Атрибутивная модель управления доступом
Узнать большеВ информационной инфраструктуре каждой компании имеются учетные записи (УЗ), наделенные различными правами доступа. Среди них есть технические учетные записи (ТУЗ), упрощающие работу с компонентами инфраструктуры. В статье рассказываем, зачем нужны ТУЗ, как и с помощью каких инструментов управлять их жизненным циклом и безопасностью.
Зачем нужны технические учетные записи
Технические учетные записи необходимы для различных служебных целей, связанных с организацией и поддержкой работы IT-инфраструктуры. Примером использования может быть подключение и аутентификация в разных компонентах информационной инфраструктуры компании. Например, ТУЗ позволяют через веб-сервисы обращаться к информационным системам, СУБД.
Такие УЗ могут быть наделены различными полномочиями — от базовых до расширенных. Если учетной записи присвоены расширенные права, она будет считаться привилегированной.
Доступ к ТУЗ имеет ограниченный круг сотрудников, в который не входят рядовые работники. Чаще всего такими учетными данными пользуются администраторы, которые обязаны соблюдать регламенты работы с техническими учетными записями.
Но далеко не всегда в организациях назначены ответственные и владельцы технических учетных записей. Нередко служебные аккаунты и пароли передаются разным сотрудникам, которые в определенный момент времени работают с ними.
Какие технические учетные записи бывают
УЗ такого плана можно условно разделить на три категории:
- Системные УЗ. Это учетные записи, которые автоматически создаются различные системами и используются для настройки внутренних процессов, доступа к функциям. Они по умолчанию наделены расширенными полномочиями в отношении систем, к которым привязаны. Такие УЗ не могут присваиваться пользователям, добавляться в группы.
- Служебные учетные записи приложений и сервисов. УЗ, которые используются службами, обеспечивающими взаимодействие с операционными системами и приложениями. Также они являются цифровыми удостоверениями прикладного программного обеспечения. Такие УЗ не привязаны к пользователям и зачастую наделяются расширенными полномочиями для работы с базовыми хранилищами данных.
- УЗ для автоматизации скриптов. Такие учетные записи могут использоваться для создания специальных ТУЗ под конкретные сценарии, для управления пользовательскими правами.
Во многих компаниях регистрируются все перечисленные виды ТУЗ. Важно систематизировать их, чтобы учетные записи и назначенные для них права доступа были под контролем.
Управление техническими записями, контроль жизненного цикла, назначение прав доступа
Регистрировать ТУЗ и управлять их жизненным циклом можно вручную, либо с помощью систем класса Identity Management (далее — IdM). Ручное управление возможно, если компания небольшая, и учетных записей немного. В таком случае можно регистрировать и блокировать УЗ, предоставлять необходимые полномочия силами администратора. В крупных компаниях с большим количеством используемых целевых систем и сервисов вариант с ручным управлением сложно реализуем, поэтому целесообразно внедрить специальное решение.
IdM-система позволит автоматизировать процессы регистрации учетных записей и распределения полномочий, будет способствовать соблюдению внутренних регламентов в части управления доступом.
С помощью IdM-системы Solar inRights можно выполнять следующие функции:
- Создавать технические учетные записи.
- Назначать владельцев технических учетных записей, которые будут нести ответственность за их использование.
- Контролировать полный цикл учетных записей, в том числе и технических. Она будет администрировать все процессы, начиная с регистрации УЗ, заканчивая временной или окончательной блокировкой.
- Распределять права доступа для УЗ. Система работает на базе ролевой модели, предусматривающей формирование ролей с привязанными наборами полномочий. С целью оптимизации процесса назначения привилегий всем аккаунтам с одинаковыми функциями можно присвоить идентичные роли.
- Способствовать соблюдению принципа наименьших привилегий. Он подразумевает, что у всех пользователей и учетных записей должны быть минимально достаточные права доступа.
- Блокировать и разблокировать технические учетные записи, управлять паролями.
Использование IdM-системы — оптимальный вариант для компаний, которые хотят прийти к централизованному управлению доступом и автоматизировать большинство процессов, связанных с учетными записями.
Как упростить работу с техническими учетными записями с помощью Solar inRights
Если управление УЗ осуществляется вручную или с использованием разрозненных инструментов, часто оказывается так, что ответственных за технические учетные записи нет, либо таких ответственных несколько. В результате возникает хаос в доступах, в случае инцидентов очень сложно проводить расследование. Эту проблему можно решить с помощью системы Solar inRights, которая значительно упрощает работу с техническими УЗ и позволяет навести порядок в доступах.
В этом году в продукте появилось большое обновление, включающее следующие функции:
- Мастер создания технических учетных записей. С помощью этой функции регистрировать УЗ и назначать для них полномочия можно в несколько кликов. Созданные технические учетные записи будут храниться отдельно от пользовательских.
- Карточки ТУЗ. В них отображаются уровни доступа конкретных учетных записей, перечни ответственных лиц.
- Сценарии автоматизации. Например, если владелец ТУЗ уволится из компании, его учетная запись автоматически перейдет к другому владельцу, либо автоматически будет запущен другой сценарий, определенный политикой компании.
Также реализована функция отправки оповещений ответственным лицам, если владелец технической УЗ предпримет попытку изменить права доступа в обход IdM-системы и другие возможности по управлению ТУЗ.
Важность защиты учетных записей от несанкционированного использования
Технические учетные записи постоянно находятся под прицелом злоумышленников, желающих проникнуть в информационную инфраструктуру компаний. Любая ошибка при работе с такими УЗ может привести к перехвату и атаке на организацию.
Большая часть ТУЗ наделяется расширенными полномочиями, поэтому перехват и несанкционированное использование таких учетных записей скорее всего приведет к утечке конфиденциальных данных, сбоям в работе целевых систем, финансовому ущербу.
Чтобы избежать компрометации ТУЗ, важно продумать стратегию защиты, обеспечить надлежащее хранение учетных записей и назначить ответственных лиц, которые будут отслеживать все процессы, связанные с подконтрольными объектами.
Обеспечение безопасности технических учетных записей
Чтобы защитить учетные данные от компрометации, необходимо использовать надежные сложные пароли, состоящие не только из прописных и заглавных букв, но и из специальных символов, цифр. Также в компании должна действовать парольная политика, регламентирующая требования к учетным данным и их хранению, периодичность смены паролей.
Второй важный фактор защиты — многофакторная аутентификация, подразумевающая несколько этапов проверки легитимности входа в аккаунт. После стандартного ввода пароля необходимо будет ввести одноразовый код, воспользоваться смарт-картой или токеном. Иногда для входа в аккаунт требуются биометрические данные, чаще всего отпечаток пальца или изображение лица.
IdM-система Solar inRights может сыграть важную роль в обеспечении безопасности технических учетных записей. Она обеспечивает грамотное применение механизмов аутентификации, позволяет настроить эффективные парольные политики и процедуры исполнения регламентов.
Аудит технических учетных записей
Аудит — одна из эффективных мер контроля использования УЗ. В ходе аудита проверяется, сколько ТУЗ зарегистрировано в компании, для чего они предназначены, какие права доступа им назначены. Также определяется перечень ответственных лиц, которые должны следить за использованием технических учетных записей и соблюдением внутренних регламентов.
Необходимую для проведения аудита информацию предоставит система Solar inRights. Решение собирает и хранит все данные о регистрациях/блокировках УЗ, доступах, а также результаты предыдущих проверок.