Аттестация доступа
Узнать большеУправление доступом в организациях играет значимую роль и позволяет обеспечивать высокий уровень информационной безопасности. Основное условие — у штатных и внештатных сотрудников должны быть только те полномочия, которые действительно необходимы для выполнения обязанностей. Соблюсти этот принцип и снизить риски несанкционированного использования корпоративных ресурсов можно с помощью адаптивной и прозрачной модели управления доступом — атрибутивной. Рассказываем, что это такое, для кого подходит, как реализовывается.
Атрибутивная модель управления доступом: понятие и особенности
Attribute-Based Access Control (далее — ABAC) — концепция управления доступом, позволяющая принимать решения о присвоении полномочий на основе определенных атрибутов, связанных с объектами ИТ- инфраструктуры, корпоративными средами, пользователями, действиями. Она идеальна для крупных предприятий с многочисленным штатом и большим числом ресурсов, потому что, в отличие от традиционных моделей управления доступом, является более адаптивной и детализированной.
Ключевые компоненты концепции:
- Атрибуты — характеристики пользователей, объектов, действий, окружения. Например, характеристиками пользователей являются занимаемые должности, IP-адреса рабочих устройств, уровни доступа к целевым системам и др. Примеры характеристик объектов (корпоративных ресурсов): тип, уровень чувствительности, создатели, допустимый уровень доступа. Также к атрибутам можно отнести рабочее время сотрудников, геолокацию и др.
- Субъекты — пользователи, которым разрешено работать с теми или иными объектами ИТ-инфраструктуры. Всем субъектам присваиваются определенные атрибуты, позволяющие определить допустимый уровень допуска и назначить соответствующие полномочия.
- Объекты — хранящиеся в сети ресурсы. Атрибуты присваиваются им с целью идентификации и описания.
- Операции — действия, совершаемые субъектами в отношении объектов корпоративной инфраструктуры.
- Политики — наборы правил, которые определяют процессы назначения полномочий, перечень допустимых операций.
Главная особенность атрибутивной модели управления доступом — создание точных правил доступа, где учтены различные контекстные данные и факторы. Благодаря этому можно давать сотрудникам доступ не на постоянной основе, а, например, только в рабочие часы, с определенных IP-адресов, на ограниченный период и т.д. Таким образом, ABAC позволяет максимально снизить риски инцидентов ИБ в части превышения полномочий и в целом повысить уровень безопасности.
Сильные и слабые стороны атрибутивной модели управления доступом
Ключевые плюсы ABAC:
- Гибкость. Такая модель управления может адаптироваться к бизнес-процессам и помогает соблюдать нормативные требования. Гибкость обеспечивается за счет создания сложных правил доступа на базе множества факторов.
- Детализация при распределении пользовательских полномочий. Атрибутивная модель управления доступом позволяет принимать решения с учетом не только должностей и круга обязанностей персонала, но и геолокации, текущего времени, количества рабочих часов и др.
- Масштабируемость. Поскольку атрибутивная модель управления доступом быстро адаптируется к изменениям внутри компании, она может расширяться под новые требования, что делает ее идеальной для крупных, активно развивающихся организаций.
У модели ABAC есть и слабые стороны:
- Сложность в разработке и внедрении, из-за чего такая модель нецелесообразна для малых и средних компаний.
- Снижение производительности, связанное с оценкой большого количества атрибутов и формирования сложных политик доступа.
- Высокие требования к данным. Для всех атрибутов должна быть предоставлена полная и точная информация.
Вызовы и проблемы традиционных моделей управления доступом
Помимо атрибутивной модели управления доступом, есть еще три. Подробнее рассказываем о каждой в контексте преимуществ и слабых сторон.
Discretionary Access Control (DAC)
Это избирательная или дискреционная модель, при которой управление доступом осуществляется одномерно, на основании списков, в которых фиксируется какому субъекту (пользователю) к какому объекту (файл, папка, библиотека и т.п.) необходимо предоставить доступ. В рамках такой концепции доступами к целевым системам распоряжаются администраторы или владельцы ресурсов. При назначении полномочий учитывается основная идентификационная информация конкретных пользователей.
Преимущества модели:
- Простота внедрения.
- Возможность применения к любому программному обеспечению.
- Беспроблемная настройка.
Минусы:
- Дискреционная модель подразумевает наличие широких полномочий у лиц, которые распоряжаются доступом. Из-за этого возрастают риски злоупотребления привилегиями, несанкционированного взаимодействия с ресурсами.
- Такая концепция не подойдет для компаний с многочисленным штатом сотрудников и широкой ИТ-инфраструктурой, поскольку в этом случае физически невозможно вручную назначить релевантные полномочия каждому работнику.
Главная проблема DAC в том, что ей не хватает гибкости и упорядоченности. Именно по этой причине она используется компаниями достаточно редко.
Mandatory Access Control (MAC)
Эта модель также называется мандатной или обязательной. Выдача полномочий в ее рамках основывается на принципах конфиденциальности. Всем значимым объектам ИТ-инфраструктуры присваиваются метки конфиденциальности — от «несекретно/общедоступно» до «строго конфиденциально». Затем администраторы определяют для сотрудников уровни доступа в соответствии с занимаемыми должностями. Кому-то предоставляются полномочия для работы с засекреченными данными, кому-то — только для операций с ресурсами с низким уровнем конфиденциальности. Для каждого сотрудника формируется соответствующий профиль с определенным кругом привилегий.
В отличие от атрибутивной модели управления доступом, мандатная не предполагает свободного расширения набора полномочий. Если сотруднику нужны дополнительные права доступа, необходимо создавать под него новый профиль.
Преимущества модели:
- Обеспечение повышенного уровня ИБ.
- Простота реализации.
Ключевые недостатки — отсутствие гибкости и нецелесообразность для крупных организаций. Такая модель используется в основном государственными учреждениями со строгими требованиями к ИБ. Для бизнеса она не подойдет.
Role Based Access Control (RBAC)
Это ролевая концепция управления доступом, подразумевающая формирование ролей с готовыми перечнями полномочий. Эти роли распределяются между сотрудниками согласно должностям и служебным обязанностям.
Преимущества RBAC:
- Отсутствие необходимости отдельно назначать полномочия каждому сотруднику.
- Минимизация рисков назначения избыточных привилегий.
- Возможность дополнять или сокращать наборы прав, внося изменения в роли.
- Гибкость и обеспечение прозрачности управления доступом.
- Возможность создавать временные роли для выполнения определенных задач.
Минусы — зависимость от статических ролей и нецелесообразность внедрения в небольшие организации.
Как и атрибутивная модель управления доступом, ролевая считается адаптивной и может внедряться в компаниях с численностью штата от 50 человек.
Как работает атрибутивная модель управления доступом
Процесс принятия решений о предоставлении доступа осуществляется в несколько шагов:
- Сбор необходимых атрибутов путем запросов к отделу кадров, базам данных, справочникам и другим доверенным источникам.
- Оценка атрибутов и применение политик для определения разрешенных действий.
- Предоставление доступа или отказ по результатам оценки политик.
Принятые решения могут исполняться автоматически или передаваться на одобрение ответственным лицам.
Примеры использования атрибутивной модели управления доступом
ABAC часто применяется в медучреждениях, чтобы обеспечить конфиденциальность историй болезней. Пример реализации модели — доступ к данным пациентов разрешается только лечащим врачам и исключительно в рабочие часы.
В банках атрибутивная модель управления доступом помогает защитить финансовые данные клиентов. Например, можно открыть доступ к ним только с определенных IP-адресов.
Внедрение ABAC позволит соблюсти требования к ИБ в государственных учреждениях, где хранятся и обрабатываются сведения, отнесенные к гостайне. Казалось бы, в таком случае больше подойдет дискреционная модель, но атрибутивная позволит эффективнее управлять уровнями доступа, учитывая разные условия.
Построение атрибутивной модели управления доступом с помощью IdM-системы Solar inRights
Solar inRights — продукт класса Identity Management (IdM). Это удобный инструмент для прозрачного управления доступом в рабочих сервисах и целевых системах, который позволяет оптимизировать и автоматизировать присвоение полномочий, минимизируя риски намеренных нарушений и ошибок из-за человеческого фактора. Solar inRights интегрируется с доверенными кадровыми источниками, обрабатывает полученные сведения и, согласно заданным сценариям, запускает штатные процессы: регистрацию и блокировку учетных записей, присвоение, изменение и отзыв привилегий в подключенных управляемых системах.
Система Solar inRights ориентирована на внедрение ролевой модели, но позволяет выстроить и атрибутивную. Для регламентации полномочий предусмотрен процесс управления политиками назначений, который позволяют настраивать процессы выдачи прав для определенных подразделений, должностей и отдельных учетных записей на основании широкого спектра правил и с учетом различных атрибутов. Решение позволяет учитывать специфику работу внутренних и внешних сотрудников, а также технических учетных записей. Также система формирует информационную базу в части доступа — хранит сведения об учетных записях, актуальных и отозванных правах и измененных атрибутах.