Управление доступом к ресурсам компании

Публикации

Управление доступом к ресурсам компании
Введение

Начать данную статью хотелось бы с простого и понятного всем постулата – управление доступом — это краеугольный камень любой системы информационной безопасности. Думаю, с этим мало кто станет спорить.

В современных компаниях, — а мы сегодня будем говорить о крупных компаниях и структурах, — работает огромное количество сотрудников – это сотни, тысячи а порой и десятки тысяч человек.

Более того, с течением времени, это количество постоянно меняется, приходят новые сотрудники, кто-то увольняется, происходят постоянные перемещения сотрудников внутри компании, сопровождающиеся сменой должностных обязанностей.

С другой стороны, практически в каждой компании сегодня используются десятки различных информационных систем. На картинке представлен перечень систем, который пришел мне в голову буквально за пять минут, пока я рисовал эту картинку, и даже тут — два десятка информационных систем. Да простят меня те компании, о которых я не вспомнил.

И все это пестрое разнообразие остро нуждается в управлении доступом.

По долгу службы я очень часто общаюсь со специалистами из ИТ- и ИБ- подразделений различных компаний. Да чего уж там говорить, несколько лет назад я тоже был администратором безопасности и работал в компании численностью около 1000 человек.

Так вот, я часто вижу, что в реальности для многих специалистов управление доступом выглядит так. Это совокупность учетных записей, логинов, паролей, групп безопасности, токенов и смарт-карт, сертификатов и прочего. Это то, с чем люди работают ежедневно и это то, на что, как правило, тратится колоссальное количество времени.

Но давайте взглянем на процесс управления доступом с точки зрения технологий. Ведь на самом деле эффективность системы управления доступом можно оценить именно с точки зрения применяемых технологий.  

Меняющие классику

Так, например, последние полгода очертили новые интересные тенденции, которые непосредственно касаются нашей сегодняшней темы.

 

Сначала вице-президент корпорации Google по безопасности выступил с заявлениями о том, что современные средства аутентификации более не способны обеспечивать пользователей должным уровнем безопасности. Он имел ввиду классические системы на базе логинов и паролей.

И буквально через пару недель после этого заявления Google объявила о начале тестирования новой системы аутентификации в своих сервисах совместно с производителем токенов – Yubico.

Затем мы увидели активность со стороны FIDO Alliance на тему активного перехода к системам двухфакторной аутентификации.

Даже основной слоган ассоциации звучит как призыв – Forget Passwords! Да и состав участников альянса — крупные и уважаемые компании, так что к их мнению, безусловно, прислушивается все мировое сообщество.

 

А буквально в мае мы увидели анонс о том, что они запускают в промышленную эксплуатацию систему двухфакторной аутентификации, основанную на одноразовых смс-паролях.

Все это говорит об одном – мы с вами являемся свидетелями смены технологий. Массовый переход к системам двухфакторной аутентификации запущен и обратного пути просто нет, а с учетом современных угроз, и быть не может. Но давайте вернемся к технологиям.

Ключевые технологии управления доступом

Как я уже упоминал, именно применяемые технологии являются тем самым показателем, который помогает оценить эффективность системы управления доступом.

Можно сказать, что без технологий современное крупное предприятие с распределенной инфраструктурой просто не сможет быть эффективным.

С точки зрения подсистемы управления доступом, есть три ключевые технологии, применение которых существенно влияет на итоговый результат.

Первая – IDM (Identity Management) или, в более широком смысле, IAM (Identity&Access Management) — технология управления учетными записями и правами пользователей к информационным ресурсам. Основное назначение подобных систем заключается в автоматизации процесса создания учетных записей и предоставлении необходимых прав доступа пользователям.

Фактически, IDM-система способна свести ежедневные рутинные операции сотрудников ИТ- и ИБ-подразделений к минимуму. И вы всегда будете знать, кому из пользователей, какой доступ предоставлен, на каком основании, и кто это согласовал.

Это решит одну из важнейших задач, за которую ратуют специалисты по информационной безопасности – в любой момент времени у вас будет актуальная матрица доступа, о которой 99% ИБ-шников могут только мечтать.

Вторая технология – управление PKI-инфраструктурой. Данная технология является прямым следствием из описанного выше перехода к двухфакторной модели аутентификации.

Важнейшей задачей подобных систем является управление всеми элементами инфраструктуры открытых ключей (токенами, смарт-картами, сертификатами и ключевыми парами) на протяжении всего их жизненного цикла.

Важность этой системы нельзя недооценивать, ведь именно подобные системы могут дать информацию о том, кому из сотрудников какой токен выдан, какой сертификат на него записан, и каков срок действия этого сертификата.

Более того, если говорить о российских реалиях и применении ГОСТ криптоалгоритмов, то некоторые из этих систем так же способны вести, к примеру, поэкземплярный учет лицензий и дистрибутивов СКЗИ (средств криптографической защиты информации), что очень важно, с точки зрения проверки со стороны ФСБ.

Ну и третьей технологией о которой хотелось бы поговорить – это SSO (Single Sign-On). Технология единого входа, или в более широком смысле управления аутентификацией. Изначально у специалистов по информационной безопасности к данной технологии было двоякое отношение.

Не скрою, несколько лет назад я и сам относился к ней настороженно, так как считал, что внедрение подобной системы несколько снижает общий уровень информационной безопасности в компании. Но время все расставило на свои места, и лавинообразный рост количества информационных систем серьезно усугубил жизнь пользователям.

Они просто перестали соблюдать парольные политики, т.к. такое количество логинов и паролей просто невозможно было запомнить.

Начали применяться простые и одинаковые пароли, а особо хитрые стали клеить стикеры со своими паролями на мониторы… Технология SSO способна решить эту проблему, предоставив пользователю один единственный секретный пароль или ПИН-код и пускать его во все его приложения.

При этом многие SSO-системы могут по заданному интервалу времени менять пароли пользователей в конечных информационных системах, а пользователи даже не будут об этом догадываться. Пароли можно менять, к примеру, раз в неделю и делать их 20-символьными, полностью исключив риск несанкционированного доступа путем подбора. Но, пожалуй, достаточно теории, давайте ближе к практике.

Применение трех озвученных технологий в рамках управления доступом помогут построить эффективную систему. А эффективность проще всего измерить на практике, поэтому я приведу пример из жизни.

Это компания, принадлежащая к сектору энергетики, в которой в прошлом году мы внедряли систему управления доступом на базе технологий IDM, PKI и SSO. У компании центральный офис в Москве и несколько филиалов по стране. Трудится в ней порядка 700 сотрудников.

Если выделить ключевые результаты, то мы выяснили, что время предоставления доступа ко всем необходимым системам для новых сотрудников сократилось с 4 дней до 3 часов.

Был автоматизирован процесс управления сертификатами и время, затрачиваемое оператором удостоверяющего центра на обработку одного запроса, сократилось в 5 раз.

Были реализованы журналы учета лицензий СКЗИ и ключевых носителей, —  соответственно, время, затрачиваемое на аудит этих данных, сократилось в 3 раза. Это,  — уже не говоря о повышении лояльности пользователей и полному исчезновению из офисов этих несчастных стикеров с паролями.

Ну и самое главное – плановая окупаемость проекта наступает через 13 месяцев. Что, на мой взгляд, очень и очень быстро.

Ну а в заключении хотелось бы сказать. Я сегодня не открыл ничего нового, не презентовал какую-то уникальную технологию или разработку.

Я лишь рассказал о том, к чему пришло ИТ- и ИБ- сообщество в части систем управления доступом  к информационным ресурсам во всем мире.

Россия — тут не исключение и для того, чтобы создать эффективную систему, не нужно изобретать велосипед, нужно лишь обратиться к опыту и технологиям.

Александр Санин, коммерческий директор компании Аванпост

Sec.ru

Источник: https://www.avanpost.ru/publications/564/

Система управления доступом к информационным ресурсам

Управление доступом к ресурсам компании

Система управления доступом (СУД) внедряется в организацию для реализации управления правами доступа пользователей к корпоративным документам. 

СУД позволяет решить следующие задачи:

  • наладить работу с учетными записями сотрудников; 
  • автоматически выполнять синхронизацию кадровых изменений; 
  • автоматически выдавать право доступа пользователю к информационной системе; 
  • упростить аудит прав; 
  • автоматически определять неиспользуемые учетные записи; 
  • предотвращать случаи несанкционированного использования данных. 

Принципы использования системы управления 

Перед рассмотрением основных принципов использования системы дадим определение типам ресурсов, которые могут в ней храниться:

  • Файловые информационные (ФИР), представляющие собой сочетания файлов и папок, которые хранятся в отдельной базе (корневой каталог). 
  • Файловые составные. Могут включать один или более файловых ресурсов. Сюда также входит вложенный ресурс.

Далее также будут упоминаться три ключевых понятия: точка входа, группа доступа пользователей и промежуточный каталог. Под точкой входа понимается каталог файловой системы, к которому пользователи могут получить сетевой доступ.

 Под группой доступа пользователей подразумевается набор пользователей, наделенных полномочиями, позволяющими им пользоваться файловыми информационными ресурсами.

 Промежуточный каталог представляет собой такой каталог, который находится между точкой входа в ФИР и корневым каталогом. 

Выделим следующие принципы работы с системой: 

1. Разграничение доступа происходит исключительно на уровне каталогов. Доступ к отдельным файлам обычно не ограничивают. 

2. Права назначаются на основе групп, а не отдельных пользователей. 

3. Разграничивать права следует исключительно на уровне файловой системы. 

4. Запрещается создавать файловые информационные ресурсы на компьютерах пользователей. 

5. Не рекомендуется размещение и создание ФИР в системных каталогах, хранящихся на серверах. 

6. Рекомендуется избегать создание нескольких точек входа в ФИР. 

7. Запрещается создавать вложенные ФИР, если хранящиеся в них данные включают конфиденциальную информацию. 

Общий случай разграничения доступа 

В общем случае модель, определяющая доступ к ФИР, состоит из двух пунктов: 

  • только на чтение (read only); 
  • чтение и запись (read and write).

В большинстве случаев всего двух типов полномочий оказывается достаточно. Впрочем, при необходимости администратор может назначить дополнительные полномочия. 

Как выполняется работа по управлению доступом

При создании ФИР для разграничения прав администратор должен выполнить следующие действия: 

  • Создают группы доступа. Для сервера с ФИР генерируются доменные группы. Если сервер не является членом домена, группы необходимо создавать на локальном уровне. 
  • Для корневого и промежуточного каталогов устанавливают права доступа на базе шаблонов. 
  • В группу добавляют учетные записи на основе полномочий. 
  • Если того требует ситуация, создают сетевую папку. 
  • Когда пользователю выдают право на работу с ФИР, его учетную запись помещают в соответствующую группу. Если необходимо внести изменения (например, пользователь получил новые полномочия), учетную запись перемещают в другую группу.
  • Для блокировки возможности работы с ФИР учетную запись удаляют из группы. В случае увольнения учетная запись полностью блокируется. 
  • Если необходимо расширить доступ (например, добавить новую группу пользователей), регистрируют вложенный ФИР, после чего добавляют пользователей из ФИР вышестоящего уровня. 
  • Если требуется предоставить ограниченный доступ, в каталог добавляются только те учетные записи, которые получили право на работу. 
  • Для добавления новых полномочий (например, чтение и запись без удаления) производят следующие действия: 
  • Блокируют доступ пользователей к каталогу системы, содержащему файлы и папки. Для этого могут быть использованы как организационные, так и технические меры. 
  • Для корневого каталога устанавливают новые права и заменяют права для объектов, являющихся дочерними. 
  • Изменяют настройки прав для вложенных каталогов. 
  • Вносят настройки в промежуточные каталоги, связанные с ФИР и вложенным каталогом.

Контролировать действия сотрудников с конфиденциальными документами (создание, редактирование, перемещение, удаление​​)​ помогает «СёрчИнформ FileAuditor». 

Работа с учетными записями в системе: сброс пароля и внесение изменений

В случае, когда требуется изменить или сбросить текущий пароль, пользователь должен: 

  • сформировать обращение, в котором указываются личные данные и причина необходимости сброса пароля. Например, компрометация;
  • далее администратор системы либо сотрудник службы безопасности сбрасывает пароль и отправляет новый на электронную почту пользователя. 

Для изменения учетных данных пользователь формирует заявку, в которой указывает причины необходимости внесения изменений в учетную запись. Заявка согласуется с ответственным администратором. В случае отклонения администратор обязан написать мотивационный отказ. 

Администраторы оставляют за собой право вносить изменения в учетные записи без согласования с сотрудниками.

20.12.2019

Источник: https://searchinform.ru/resheniya/kontrol-dostupa-k-nestrukturirovannym-dannym-dag/kontrol-upravleniya-dostupom/sistema-upravleniya-dostupom-k-informatsionnym-resursam/

Управление правами доступа в корпоративных web-системах

Управление доступом к ресурсам компании

Павел БОЛОТИН 01 апреля 2005

При создании единого информационного пространства крупной компании одной из наиболее сложных проблем является управление правами доступа к приложениям и сервисам внутрикорпоративной сети. Каждый web-сервер или сервер приложений имеет свои средства управления полномочиями.

У одних это просто конфигурационные файлы, редактируемые при помощи текстового редактора, у других – развитый графический интерфейс, у третьих – встроенные средства ОC. Встречается и такое, когда конфигурация системы разграничения полномочий размещена в исходном тексте приложения, т. е. любое изменение настроек влечет за собой пересборку модулей ПО.

При первоначальном вводе или удалении учетной записи пользователя из системы, при публикации или удалении ресурса администратору приходится вносить изменения в каждую из систем, что приводит к ошибкам, неправильным или устаревшим настройкам.

При традиционном подходе к организации доступа сотрудники, которые часто обращаются к нескольким приложениям, должны не только получить учетную запись для каждого из них, но и многократно проходить процедуру аутентификации. В результате возникает дискомфорт в работе.

К тому же пароли иногда записываются на бумажке, лежащей рядом с компьютером, что уже создает слабое место в системе защиты; в службу поддержки без конца обращаются пользователи, забывшие какой-то из своих паролей.

В простых случаях, когда набор приложений невелик, задача централизованного управления может решаться при помощи собственных разработок или встроенных в web-серверы либо серверы приложений механизмов.

К примеру, хранилища информации о пользователях можно объединить, используя ПО метакаталогов или собственные приложения, в одном центральном мастер-каталоге, после чего web-серверы и серверы приложений (с помощью дополнительных средств) смогут разместить информацию об управлении доступом в том же каталоге. Однако, когда количество приложений увеличивается, а система усложняется, цена реализации такого решения может сравняться со стоимостью переноса систем на новую, унифицированную платформу.

Как это делается

Для решения задач разграничения доступа к различным ИС создан целый класс продуктов – системы управления доступом (Access Management Systems, AMS). Оговоримся сразу, что сфера их применения выходит за рамки web-систем, однако в данной статье мы хотели бы остановиться на возможностях AMS для webприложений. Системы управления доступом «абстрагируют» уровень разграничения полномочий пользователей от конкретныx систем, позволяя решать поставленные задачи более гибко, четко и просто. Чтобы разобраться, как действуют AMS, рассмотрим архитектуру систем управления доступом (рис. 1). ИНФОРМАЦИОННЫЕ БАЗЫ. Данные о пользователях размещены в хранилище User Store, информация о правах доступа – в Policy Store. Эти хранилища могут быть реализованы в виде каталога LDAP (например, Sun Java Systems Directory Server, IBM Directory Server, Windows Active Directory или Novell eDirectory) либо реляционной базы данных (Oracle, MS SQL). Основной компонент системы управления учетными записями – сервер авторизации Policy Server. Он производит аутентификацию пользователей на основе данных из User Store и авторизацию на основе Policy Store. Модули Policy Server написаны практически для всех платформ: Windows, Linux, Solaris, AIX, HP-UX. Наиболее широко применяются серверы авторизации, построенные на базе продуктов IBM Tivoli Access Manager, Netegrity Siteminder, HP OpenView Select Access, RSA ClearTrust. Рассмотрим механизм их работы на примере Netegrity Siteminder и Tivoli Access Manager, архитектуры которых во многом схожи. АГЕНТЫ. Запросы к web-cерверу или серверу приложений перехватываются специальной программой-агентом, которая, обращаясь к Policy Server, проверяет, аутентифицирован ли пользователь и имеет ли он право на доступ к данному ресурсу. Если все условия выполнены, агент транслирует запрос на родительский webcервер или сервер приложений. Такие агенты разработаны для web-серверов Microsoft IIS, Apache, IBM HTTP, iPlanet и серверов приложений IBM WebSphere, BEA WebLogic и Jboss. Если же используется web-сервер, для которого нет WebAgent, запросы перехватываются реверсивным прокси-сервером, разрешения проверяются сервером авторизации и при наличии у пользователя соответствующих прав транслируются на web-сервер. МЕХАНИЗМ ПОДДЕРЖАНИЯ СЕССИЙ. При первом обращении к ресурсам, защищаемым AMS, происходит аутентификация пользователя. Если она прошла успешно, в память браузера или на диск клиентской станции записывается фрагмент данных с информацией о пользовательской сессии (cookie), после чего cookie предоставляется агентам системы для подтверждения аутентификации пользователя. Разумеется, набор cookie хранится в зашифрованном виде, а ключи шифрования, которые использует Policy Server, помещаются в централизованное хранилище Key Store, также представляющее собой каталог LDAP или базу данных SQL. КЭШИРУЮЩИЕ МОДУЛИ. При большом объеме запросов на аутентификацию к web-агенту возрастает нагрузка на канал между агентом и Policy Server и на сам сервер авторизации. Поэтому агент может снабжаться кэширующим модулем, в котором содержится информация об установленных сессиях либо части соответствующих хранилищ. ИНТЕГРАЦИЯ ХРАНИЛИЩ ПОЛЬЗОВАТЕЛЕЙ. Policy Server может подключаться к любым хранилищам данных о пользователях, поэтому поддерживает аутентификацию в гетерогенной среде с несколькими приложениями, каждое из которых имеет свое хранилище данных о пользователях. Причем каждое приложение сможет «увидеть» пользователей других приложений, т. е. поиск пользователей будет производиться последовательно по всем подключенным хранилищам, что в некоторых случаях позволяет обойтись без ПО метакаталогов. УСИЛЕННАЯ АУТЕНТИФИКАЦИЯ. Помимо базовой аутентификации (имя пользователя и пароль) могут применяться HTML-формы, где, кроме имени и пароля, запрашиваются дополнительные атрибуты пользователей, например идентификационный номер сотрудника. Для усиления защиты используются также сертификаты X. 509, токены SecurID, протоколы шифрования SSL/TLS и устройства, совместимые с PKCS #7. При аутентификации можно присваивать пользователю уровень доступа, точнее, вес схемы аутентификации. Тогда повторная аутентификация потребуется только при обращении к ресурсам с более высоким весом схемы.

Персона и доступ

Существует несколько способов управления доступом пользователей. Самый простой, используемый в большинстве ОС и web-серверов, – это списки доступа. Однако такой способ авторизации не всегда удовлетворяет бизнес-требованиям, поскольку схема «кому и что» не всегда применима. Часто возникает вопрос: кому, когда, откуда и на каких условиях нужно предоставить доступ. В таких случаях в AMS используется ролевой механизм контроля доступа Role Based Access Control List. В нем определяются такие параметры сеанса пользователя, как время доступа, откуда может осуществляться доступ, а также более сложные правила бизнес-логики, реализуемые в прикладных модулях. СЕРВИСЫ САМОРЕГИСТРАЦИИ. Согласно статистике западных аналитических компаний, до 80% запросов в Help Desk поступает от сотрудников, которые не могут войти в систему или хотят сменить пароль. В системы управления доступом могут быть встроены сервисы саморегистрации и смены пароля (хотя обычно эти функции относятся к системам управления учетными записями). ИМПЕРСОНИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ. Суть этой важной функции систем управления доступом в том, что администратор или другой привилегированный пользователь может зайти в систему от имени другого пользователя и проверить, есть ли у того доступ тем или иным приложениям. При этом администратор не должен знать пароль пользователя, от имени которого он входит в систему. ИНДИВИДУАЛЬНАЯ НАСТРОЙКА СРЕДЫ. Особо стоит отметить, что при аутентификации web-сервер или приложение получает довольно много информации о пользователе из записи о нем в LDAP-каталоге или другом хранилище. Данная информация передается агентом серверу приложений для персонализации среды пользователя. Кроме того, в журналах посещений записывается дополнительная информация о пользователях, в том числе о тех, кто не прошел аутентификацию, поскольку в браузер таких пользователей передается cookie с уникальным номером. Впоследствии эти данные используются для анализа работы сервера Business Intelligence.

Однократная регистрация

Самое изящное решение проблемы управления пользователями в гетерогенной среде – то, которое реализовано по схеме однократной регистрации (Single Sign-On, SSO). Множество реализаций SSO можно подразделить на два типа: для сеансов web-приложений (WebSSO), где пользователь вводит пароль при первом обращении к web-приложению, и Desktop SSO, когда пользователь вводит свои данные только при входе в настольную операционную систему. ОДНОДОМЕННАЯ МОДЕЛЬ WebSSO. Поскольку для передачи информации об аутентификации при схеме WebSSO (рис. 2) используется механизм сookie, то проблем с аутентификацией внутри одного домена второго уровня (company.com) не возникает. Для каждого запроса внутри домена выдается cookie с информацией о пользовательской сессии. Однако данный механизм не работает, если AMS обслуживает несколько пространств доменных имен, например company1.com и company2.com. Механизм cookie в целях безопасности передает ответы агентам внутри доменов второго уровня и выше (рис. 3). МНОГОДОМЕННАЯ МОДЕЛЬ WebSSO. Для однократной регистрации между двумя доменами второго уровня применяются механизмы междоменной аутентификации (Cross Domain SSO, CDSSO), которые могут быть реализованы в двух моделях: Push и Pull. Для передачи аутентификационных данных из одного домена в другой Рush использует скрипты, исполняемые агентами и браузером. На HTML-странице программируется специального вида ссылка с параметрами для скриптов перехода. При переходе на данную ссылку в браузере выполняется скрипт, перенаправляющий его на другого агента (одновременно информация об аутентификации между агентами передается через URL специального вида, который пересылается агенту другого домена). Метод прост в реализации, но обладает одним существенным недостатком: для того чтобы «правильно» (без дополнительной аутентификации) попасть в другой домен, пользователь должен «кликать» по ссылке. В модели Pull один из доменов выделен в сети для аутентификации – он называется Cookie Provider, а набор доменов, защищаемых AMS, носит название e-Community, при этом один или несколько серверов домена Cookie Provider назначаются исполнителями запросов аутентификации из всех остальных доменов. Такой(ие) сервер(ы), естественно, именуется (именуются) главным(и)сервером(ами) аутентификации – Master Authentication Server (MAS), и все запросы на данную процедуру из e-Community будут перенаправляться на MAS (рис. 4). В такой Pull-реализации CDSSO, если агент не получает cookie от браузера, при обращении пользователя к ресурсам для его аутентификации инициируется запрос к MAS. Если в MAS cookie тоже не предоставляется (т. е. пользователь еще не аутентифицирован), то происходит аутентификация пользователя методом аутентификации MAS. После этого в браузер пользователя помещаются cookie от MAS, затем пользователь специальной командой перенаправляется в начальный домен, где ему по представленным параметрам также создается cookie. Все дальнейшие запросы к ресурсам данного домена осуществляются на базе cookie этого домена. Если пользователю нужны ресурсы другого домена, агент целевого домена инициирует переход на MAS, где уже есть cookie, и cookie пользователя создается из целевого домена без повторной аутентификации. Данный способ заметно сложнее первого в реализации, зато избавляет от «навязанных» переходов. При этом у каждого домена могут быть свои Policy Server и User Store. Между хранилищами пользователей выполняется отображение (mapping) с использованием схем «один к одному», «один ко многим», «многие к одному», «многие ко многим». В качестве примера реализации Desktop SSO может быть рассмотрена схема, где MAS реализован на агенте для Internet Information Server, а клиенты пользуются браузером Internet Explorer. Тогда при обращении к ресурсам запросы на аутентификацию будут переданы серверу MAS-IIS, который произведет аутентификацию на основании учетной записи Windows, при помощи механизма SPNEGO, по протоколу Kerberos или NTLM – в зависимости от версии клиентской ОС. Заметим, что существует и схема расширенной регистрации SSO, которой могут пользоваться партнеры и клиенты компании. Здесь применяются федеративные сервисы на базе SAML (Security Assertion Markup Language) –основанного на XML стандарта безопасности (иногда эту схему называют федеративной SSO). SAML дает возможность партнерам обмениваться информацией об аутентификации пользователей по каналам HTTP SSL. Особенность данной реализации в том, что у бизнес-партнера или клиента может отсутствовать система управления доступом. В этом случае необходимо лишь установить SAML-агента, причем необязательно от того же производителя, что и основная AMS. После аутентификации на сайте (SAML-producer) пользователь получает с этого сайта SAML Artifact для доступа к другим сайтам партнеров (SAML-consumer). Механизм федеративной SSO поддерживается Tivoli Access Manager, Netegrity Siteminder и HP OpenView Select Access.

***

Системы управления доступом в нашей стране не являются новинкой, однако широкого распространения они пока не получили. В то же время тенденции к укрупнению компаний, процессы консолидации корпоративных приложений дают основания полагать, что и на российском рынке AMS найдут своего потребителя.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Источник: http://www.iksmedia.ru/articles/23910-Upravlenie-pravami-dostupa-v-korpor.html

ISSP \ Домен 02. Управление доступом. Часть 1

Управление доступом к ресурсам компании
В этой части рассмотрены следующие вопросы:

  • Обзор управления доступом
  • Принципы безопасности 
  • Идентификация, аутентификация, авторизация и подотчетность

Краеугольный камень, лежащий в основе информационной безопасности – это управление доступом к ресурсам, их защита от несанкционированного изменения и разглашения. Управление доступом может осуществляться на техническом (логическом), физическом или организационном уровне.

14.03.2010

1. Обзор управления доступом

Управление доступом – это механизм безопасности, который управляет процессом взаимодействия пользователей с системами и ресурсами, а также систем между собой. Этот механизм защищает системы и ресурсы от несанкционированного доступа и принимает участие в определении уровня авторизации после успешного прохождения процедуры аутентификации. Нельзя забывать о том, что кроме пользователей, в сети существуют и другие сущности, которым нужен доступ к сетевым ресурсам и информации. В процессе управления доступом необходимо знать и понимать определения субъекта и объекта.

Доступ – это поток информации между субъектом и объектом. Субъект – активная сущность, запрашивающая доступ к объекту или данным внутри объекта. Субъектом может быть пользователь, программа или процесс, использующий доступ к объекту для выполнения своей задачи.

Объект – пассивная сущность, содержащая информацию. Объектом может быть компьютер, база данных, файл, компьютерная программа, директория или поле таблицы базы данных. Например, если вы просматриваете информацию в базе данных, вы являетесь активным субъектом, а база данных – пассивным объектом.

Рисунок 2-1 иллюстрирует субъекты и объекты.

Рисунок 2-1. Субъект – это активная сущность, которая использует доступ к объекту, являющемуся пассивной сущностью

Управление доступом – это широкое понятие, включающее различные типы механизмов, выполняющих функции управления доступом для компьютерных систем, сетей и информации. Управление доступом крайне важно, так как является первой линией обороны в борьбе с несанкционированным доступом к системам и сетевым ресурсам. Когда у пользователя запрашивается имя и пароль для входа в компьютер, это управление доступом. После входа в компьютер, пользователь пытается получить доступ к файлам, которые имеют списки контроля доступа, содержащие перечни пользователей и групп, имеющих право использовать эти файлы. Это тоже управление доступом. Управление доступом позволяет компании управлять, ограничивать, контролировать и защищать доступность, целостность и конфиденциальность ресурсов.

2. Принципы безопасности

Существует три основных принципа безопасности для любых видов управления безопасностью: доступность, целостность и конфиденциальность. Более подробно эти принципы рассматривались в Домене 01, но там они рассматривались с точки зрения управления безопасностью, а сейчас мы будем рассматривать их с точки зрения технологий и методик управления доступом. Каждый механизм защиты (или управления) реализует как минимум один из этих принципов. Специалист по безопасности должен понимать все возможные способы реализации этих принципов.

Доступность. Информация, системы и ресурсы должны быть доступны пользователям в нужное им время, так как это необходимо для выполнения ими своих обязанностей.

Отсутствие доступа к информации может оказать существенное негативное воздействие на продуктивность работы пользователей.

Следует применять механизмы обеспечения отказоустойчивости и восстановления для обеспечения непрерывной доступности ресурсов.

Информация имеет различные атрибуты, такие как точность, актуальность, оперативность и секретность. Для биржевых брокеров крайне важно иметь точную и своевременную информацию, чтобы они могли покупать и продавать ценные бумаги в нужное время и по правильной цене. Брокеру не нужно заботиться о конфиденциальности этой информации, его интересует только ее постоянная доступность. С другой стороны, компания, выпускающая безалкогольные напитки, зависит, в первую очередь, от сохранения в тайне рецептов приготовления этих напитков, и будет заботиться об этом, внедряя соответствующие механизмы безопасности.

Целостность. Информация должна быть точной, полной и защищенной от несанкционированных изменений. Механизмы безопасности, обеспечивающие целостность информации, должны уведомлять пользователей или администраторов о фактах незаконных изменений.

Например, если пользователь направляет в банк по системе Интернет-банкинга платежное поручение, банк должен убедиться в его целостности и в том, что никто не внес несанкционированных изменений в сумму, не изменил получателя платежа.

Конфиденциальность. Информация должна быть защищена от несанкционированного раскрытия неуполномоченным лицам, программам или процессам.

Одна информация может быть более критична, чем другая информация, поэтому она требует более высокого уровня конфиденциальности. В связи с этим данные должны быть классифицированы.

Следует применять механизмы управления, которые указывают, кто имеет доступ к данным и что может делать с ними, получив доступ. Эта деятельность должна контролироваться и постоянно отслеживаться.

Примером конфиденциальной информации могут быть медицинские записи, финансовые счета, исходные тексты программ, военные тактические планы. Некоторые механизмы безопасности обеспечивают конфиденциальность средствами шифрования, управления логическим и физическим доступом, управления потоками трафика, использованием безопасных протоколов и т.п.

3. Идентификация, аутентификация, авторизация и подотчетность

Пользователю, чтобы получить доступ к ресурсу, нужно сначала подтвердить, что он тот, за кого себя выдает, имеет необходимые полномочия, а также права и привилегии для выполнения действий, которые он запросил. Только при успешном выполнении всех этих шагов пользователю должен предоставляться доступ к ресурсам.

Кроме того, необходимо отслеживать действия пользователей, используя для этого средства ведения учета.

Идентификация – это метод проверки, подтверждающий, что субъект (пользователь, программа или процесс) – тот, за кого себя выдает.

Идентификация может осуществляться, например, с использованием имени пользователя или номера счета. Для прохождения аутентификации субъект обычно должен предоставить вторую часть учетных данных, например, пароль, парольную фразу, криптографический ключ, PIN-код, биометрический атрибут или токен.

Эти две части учетных данных сравниваются с предварительно сохраненной информацией о субъекте и, если они совпадают, аутентификация считается успешной.

Далее система проверяет матрицу контроля доступа или сравнивает метки безопасности для проверки, что субъект действительно может использовать ресурс и выполнять запрошенные действия с ним. Если система определяет, что субъект может получить доступ к ресурсу, она авторизует его.

Атаки соревнования. Крайне важно, чтобы процессы, выполняющие свои задачи с общими (совместно используемыми) ресурсами, действовали в правильной последовательности. Атаки соревнования (race conditions) возможны, когда два или более процессов совместно используют общие ресурсы. Например, если в программном обеспечении функции аутентификации и авторизации разделены, существует возможность для злоумышленника (например, вызванная уязвимостью в программе) произвести атаку соревнования, чтобы обеспечить выполнение шага авторизации до выполнения шага аутентификации, что может стать причиной получения злоумышленником несанкционированного доступа к ресурсу.Хотя идентификация, аутентификация, авторизация и подотчетность тесно связаны между собой, каждый элемент имеет различные функции, которые реализуют определенные требования в процессе управления доступом. Пользователь может быть успешно идентифицирован и аутентифицирован для доступа к сети, но он может не иметь разрешения на доступ к файлам на файловом сервере. Либо наоборот, пользователю может быть разрешен доступ к файлам на файловом сервере, но пока он не прошел успешно процедуры идентификации и аутентификации, эти файлы ему недоступны. Рисунок 2-2 иллюстрирует четыре шага, которые необходимо пройти субъекту для получения доступа к объекту.

Рисунок 2-2. Для доступа субъекта к объекту должны быть пройдены четыре шага: идентификация, аутентификация, авторизация и подотчетность

Субъект должен нести ответственность за все действия, совершенные от его имени в системе или домене. Единственным способом обеспечения подотчетности является надлежащая идентификация субъекта и запись всех его действий.

Логическое управление доступом – это инструмент, используемый для идентификации, аутентификации, авторизации и подотчетности. Это реализуется в виде программных компонентов, выполняющих функции управления доступом к системам, программам, процессам и информации.

Логическое управление доступом может быть встроено в операционную систему, приложения, дополнительные пакеты безопасности, базы данных или системы управления телекоммуникациями.

Может быть оказаться сложным синхронизировать все механизмы управления доступом, учтя при этом все возможные уязвимости и не навредив производительности.

ПРИМЕЧАНИЕ. Слова «логическое» и «техническое» управление доступом взаимозаменяемы в контексте данной книги и экзамена CISSP.В процессе аутентификации должна быть проверена личность человека. Аутентификация, как правило, включает в себя два этапа: ввод публичной информации (имя пользователя, идентификатор, номер счета и т.п.), а затем ввод секретной информации (постоянный пароль, смарт-карта, одноразовый пароль, PIN-код, электронно-цифровая подпись и т.п.). Ввод публичной информации – это идентификация, а ввод секретной информации – аутентификация. Каждый метод, используемый для идентификации и аутентификации, имеет свои плюсы и минусы. Следует проводить надлежащую оценку методов идентификации и аутентификации для выбора правильного механизма для имеющейся среды.

Ссылки по теме:
• FWPro Secure Coding Standards
• “What Are Race Conditions and Deadlocks?” Microsoft Knowledge Base Article 317723

>

«,»author»:»ÐÐ²Ñ‚ор:eagle»,»date_published»:»2020-07-17T22:53:00.000Z»,»lead_image_url»:»http://lh4.ggpht.com/_duPrH9SbuRQ/Sm9Lp0etEJI/AAAAAAAAAKY/TyUwgu8nLuQ/w1200-h630-p-k-no-nu/pict_2_1.PNG»,»dek»:null,»next_page_url»:null,»url»:»http://dorlov.blogspot.com/2009/07/issp-02-1.html»,»domain»:»dorlov.blogspot.com»,»excerpt»:»Ð’ этой части рассмотрены следующие вопросы: Обзор управления доступом Принципы безопасности Идентификация, аутентификация, авторизация и…»,»word_count»:1233,»direction»:»ltr»,»total_pages»:1,»rendered_pages»:1}

Источник: http://dorlov.blogspot.com/2009/07/issp-02-1.html

Управление доступом

Управление доступом к ресурсам компании

Identity Management, Identity and Access Management, Identity Governance and Administration

Системы класса Identity Management обеспечивают простое централизованное управление учетными записями и правами пользователей всех информационных систем компании, работая на стыке управления IT-ресурсами, обеспечения информационной безопасности и эффективности бизнеса.

IdM для IT– это возможность исключить рутину ручной обработки бесконечного потока заявок на регистрацию новых пользователей, предоставление и отзыв прав доступа. IdM автоматизирует этот процесс через коннекторы к информационным системам, на основе кадровых событий и настраиваемых правил, при этом исключается человеческий фактор и риск ошибочного предоставления излишних прав. 

IdM для ИБ – простой и понятный инструмент для контроля соблюдения политик безопасности в части учетных записей и прав доступа. Для построения отчетов различной сложности и удаления неактуальных прав или пользователей не требуется специализированных знаний уровня администратора. Управление всеми системами возможно из единого интерфейса.

IdM для бизнеса – это быстрота реакции на изменения рынка и бизнес-процессов. Такие инструменты, как портал самообслуживания и система согласования заявок, позволяют бизнес-пользователям самостоятельно запрашивать новые права и возможности, которые станут доступными сразу после согласования, без ожидания ручной отработки заявки в IT.

Технология единого входа (SSO, Web SSO)

Технология  Single Sign-On позволяет отказаться от хранения пользовательских паролей от многочисленных информационных систем в явном виде и исключить компрометацию учетных данных сотрудников.  

Единожды войдя в сеанс работы, пользователь работает со всеми приложениями без необходимости дополнительно подтверждать личность и помнить несколько разных и сложных паролей, которые должны меняться довольно часто.

Для специалистов безопасности SSO позволяют фиксировать все действия пользователей и администраторов, связанные с применением учетных записей, что существенно облегчает процесс расследования инцидентов безопасности. Неоспоримый плюс решений – это автоматизация соблюдения парольной политики.

SSO и Web SSO решения поддерживают широкий набор платформ «из коробки», при этом всегда есть возможность интеграции решения с частными системами в ходе проекта внедрения.

Многофакторная аутентификация и инфраструктура открытых ключей (MFA, PKI)

Multi-Factor Authentication, Public Key Infrastructure

Системы многофакторной аутентификации (MFA) позволяют усилить защиту пользовательских учетных записей от компрометации и подбора.

Помимо логина и пароля, известных пользователю, добавляется дополнительный фактор в виде одноразового пароля, сертификата на носителе или биометрии.

Таким образом исключаются риски передачи паролей между сотрудниками, хранения паролей в незащищенном виде «под клавиатурой», при этом снижается количество запросов в IT, связанных с управлением парольной защитой. 

Помимо управления доступом, использование инфраструктуры открытых ключей – Public Key Infrastructure (PKI) – применяется в распределенных системах для подтверждения личности, действий пользователей и защиты документов, заменяя собой печать и подпись, в том числе при взаимодействии с госорганами и контрагентами. 

Контроль привилегированного доступа (PAM, PIM, PUM)

Privileged Access Management, Privileged Identity Management, Privileged User Management

Решения класса Privileged Access Management (PAM) используются для фиксации и предотвращения потенциально опасных действий привилегированных пользователей, к которым можно отнести системных администраторов, обслуживающих критически важные серверы и сетевое оборудование, техническую поддержку интегратора или вендора, аудиторов и проверяющих органов и, в первую очередь, специалистов на аутсорсинге, выполняющих обслуживание IT-инфраструктуры по договору. 

Широкие полномочия таких специалистов ставят под угрозу безопасность всех IT-систем организации, делая возможными различные сценарии вторжения или компрометации данных как по злому умыслу, так и по случайности.

Аналитические инструменты решений класса PAM позволяют идентифицировать подозрительное поведение и оперативно расследовать инциденты.

В итоге специалисты безопасности получают удобный инструмент контроля действий привилегированных сотрудников.

Объектом защиты может быть сама сессия привилегированного доступа и/или привилегированная учетная запись. 

В первом случае все графические и текстовые сеансы доступа фиксируются в формате видео с набором метаданных, что дает возможность поиска по событиям или текстовому содержанию внутри сессий, позволяет установить хронологию событий, повлекших за собой инцидент. 

Во втором случае – автоматически обнаруживаются все привилегированные учетные записи, информация о которых отправляется в защищенное хранилище. В защищенном хранилище учетные записи могут автоматически меняться по заданным правилам и расписанию, что защищает от компрометации и неконтролируемого распространения паролей среди сотрудников и контрагентов.  

Аудит доступа к файловым ресурсам

Огромный массив неструктурированных данных, файлов – неотъемлемая часть деятельности любой современной компании. Аналитики предсказывают, что ежегодно такой информации будет появляться на 60% больше. Хранимая на файловых ресурсах конфиденциальная информация уязвима и требует аудита и защиты.

Для защиты неструктурированных и слабоструктурированных данных необходимо оперативно выявлять владельцев данных, разграничивать права на доступ и изменение документов по пользователям и ролям, а также журналировать все действия с файлами. Предлагаемые решения способны помочь организовать контроль за файловыми ресурсами с возможностью формировать отчеты обо всех фактах чтения или изменения файлов, изменения атрибутов и т. д.

Если необходима помощь в подборе решений управления доступом или консультация специалиста, пишите на почту identity@softlinegroup.com.

Источник: https://softline.ru/solutions/security/drugie-servisyi-ib/upravlenie-dostupom

Pravo-consut
Добавить комментарий