
Атрибутивная модель управления доступом
Узнать больше30.10.2024
В информационной инфраструктуре каждой компании имеются учетные записи (УЗ), наделенные различными правами доступа. Среди них есть технические учетные записи (ТУЗ), упрощающие работу с компонентами инфраструктуры. В статье рассказываем, зачем нужны ТУЗ, как и с помощью каких инструментов управлять их жизненным циклом и безопасностью.
Технические учетные записи необходимы для различных служебных целей, связанных с организацией и поддержкой работы IT-инфраструктуры. Примером использования может быть подключение и аутентификация в разных компонентах информационной инфраструктуры компании. Например, ТУЗ позволяют через веб-сервисы обращаться к информационным системам, СУБД.
Такие УЗ могут быть наделены различными полномочиями — от базовых до расширенных. Если учетной записи присвоены расширенные права, она будет считаться привилегированной.
Доступ к ТУЗ имеет ограниченный круг сотрудников, в который не входят рядовые работники. Чаще всего такими учетными данными пользуются администраторы, которые обязаны соблюдать регламенты работы с техническими учетными записями.
Но далеко не всегда в организациях назначены ответственные и владельцы технических учетных записей. Нередко служебные аккаунты и пароли передаются разным сотрудникам, которые в определенный момент времени работают с ними.
УЗ такого плана можно условно разделить на три категории:
Во многих компаниях регистрируются все перечисленные виды ТУЗ. Важно систематизировать их, чтобы учетные записи и назначенные для них права доступа были под контролем.
Регистрировать ТУЗ и управлять их жизненным циклом можно вручную, либо с помощью систем класса Identity Management (далее — IdM). Ручное управление возможно, если компания небольшая, и учетных записей немного. В таком случае можно регистрировать и блокировать УЗ, предоставлять необходимые полномочия силами администратора. В крупных компаниях с большим количеством используемых целевых систем и сервисов вариант с ручным управлением сложно реализуем, поэтому целесообразно внедрить специальное решение.
IdM-система позволит автоматизировать процессы регистрации учетных записей и распределения полномочий, будет способствовать соблюдению внутренних регламентов в части управления доступом.
С помощью IdM-системы Solar inRights можно выполнять следующие функции:
Использование IdM-системы — оптимальный вариант для компаний, которые хотят прийти к централизованному управлению доступом и автоматизировать большинство процессов, связанных с учетными записями.
Если управление УЗ осуществляется вручную или с использованием разрозненных инструментов, часто оказывается так, что ответственных за технические учетные записи нет, либо таких ответственных несколько. В результате возникает хаос в доступах, в случае инцидентов очень сложно проводить расследование. Эту проблему можно решить с помощью системы Solar inRights, которая значительно упрощает работу с техническими УЗ и позволяет навести порядок в доступах.
В этом году в продукте появилось большое обновление, включающее следующие функции:
Также реализована функция отправки оповещений ответственным лицам, если владелец технической УЗ предпримет попытку изменить права доступа в обход IdM-системы и другие возможности по управлению ТУЗ.
Технические учетные записи постоянно находятся под прицелом злоумышленников, желающих проникнуть в информационную инфраструктуру компаний. Любая ошибка при работе с такими УЗ может привести к перехвату и атаке на организацию.
Большая часть ТУЗ наделяется расширенными полномочиями, поэтому перехват и несанкционированное использование таких учетных записей скорее всего приведет к утечке конфиденциальных данных, сбоям в работе целевых систем, финансовому ущербу.
Чтобы избежать компрометации ТУЗ, важно продумать стратегию защиты, обеспечить надлежащее хранение учетных записей и назначить ответственных лиц, которые будут отслеживать все процессы, связанные с подконтрольными объектами.
Чтобы защитить учетные данные от компрометации, необходимо использовать надежные сложные пароли, состоящие не только из прописных и заглавных букв, но и из специальных символов, цифр. Также в компании должна действовать парольная политика, регламентирующая требования к учетным данным и их хранению, периодичность смены паролей.
Второй важный фактор защиты — многофакторная аутентификация, подразумевающая несколько этапов проверки легитимности входа в аккаунт. После стандартного ввода пароля необходимо будет ввести одноразовый код, воспользоваться смарт-картой или токеном. Иногда для входа в аккаунт требуются биометрические данные, чаще всего отпечаток пальца или изображение лица.
IdM-система Solar inRights может сыграть важную роль в обеспечении безопасности технических учетных записей. Она обеспечивает грамотное применение механизмов аутентификации, позволяет настроить эффективные парольные политики и процедуры исполнения регламентов.
Аудит — одна из эффективных мер контроля использования УЗ. В ходе аудита проверяется, сколько ТУЗ зарегистрировано в компании, для чего они предназначены, какие права доступа им назначены. Также определяется перечень ответственных лиц, которые должны следить за использованием технических учетных записей и соблюдением внутренних регламентов.
Необходимую для проведения аудита информацию предоставит система Solar inRights. Решение собирает и хранит все данные о регистрациях/блокировках УЗ, доступах, а также результаты предыдущих проверок.
ЗАКЛЮЧЕНИЕ
Все учетные записи компании, в том числе технические, необходимо контролировать, чтобы можно было корректно и своевременно назначать полномочия, блокировать УЗ, обнаруживать несанкционированное использование. Эффективно и централизованно управлять учетными записями и правами доступа поможет IdM-система Solar inRights, которая предоставляет продуманные инструменты прямого контроля.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.