ГИБРИДНЫЙ ПОДХОД К УПРАВЛЕНИЮ ПРАВАМИ ДОСТУПА: КОГДА СТАНДАРТНОГО IDM НЕ ХВАТАЕТ - Вячеслав Муравлев - CNews
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
ГИБРИДНЫЙ ПОДХОД К УПРАВЛЕНИЮ ПРАВАМИ ДОСТУПА: КОГДА СТАНДАРТНОГО IDM НЕ ХВАТАЕТ Вячеслав Муравлев CNews Forum Архитектор решений, группа компаний CUSTIS 10 ноября 2016 года
УТЕЧКИ ИНФОРМАЦИИ
По данным InfoWatch за 2015 год
| Большая доля утечек информации (65,4%)
происходит по вине внутренних нарушителей
| Почти половина утечек (49%) происходит по вине
сотрудников (как бывших, так и настоящих)
2 | 18
ОСОБЕННОСТИ ИТ-ЛАНДШАФТА
КРУПНОГО ПРЕДПРИЯТИЯ
| Множество информационных систем
и пользователей: сотрудников, подрядчиков, клиентов
| Сквозные бизнес-процессы проходят через несколько
информационных систем
| Пользователи работают в различных ИТ-системах
и выполняют в них разные функции
| В каждой информационной системе есть свои
настройки прав доступа и своя процедура
аутентификации
3 | 18
ЦЕЛИ УПРАВЛЕНИЯ ПРАВАМИ ДОСТУПА
| Снижение рисков, связанных с неправомерной
или несвоевременной выдачей или отзывом прав
доступа пользователей
| Снижение стоимости управления правами доступа
| Повышение оперативности процессов управления
правами: быстрая выдача временных прав,
минимальное время простоя при настройке прав и т. д.
4 | 18
РОЛЕВАЯ МОДЕЛЬ ДОСТУПА (RBAC)
Пользователи Действия
в системе
Роли
Утверждение
Иванов заказа
Менеджер
Просмотр
Петров заказа
Операционист
Создание
Сидоров заказа
5 | 18БОЛЕЗНИ РОСТА RBAC
| В чистом виде модель недостаточно гибка,
поскольку не учитывает:
контекст действий пользователей
атрибуты пользователей
параметры окружения, в котором работают
пользователи
| У большого числа пользователей служебные
обязанности требуют создания уникальных ролей
| Сложно поддерживать актуальное состояние прав
доступа при организационных изменениях
6 | 18УПРАВЛЕНИЕ РОЛЯМИ: МАТРИЦА
7 | 18RBAC: ВАРИАЦИИ И РАЗВИТИЕ
Роли
Добавление Добавление
ролей Менеджер Администратор Бухгалтер условий
Филиал 1 Условия
Менеджер
Менеджер 1 Администратор 1 Бухгалтер 1 Условия
Условия
Филиал 2
Менеджер 2 Администратор 2 Бухгалтер 2 Бухгалтер Администратор
Role explosion Доработка ИТ-систем
8 | 18IDENTITY MANAGER
КАК ПОПЫТКА РЕШЕНИЯ
ФУНКЦИОНАЛЬНОСТЬ «УЗКИЕ МЕСТА»
| Приводит все варианты управления | Действует в рамках
ролями к единой модели RBAC-модели
| Централизованно управляет правами | Не учитывает атрибуты
в ИТ-системах предприятия бизнес-объектов
| Реализует бизнес-сценарии: найм, | Ограничен существующими
увольнение, отпуск и т. п. в ИТ-системе ролями
9 | 18АТРИБУТНАЯ МОДЕЛЬ ДОСТУПА (ABAC)
| Права доступа определяются логическими правилами,
составленными в терминах бизнес-атрибутов
| Атрибутами обладают субъекты (пользователи),
ресурсы (объекты), действия и среда
| Модель стандартизована в рамках XACML 3.0
(первая версия – 2003 год)
10 | 18ABAC: СХЕМА
ОРГАНИЗАЦИИ ДОСТУПА
Объекты системы Правила доступа Действия в системе
Тип = Заказ на поставку Все могут создавать Просмотр заказа
№ = 123 и просматривать заказы
Сумма заказа = 195 000 руб.
Утверждение заказа
Тип = Заказ на отгрузку Менеджер может подтверждать
№ = 321 заказ на поставку в пределах своего
лимита не позднее 19:00 Создание заказа
Сумма заказа = 202 300 руб.
Пользователи Параметры окружения
Балаганов
Должность = Менеджер Динамическая проверка: Время = 19:32 MSK
Лимит утверждений = 200 000 может ли пользователь
Отдел = Отдел закупок
Балаганов подтвердить Местоположение = Ржев
Паниковский заказ №123?
Должность = Кладовщик
IP-адрес = 127.0.0.1
Отдел = Склад товаров
11 | 18ПОДХОДЫ К УПРАВЛЕНИЮ ДОСТУПОМ
Стандартный подход Гибридный подход
ИТ-система ИТ-система ИТ-система ИТ-система
Запрос Запрос Запрос Запрос
на предоставление на предоставление на предоставление на предоставление
доступа доступа доступа доступа
Сервис управления Сервис управления
доступом
Политики доступа доступом
Политики доступа
Запрос Запрос
на предоставление на предоставление Сервис преобразования
доступа доступа
политик доступа
Изменение Изменение
ИТ-система ИТ-система настроек доступа настроек доступа
ИТ-система ИТ-система
12 | 18ФУНКЦИИ РЕШЕНИЯ CUSTIS AMS
| Проектирование прав доступа в виде множества политик
(наборов правил) при участии бизнес-подразделений, ИТ-службы
и службы безопасности
| Централизованное и унифицированное ведение политик доступа
| Интеграция с различными информационными системами предприятия
| Контроль доступа по двум вариантам
Автоматическая настройка локальных прав доступа в ИТ-системах в соответствии
с описанными политиками
Предоставление ИТ-системам предприятия единого сервиса контроля доступа
в соответствии с описанными политиками
| Формирование отчетов для аудита и анализа
Например, текущие права конкретного пользователя, когда и на каком основании
выданы, кто из пользователей имеет доступ к определенным действиям
и данным, соответствие распределения прав политикам доступа и т. п.
13 | 18СХЕМА РАБОТЫ РЕШЕНИЯ CUSTIS AMS
(0) Проектирование CUSTIS AMS
политик доступа Централизованное
(1) Ввод политик и унифицированное
доступа в систему ведение политик доступа
(2) Сохранение
политик доступа
(5) Вычисление (3) Вычисление политик
политик для запроса для пользователя
(6) Разрешить/
(4) Выдать/
отозвать
отказать
авторизации
(4) Запрос
Стандартный подход Гибридный подход
Предоставление Автоматическая настройка
ИТ-системам единого (3) Действие (5) Изменение
локальных прав доступа
сервиса контроля доступа пользователя настроек доступа в ИТ-системах
в ИТ-системе в ИТ-системе
14 | 18ФУНКЦИОНАЛЬНЫЕ КОМПОНЕНТЫ
РЕШЕНИЯ Универсальный Стандартный Гибридный Компоненты
компонент сценарий сценарий из стандарта XACML
Графический интерфейс
для администрирования
политик безопасности
и настройки системы
Вычисление политик
для принятия решения PAP
об авторизации (Policy Administration Point) Преобразование
конкретного действия
CUSTIS
политик в настройки
пользователя AMS Хранилище доступа
политик
Преобразование
PDP PTP
решения о доступе
в настройки конкретной
Policy repository ИТ-системы
(Policy Decision Point) (Policy Translation Point)
Adapter
Adapter
PIP Обеспечивает
интеграционное
Policy Enforcement Point (Policy Information Point) Connector взаимодействие
Connector с ИТ-системами через API
запрашивает авторизацию
действий пользователя
и применяет ответ
Определение значений
атрибутов в процессе Identity Management
PEP
PEP
вычисления политик
ИТ-система ИТ-система ИТ-система ИТ-система ИТ-система
15 | 18ПРЕИМУЩЕСТВА РЕШЕНИЯ CUSTIS AMS
Возможность задавать логические правила Увеличение гибкости
на основе множества атрибутов настроек
1
информационных ресурсов, объектов Снижение стоимости
и самих пользователей управления правами
Возможность использовать решение Сохранение инвестиций
как дополнение к существующей системе 2 в систему информационной
авторизации либо самостоятельно безопасности предприятия
Автоматическое определение прав Повышение эффективности,
пользователей в соответствии с политиками, 3 оперативности и надежности
автоматизация стандартных процедур процесса управления правами
Централизованные настройки прав Снижение сложности
4 управления правами
в виде обобщенных правил
Ведение правил доступа в формате, Повышение прозрачности
5
приближенном к регламентам безопасности системы распределения прав
16 | 18ГРУППА КОМПАНИЙ CUSTIS
| 20 лет на российском ИТ-рынке
| Масштабные проекты для отраслевых лидеров
и организаций с высокой динамикой бизнес-процессов:
Банка России, Газпромбанка, ГК «Спортмастер»
(розничных сетей «Спортмастер», O'STIN, FUNDAY)
| Работа на стратегическое развитие клиентов,
решение критически важных бизнес-задач средствами
ИТ, поддержка передовых технологических проектов
17 | 18СПАСИБО ЗА ВНИМАНИЕ!
Вячеслав Муравлев www.custis.ru
+7 (495) 772-97-02
Архитектор решений, группа компаний CUSTIS vmuravlev@custis.ruВы также можете почитать
