Атрибутивная модель управления доступом: что это такое, как осуществляется

Управление доступом в организациях играет значимую роль и позволяет обеспечивать высокий уровень информационной безопасности. Основное условие — у штатных и внештатных сотрудников должны быть только те полномочия, которые действительно необходимы для выполнения обязанностей. Соблюсти этот принцип и снизить риски несанкционированного использования корпоративных ресурсов можно с помощью адаптивной и прозрачной модели управления доступом — атрибутивной. Рассказываем, что это такое, для кого подходит, как реализовывается.

Атрибутивная модель управления доступом: понятие и особенности

Attribute-Based Access Control (далее — ABAC) — концепция управления доступом, позволяющая принимать решения о присвоении полномочий на основе определенных атрибутов, связанных с объектами ИТ- инфраструктуры, корпоративными средами, пользователями, действиями. Она идеальна для крупных предприятий с многочисленным штатом и большим числом ресурсов, потому что, в отличие от традиционных моделей управления доступом, является более адаптивной и детализированной.

Ключевые компоненты концепции:

Атрибуты — характеристики пользователей, объектов, действий, окружения. Например, характеристиками пользователей являются занимаемые должности, IP-адреса рабочих устройств, уровни доступа к целевым системам и др. Примеры характеристик объектов (корпоративных ресурсов): тип, уровень чувствительности, создатели, допустимый уровень доступа. Также к атрибутам можно отнести рабочее время сотрудников, геолокацию и др.
Субъекты — пользователи, которым разрешено работать с теми или иными объектами ИТ-инфраструктуры. Всем субъектам присваиваются определенные атрибуты, позволяющие определить допустимый уровень допуска и назначить соответствующие полномочия.
Объекты — хранящиеся в сети ресурсы. Атрибуты присваиваются им с целью идентификации и описания.
Операции — действия, совершаемые субъектами в отношении объектов корпоративной инфраструктуры.
Политики — наборы правил, которые определяют процессы назначения полномочий, перечень допустимых операций.

Главная особенность атрибутивной модели управления доступом — создание точных правил доступа, где учтены различные контекстные данные и факторы. Благодаря этому можно давать сотрудникам доступ не на постоянной основе, а, например, только в рабочие часы, с определенных IP-адресов, на ограниченный период и т.д. Таким образом, ABAC позволяет максимально снизить риски инцидентов ИБ в части превышения полномочий и в целом повысить уровень безопасности.

Сильные и слабые стороны атрибутивной модели управления доступом

Ключевые плюсы ABAC:

Гибкость. Такая модель управления может адаптироваться к бизнес-процессам и помогает соблюдать нормативные требования. Гибкость обеспечивается за счет создания сложных правил доступа на базе множества факторов.
Детализация при распределении пользовательских полномочий. Атрибутивная модель управления доступом позволяет принимать решения с учетом не только должностей и круга обязанностей персонала, но и геолокации, текущего времени, количества рабочих часов и др.
Масштабируемость. Поскольку атрибутивная модель управления доступом быстро адаптируется к изменениям внутри компании, она может расширяться под новые требования, что делает ее идеальной для крупных, активно развивающихся организаций.

У модели ABAC есть и слабые стороны:

Сложность в разработке и внедрении, из-за чего такая модель нецелесообразна для малых и средних компаний.
Снижение производительности, связанное с оценкой большого количества атрибутов и формирования сложных политик доступа.
Высокие требования к данным. Для всех атрибутов должна быть предоставлена полная и точная информация.

Вызовы и проблемы традиционных моделей управления доступом

Помимо атрибутивной модели управления доступом, есть еще три. Подробнее рассказываем о каждой в контексте преимуществ и слабых сторон.

Discretionary Access Control (DAC)

Это избирательная или дискреционная модель, при которой управление доступом осуществляется одномерно, на основании списков, в которых фиксируется какому субъекту (пользователю) к какому объекту (файл, папка, библиотека и т.п.) необходимо предоставить доступ. В рамках такой концепции доступами к целевым системам распоряжаются администраторы или владельцы ресурсов. При назначении полномочий учитывается основная идентификационная информация конкретных пользователей.

Преимущества модели:

Простота внедрения.
Возможность применения к любому программному обеспечению.
Беспроблемная настройка.

Минусы:

Дискреционная модель подразумевает наличие широких полномочий у лиц, которые распоряжаются доступом. Из-за этого возрастают риски злоупотребления привилегиями, несанкционированного взаимодействия с ресурсами.
Такая концепция не подойдет для компаний с многочисленным штатом сотрудников и широкой ИТ-инфраструктурой, поскольку в этом случае физически невозможно вручную назначить релевантные полномочия каждому работнику.

Главная проблема DAC в том, что ей не хватает гибкости и упорядоченности. Именно по этой причине она используется компаниями достаточно редко.

Mandatory Access Control (MAC)

Эта модель также называется мандатной или обязательной. Выдача полномочий в ее рамках основывается на принципах конфиденциальности. Всем значимым объектам ИТ-инфраструктуры присваиваются метки конфиденциальности — от «несекретно/общедоступно» до «строго конфиденциально». Затем администраторы определяют для сотрудников уровни доступа в соответствии с занимаемыми должностями. Кому-то предоставляются полномочия для работы с засекреченными данными, кому-то — только для операций с ресурсами с низким уровнем конфиденциальности. Для каждого сотрудника формируется соответствующий профиль с определенным кругом привилегий.

В отличие от атрибутивной модели управления доступом, мандатная не предполагает свободного расширения набора полномочий. Если сотруднику нужны дополнительные права доступа, необходимо создавать под него новый профиль.

Преимущества модели:

Обеспечение повышенного уровня ИБ.
Простота реализации.

Ключевые недостатки — отсутствие гибкости и нецелесообразность для крупных организаций. Такая модель используется в основном государственными учреждениями со строгими требованиями к ИБ. Для бизнеса она не подойдет.

Role Based Access Control (RBAC)

Это ролевая концепция управления доступом, подразумевающая формирование ролей с готовыми перечнями полномочий. Эти роли распределяются между сотрудниками согласно должностям и служебным обязанностям.

Преимущества RBAC:

Отсутствие необходимости отдельно назначать полномочия каждому сотруднику.
Минимизация рисков назначения избыточных привилегий.
Возможность дополнять или сокращать наборы прав, внося изменения в роли.
Гибкость и обеспечение прозрачности управления доступом.
Возможность создавать временные роли для выполнения определенных задач.

Минусы — зависимость от статических ролей и нецелесообразность внедрения в небольшие организации.

Как и атрибутивная модель управления доступом, ролевая считается адаптивной и может внедряться в компаниях с численностью штата от 50 человек.

Как работает атрибутивная модель управления доступом

Процесс принятия решений о предоставлении доступа осуществляется в несколько шагов:

Сбор необходимых атрибутов путем запросов к отделу кадров, базам данных, справочникам и другим доверенным источникам.
Оценка атрибутов и применение политик для определения разрешенных действий.
Предоставление доступа или отказ по результатам оценки политик.

Принятые решения могут исполняться автоматически или передаваться на одобрение ответственным лицам.

Примеры использования атрибутивной модели управления доступом

ABAC часто применяется в медучреждениях, чтобы обеспечить конфиденциальность историй болезней. Пример реализации модели — доступ к данным пациентов разрешается только лечащим врачам и исключительно в рабочие часы.

В банках атрибутивная модель управления доступом помогает защитить финансовые данные клиентов. Например, можно открыть доступ к ним только с определенных IP-адресов.

Внедрение ABAC позволит соблюсти требования к ИБ в государственных учреждениях, где хранятся и обрабатываются сведения, отнесенные к гостайне. Казалось бы, в таком случае больше подойдет дискреционная модель, но атрибутивная позволит эффективнее управлять уровнями доступа, учитывая разные условия.

Построение атрибутивной модели управления доступом с помощью IdM-системы Solar inRights

Solar inRights — продукт класса Identity Management (IdM). Это удобный инструмент для прозрачного управления доступом в рабочих сервисах и целевых системах, который позволяет оптимизировать и автоматизировать присвоение полномочий, минимизируя риски намеренных нарушений и ошибок из-за человеческого фактора. Solar inRights интегрируется с доверенными кадровыми источниками, обрабатывает полученные сведения и, согласно заданным сценариям, запускает штатные процессы: регистрацию и блокировку учетных записей, присвоение, изменение и отзыв привилегий в подключенных управляемых системах.

Редактирование политики назначения на основании атрибутов пользователей

Система Solar inRights ориентирована на внедрение ролевой модели, но позволяет выстроить и атрибутивную. Для регламентации полномочий предусмотрен процесс управления политиками назначений, который позволяют настраивать процессы выдачи прав для определенных подразделений, должностей и отдельных учетных записей на основании широкого спектра правил и с учетом различных атрибутов. Решение позволяет учитывать специфику работу внутренних и внешних сотрудников, а также технических учетных записей. Также система формирует информационную базу в части доступа — хранит сведения об учетных записях, актуальных и отозванных правах и измененных атрибутах.

ЗАКЛЮЧЕНИЕ

Применение атрибутивной модели управления доступом помогает оптимизировать процессы назначения пользовательских полномочий, обеспечить соблюдение требований к ИБ и внутренних регламентов. Концепцию можно реализовать с помощью удобного инструмента — IdM-решения Solar inRights. Продукт отличается высокой производительностью, позволяет подключать десятки систем и сотни тысяч пользователей, кастомизируется под задачи бизнеса и масштабируется без потери настроек.