Атрибутивная модель управления доступом
Узнать большеРазграничение доступа к целевым системам и информационным ресурсам часто происходит на базе ролевой модели (RBAC). Формируются роли пользователей, уже включающие наборы полномочий, необходимые для выполнения служебных обязанностей. Такой подход удобен тем, что можно назначать релевантные привилегии группам сотрудников, а не каждому сотруднику отдельно. К тому же, наборы полномочий можно расширять или урезать, внося изменения в роли. Это удобно делать с помощью системы класса Identity Management (далее — IdM), которая в портфеле ГК «Солар» представлена продуктом Solar InRights. Чтобы было понятнее, как происходит ролевое управление, подробнее рассказываем о ролях пользователей и возможностях IdM-решения.
Роли пользователей: понятие, важность для экосистемы контроля доступа
Ролями называют совокупность привилегий, позволяющих совершать определенные действия в используемых компанией информационных системах. Роли пользователей в части доступа к ресурсам часто идентичны бизнес-ролям (должностям) сотрудников, поэтому их использование для разграничения полномочий позволяет выстраивать стратегию управления доступом в строгом соответствии с корпоративной иерархией, т.е. с организационно штатной структурой.
Роли могут быть простыми или составными. Простые разрешают какое-то одно действие, например, только чтение файлов, составные — совмещают полномочия разного уровня. Одному пользователю может быть назначено несколько ролей, если это необходимо для выполнения бизнес-задач. Такой подход позволяет предоставлять сотрудникам одной должности разные привилегии, благодаря чему реализуется гибкий подход к управлению доступом.
Виды ролей пользователя
Примеры ролей и включенных в них привилегий:
- Администраторы — сотрудники с широким кругом привилегий. Они могут управлять настройками сервисов, пользовательскими учетными записями, средствами обеспечения информационной безопасности. Также в их полномочия иногда входит назначение ролей для других пользователей.
- Разработчики — сотрудники, которые занимаются оптимизацией систем и приложений. Такая роль пользователей включает полномочия, разрешающие менять настройки и логику сервисов, расширять функциональность. Они работают в специальной среде разработки.
- Инженеры и технические специалисты — сотрудники, которые помогают создавать программные продукты по техническому заданию заказчика, внедрять и масштабировать готовые решения в корпоративной среде. У них есть разрешения отключать и подключать функции программ, настраивать автоматизацию бизнес-процессов и др.
- Рядовые пользователи — сотрудники, которые используют ресурсы корпоративных систем для выполнения рабочих задач. У некоторых из них есть права только на просмотр данных, другие могут изменять и записывать данные, все зависит от возложенных функций.
- Привилегированные пользователи — сотрудники компании, которым назначены расширенные полномочия для выполнения задач высокого уровня. Иногда расширенные права могут быть предоставлены аутсорсерам и подрядчикам, на основании договора.
- Суперпользователи — сотрудники с практически неограниченными полномочиями. Обычно такая роль назначается администраторам систем и приложений.
Также можно создавать специфические функциональные роли пользователей, адаптированные под требования и особенности конкретных систем. Примеры таких ролей: менеджеры по доступу, менеджеры по безопасности. В них будут включены полномочия, позволяющие обеспечить более детальный уровень доступа к ресурсам целевых систем, в соответствии с направлением деятельности.
Роли пользователей в информационных системах, которые используются в корпоративной среде
Ролевую модель разграничения прав доступа можно применять для различных систем, например:
- ERP-систем — решений, позволяющих выстроить автоматизированное управление организацией, оптимизировать бизнес-процессы.
- CRM-систем — сервисов для организованной работы с клиентской базой, эффективного взаимодействия с клиентами и сотрудниками из разных подразделений компании.
- CMS-решений для управления сайтами и контентом.
- Kubernetes для автоматизации настройки и масштабирования рабочих сервисов и др.
Доступ на базе ролей пользователей к функциям этих и других систем разграничивает уровень полномочий и гарантирует, что каждый сотрудник получит только те права, которые ему нужны в работе, например, рядовые сотрудники не смогут использовать административные полномочия которые дают неограниченный доступ для выполнения задач высокого уровня.
Управление ролями пользователей с помощью Solar inRights
Возможно ли управление ролями пользователей вручную?
Теоретически это возможно, но с оговоркой, при штате компании примерно 100 человек. Однако если количество персонала насчитывает сотни или тысячи пользователей, задача становится практически невыполнимой. В таком случае рекомендуется внедрить систему IdM/IGA, такую как Solar inRights. Эта система гарантирует соблюдение регламентов в области управления доступом, предоставляя актуальные и полные данные о сотрудниках, должностях и подразделениях (полученные из кадровых источников) и управляет полномочиями работников в подключённых системах своевременно, безопасно и эффективно.
Solar inRights позволяет решать следующие задачи:
- Создавать роли пользователей, привязывать их к информационным системам или к функциям, определять круг полномочий, который будет доступен тем или иным сотрудникам.
- Анализировать, в каких системах работают пользователи, какие и кому предоставлены права. Благодаря этой функции Solar inRights ответственные лица будут в курсе полной картины доступов.
- Вносить изменения в роли при изменении должностных и функциональных обязанностей сотрудников. Настройки Solar inRights позволяют прийти к автоматизированному исполнению этих процессов, что экономит силы и время сотрудников ИТ-подразделения.
- Объединять роли пользователей в группы с целью создания многомерной модели управления и для упрощения поиска необходимых сведений, связанных с правами доступа сотрудников.
- Активировать и деактивировать роли, например, при переходе сотрудников на другие должности, поступлении в штат или увольнении.
Еще одна важная задача в контексте управления ролями пользователей, выполняемая с помощью Solar inRights — ресертификация доступа. Это процесс проверки и пересмотра назначенных полномочий, который позволяет проанализировать используемые права и сделать вывод о необходимости сохранения или удаления тех или иных доступов. Вполне возможно, что какие-то права были назначенным временно, по заявкам и потребности в них уже нет. Ресертификация помогает скорректировать роли с опорой на актуальные полномочия работников разных подразделений.
Безопасность и роли пользователей: как предотвратить возможные угрозы
Главная проблема, связанная с ролевой моделью управления доступом — SoD-конфликты, то есть назначение одному сотруднику несовместимых полномочий. Примеры конфликтующих привилегий:
- Регистрация и хранение.
- Регистрация и авторизация.
- Регистрация и проверка.
- Хранение и авторизация.
- Хранение и проверка.
- Авторизация и проверка.
SoD-конфликты нередко приводят к таким инцидентам, как утечка критически важных данных, кража финансовых средств компании, внутреннее мошенничество (например, предоставление и использование заведомо ложной документации).
Solar inRights позволяет управлять SoD-конфликтами, устанавливая запреты на назначение опасных сочетаний полномочий как в рамках одной роли пользователя, так и между ролями. На 100% предотвратить конфликты практически невозможно, но с помощью IdM-решения можно контролировать ситуацию в информационных системах и снижать риски ИБ.
Solar inRights также позволяет обнаружить все неактивные учетные записи, оставшиеся после увольнения сотрудников или тестовых запусков систем. Такие УЗ нужно вовремя деактивировать, поскольку они могут быть скомпрометированы и использованы для атак на компанию.
Еще одна опасность для ИБ организации — избыточные полномочия у кого-то из сотрудников. Права доступа могли быть назначены работнику в рамках ролей пользователей, но по факту они не нужны ему для выполнения обязанностей. Чтобы соблюсти принцип наименьших привилегий, набор полномочий можно скорректировать, в чем поможет Solar inRights за счет использования удобных визуальных инструментов по управлению ролями.