты, управлять информационными системами, серверами, приложениям и т.д. Такие аккаунты могут быть привязаны как к людям, так и к техническим службам.
Под регистрацией понимают создание учетной записи в ИС или сервисах. Процесс подразумевает внесение данных о пользователе, отправку этих сведений в систему, подтверждение и активацию аккаунта, осуществление необходимых настроек согласно внутренним политикам.
Регистрация является первой ступенью работы пользователя в ИС, поскольку без нее не будет учетной записи, соответственно, и полномочий. Чтобы войти в систему под учетной записью, нужно пройти идентификацию — ввести логин. Затем следует процедура аутентификации, то есть подтверждения личности пользователя в системе. Она предполагает ввод пароля (или его аналога) от учетной записи, а в случае многофакторной аутентификации нужно будет предоставить дополнительные сведения, например, разовый код с телефона или из электронной почты, специальный цифровой ключ или биометрическую характеристику. Затем наступает процесс авторизации — проверки разрешенных привилегий в отношении запрашиваемых ресурсов. Если все этапы завершаются успешно, начинается сеанс работы в ИС.
С ростом бизнеса растет число пользователей информационных систем внутри компаний, с чем связана потребность в быстрой регистрации учетных записей. Процесс создания учетки кажется несложным и недолгим, если нужно зарегистрировать один аккаунт, но если их будут десятки, потребуется много усилий и времени. К тому же, при регистрации вручную есть риски некорректно ввести данные пользователей или допустить неточности в настройках.
Создание большого количества УЗ требует соблюдения баланса между удобством и безопасностью. Обеспечить его помогут автоматизированные платформы управления доступом — IdM (Identity Management). Такие решения управляют учетными записями на основе сведений о пользователях и организационно-штатной структуре, получаемых из доверенных кадровых источников. С целевыми ИС платформы имеют двустороннюю интеграцию благодаря специальным коннекторам, поэтому могут оперативно выполнять все требуемые операции.
IdM-решения позволяют не только массово регистрировать учетки, но и осуществлять следующие настройки:
IdM-платформы используются организациями из разных сфер деятельности в качестве инструмента централизованного управления пользовательскими привилегиями и учетными записями в корпоративных средах. Их усовершенствованная версия — IGA-системы (Identity Governance and Administration) с более полными функциональными возможностями предоставляют расширенные преимущества по контролю доступа за счет глубокой аналитики и риск-ориентированного подхода. Иногда для обозначения платформ применяется двойная аббревиатура IdM/IGA, поскольку не все предприятия отошли от использования старого названия. Такие решения позволяют внедрять ролевую модель управления доступом, проводить скоринг рисков ИБ, гибко осуществлять администрирование, эффективно управлять учетными записями в почтовых системах, системах управления базами данных и электронного документооборота, программах для организации кадрового учета и в других используемых компанией ресурсах.
Какие ошибки компании часто допускают в работе с учетками, если осуществляют создание аккаунтов и назначение полномочий вручную:
IdM/IGA-решения помогают минимизировать риски ИБ за счет разграничения прав доступа пользователей на основании ролевой модели, исполнения утвержденных политик и процедур управления учетными записями, отслеживания конфликтов полномочий, применения риск-ориентированного подхода к управлению доступом, автоматизации рутинных операций в рамках работы с учетными записями.
IdM/IGA-платформа Solar inRights позволяет управлять полным циклом жизни УЗ — от регистрации до блокировки или удаления, применять отдельные правила и процедуры управления техническими учетными записями. С ее помощью можно автоматически или в ручном режиме создавать любые учетки согласно внутренним правилам компании. Также наше решение позволит управлять паролями: генерировать сложные комбинации, устанавливать параметры паролей в соответствии с положениями парольной политики, применять парольные политики как одновременно для всех используемых организацией информационных систем, так и для конкретных ресурсов и учетных записей.
Какие еще задачи в отношении УЗ решает Solar inRights:
Процессы, связанные с регистрацией учетных записей и другими операциями, касающимися предоставления доступа, могут исполняться автоматически или требовать согласования ответственных лиц. Однако даже при втором сценарии трудозатраты будут намного меньше, чем при создании аккаунтов и назначении прав вручную.
Выводы
Регистрация учетных записей для использования ИС и сервисов, организация управления пользовательским доступом к информационным ресурсам — задачи, с которыми сталкивается каждое предприятие независимо от масштабов деятельности. Зачастую управление происходит вручную, либо применяется лоскутная автоматизация, то есть организации автоматизируют некоторые операции путем применения разрозненных средств. Оба сценария приводят к высоким рискам ИБ, несогласованности отделов ИБ и ИТ, значительным временным и трудозатратам. Прийти к централизованному управлению жизненным циклом УЗ и пользовательскими полномочиями поможет IdM/IGA-платформа Solar inRights. Она позволит оперативно регистрировать учетки с опорой на внутренние политики безопасности компании, минимизировать превышение полномочий и соблюдать отраслевые требования.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.