Реверс-прокси (Reverse Proxy): защита веб-ресурсов и контроль трафика
Узнать большеВ целях оптимизации бизнес-процессов и обеспечения безопасности информационных ресурсов компании реализуют разграничение доступа. Такой подход позволяет эффективнее выстраивать систему управления и осуществлять контроль работников. Крупные организации с большим штатом сотрудников часто внедряют определенную модель разграничения прав доступа администраторов. Она призвана решить вопрос с избыточными полномочиями и четко распределить обязанности в рамках информационной инфраструктуры компании. Обсудим, как и с помощью каких инструментов ее проще реализовать.
Модель разграничения прав доступа администраторов
Не все сотрудники с доступом к системе должны видеть всю информацию, которая там фигурирует. Например, доступ к анализу трафика генерального директора должен быть только у руководителей ИТ или ИБ-отделов. Но и здесь тоже возможно разграничение — если в компании функции этих подразделений разнесены, у сотрудников будут разные права.
Если в штате один администратор, все задачи лягут на него, поэтому такая модель не будет актуальной. Когда специалистов одного профиля несколько, приходится так или иначе распределять обязанности и права в системе. Это необходимо, чтобы сотрудники четко и без хаоса решали рабочие задачи, не углубляясь в посторонние процессы.
Функции модели разграничения прав доступа администраторов:
- Четкое распределение задач.
- Совершенствование бизнес-процессов.
- Усиление общей безопасности информационного периметра компании.
Объясним, как разграничение прав связано с безопасностью. Во-первых, такая схема значительно снижает риски инсайдерских (внутренних) атак, поскольку будет урезан круг лиц, имеющих доступ к критичной конфиденциальной информации и управлению системой.
Во-вторых, если доступ к важным объектам или функциям системы останется только у определенного круга лиц, злоумышленникам будет сложнее совершить атаку на организацию. Да, это не гарантия безопасности, но рисков в таком случае гораздо меньше.
В-третьих, не будет накопления излишних полномочий, которые практически всегда оборачиваются для компании боком. Важно назначать только те права, которые необходимы сотрудникам для выполнения должностных обязанностей.
Виды разграничения прав
Первая модель разграничения прав доступа администраторов — по штатной позиции сотрудника и его должностным обязанностям. Например, младший администратор может видеть только общие отчеты, старший специалист — иметь доступ к настройке системы.
Второй вариант — по принадлежности к ИТ- и ИБ-подразделениям. Специалисты из ИТ-отделов следят за работоспособностью информационной инфраструктуры, поэтому в их фокусе нагрузки, корректное взаимодействие узлов и систем. Следовательно, они должны иметь полномочия, позволяющие закрывать эти вопросы. Для ИБ-подразделений в приоритете безопасность компании, предотвращение и расследование инцидентов. Исходя из этих нюансов и формируется доступ специалистов к разным компонентам системы.
Использование Solar webProxy для реализации модели разграничения прав доступа администраторов
В нашем решении Solar webProxy реализован модуль разграничения прав на базе ролевой модели. С его помощью можно создавать роли для сотрудников, назначать полномочия, настраивать ограничения доступа к определенным данным и разделам систем. Также реализовано разграничение прав на доступ к тем или иным информационным сводкам по доступу сотрудников к веб-ресурсам.
Для администраторов в рамках этого раздела предусмотрены следующие роли:
- Суперадминистратор с расширенным набором полномочий. Такой сотрудник имеет право просматривать все журналы событий и получает доступ к большинству разделов информационных систем.
- Системный администратор с доступом ко всем системным журналам событий.
- Администратор безопасности, наделенный полномочиями просматривать статистику пользовательских действий в информационных системах, журналы безопасности и фильтрации.
Также с помощью Solar webProxy при интеграции с другими корпоративными сервисами и системами можно управлять учетными записями пользователей — блокировать, видоизменять, добавлять, удалять их. Это важная функция, позволяющая упорядочить доступ и исключить появление бесхозных «учеток», которые нередко используются для несанкционированных проникновений внутрь информационной инфраструктуры компании.
Заключение
Модель разграничения прав доступа администраторов поможет разделить профили сотрудников, назначить конкретные полномочия для решения рабочих задач, минимизировать риски утечки конфиденциальных данных, избежать хаоса в бизнес-процессах. Реализовать такой подход можно с помощью комплексной системы Solar webProxy, которая легко внедряется в виде виртуального образа, интегрируется с другими инструментами обеспечения безопасности, управляется из удобного интерфейса.
