Управление удостоверениями и доступом: Заполнение пустоты в управлении удостоверениями и доступом

Традиционные решения удостоверения ориентированы на приложения, но при этом выпадает более 80% корпоративных данных.

Мэтт Флинн

Мы вошли в эру управления доступом. Организациям надо знать, у кого есть доступ к каким данным и как этот доступ предоставляется. Решения управления удостоверениями и доступом (Identity and Access Governance, IAG) решают эти задачи, одновременно обеспечивая управление доступом в компании. Они позволяют наглядно «видеть» управление доступом, политиками и ролями, а также позволяют периодически проверять распределение прав во многих системах. Однако в большинстве корпоративных IAG-решений не хватает ключевого элемента — неструктурированные данные остаются за бортом.

Исследования за последние пять лет показали, что почти 80% корпоративных данных являются неструктурированными. Это означает, что данные хранятся в неподдающемся управлению формате, в котором отсутствует формальное назначение прав приложением или процессом. Процентная доля неструктурированных данных сохраняется, но при этом объем данных постоянно растет. По оценкам многих организаций ежегодный прирост объема данных в файловых системах составляет 30-40%.

Так почему системы, предназначенные для управления рисками и управлением доступом в организации, игнорируют 80% данных? Причины делятся на исторические, технологические и связанные с особенностями бизнеса. IAG-решения возникли на основе решений IAM (Identity and Access Management). Многие поставщики дополнили свои решения IAM функциональностью IAG. Два ведущих поставщика IAG-решений основаны специалистами в области IAM. Это важно, потому что решения IAM традиционно ориентировались на доступ к приложениям, а не данным. Эти поставщики просто перенесли существующие архитектурные решения в IAG.

Ранние версии систем IAM просто синхронизировали учетные записи пользователей между разными хранилищами данных. Затем их функциональность расширилась за счет поддержки управления паролями, единого входа, развитых процессов управления доступом и других возможностей управления доступом. Однако ключевой оставалась функциональность по управлению учетными записями пользователей и доступом пользователей к приложениям.

Управление доступом

На базовом уровне решения IAG предоставляют информацию об учетных записях каждого приложения, а также о том, какие пользователи имеют доступ к приложению. На более низком уровне они сообщают, что эти учетные записи имеют право делать в тех или иных приложениях. Эту информацию решения получают из хранилищ информации о доступе в этих приложениях, а также путем сбора сведения об учетных записях пользователей и их разрешениях. Однако по определению неструктурированные данные не попадают в эту модель.

Поставщики решений IAG скорее всего понимают, что поддержка неструктурированных данных является критически важной для поддержки всеобъемлющей корпоративной стратегии управления доступом, но базовый механизм заключается в подключении к хранилищам данных о правах для получения информации о доступе. В мире неструктурированных данных нет никаких централизованных хранилищ информации о правах. Права привязаны к самим ресурсам, то есть «размазаны» по всей ИТ-инфраструктуре.

В крупных организациях обычно имеются десятки тысяч серверов с миллионами папок, что означает миллиарды отдельных разрешений. Так как по большей части доступ предоставляется через группы, нужно оценивать права путем перечисления всех групп и их членов, включая вложенные группы.

В организациях из списка Fortune 500 число связей между пользователями и группами может достигать десятков миллионов. Анализ этой сложной иерархии разрешений представляет собой сложную техническую задачу, для решения которой нужна новая техническая парадигма, которая коренным образом отличается от той, что используется сейчас в большинстве корпоративных приложений.

В большинстве организаций скорее всего полагают, что их самая важная информация хранится в критически важных для бизнеса приложениях. Их системы управления персоналом, ресурсами предприятия, финансами, цепочками поставок и другие критически важные приложения хранят 20% самых важных корпоративных данных. Ориентированные на эти приложения решения IAM и IAG предоставляют сведения о самой важной корпоративной информации. Но правила изменились.

Все или ничего

«Сливок информации» объемом 20% попросту недостаточно. Большая, возможно даже подавляющая часть других 80% корпоративных данных может не классифицироваться как рискованная или конфиденциальная, но в этом стоге сена могут оказаться опасные иголки. Вряд ли кто-то сомневается, что в этом огромном объеме данных может быть информация, нуждающаяся в защите. Аудиторы и специалисты по безопасности вполне правомерно могут требовать контроля и прозрачности от этой среды с неструктурированными данными.

Даже в сильно зарегулированных средах, таких как финансы и здравоохранение, сотрудники регулярно используют репозитории неструктурированных данных, такие как распределенные файловые системы и системы совместной работы, такие как Microsoft SharePoint, для хранения, обмена и совместной работы надо конфиденциальными данными.

Отсутствие единообразия и контроля на этих платформах обусловливает значительный риск, затраты и усилия при аудите. Нужно решить эту проблему и подготовить свою организацию для аудита безопасности и выполнения нормативов. Далее перечислены шаги, которые можно предпринять для расширения своей программы IAG при выполнении мероприятий по выполнению требований регулирующих органов.

1. Очистка Active Directory Active Directory является площадкой для доступа ко всему предприятию. Управление доступом начинается с укрепления контроля над Active Directory. Это означает понимание того, где возникают высокорискованные или опасные условия, такие как циклическое вложение групп, спящие учетные записи пользователей и неконтролируемое увеличение токенов пользователей.
2. Принадлежность групп По большей части доступ к неструктурированным данным предоставляется в рамках ролевой модели, реализованной через членство в группах Active Directory. Поэтому группы являются ключевым компонентом модели безопасности доступа. Любая оценка членства и доступа в группах начинается с назначения владельца группы, которые несет ответственность за группу и доступ, который она предоставляет. В зависимости от модели безопасности группа может предоставлять организационные единицы (такие как отделы) или функции (для предоставления доступа к определенным ресурсам).
3. Использование групп Просканируйте предприятие на предмет используемых групп Active Directory и создайте общую картину использования групп. Понимание того, где и какие группы используются для предоставления разрешений, является важным условием для обеспечения возможности выполнения аудита. Оно также облегчает очистку и перенос групп в модель более высокой безопасности, такую как Dynamic Access Controls, которая появилась в Microsoft Windows Server 2012.
4. Владельцы информации Владельцы контента не обязательно являются владельцами групп. Назначьте владельцев контента, которые будут отвечать за контроль над правами доступа к контенту. Эти ответственные за данные будут отвечать за доступ к информации на основе ее использования на предприятии. Это может быть автоматизированный процесс обнаружения, основанный на разрешениях, недавней активности или развитой логике, которая выполняет процесс обнаружения на основе атрибутов Active Directory. Например, если недавняя активность и права на доступ похожи, процесс может проверить общего менеджера тех, кому предоставляется доступ. Этот менеджер является хорошим кандидатом на владение контентом. Так как автоматизированные процессы могут ошибаться, можно предусмотреть в процессе этап, на котором кандидаты во владельцы подтверждают свои полномочия или рекомендуют других возможных владельцев.
5. Очистка ресурсов В процессе сканирования неструктурированных данных нужно собирать информацию о размере файлов, типе содержимого, недавней активности и т. п. Нужно также смотреть на наличие в файлах контента, подверженного опасности. Особое внимание обращайте на потерянные разрешения, доступ, предоставленный «спящим» учетным записям, неиспользуемый доступ, неиспользуемый контент и опасные ситуации, такие как открытый доступ. Эти метаданные позволяют определить, где нужно закрыть доступ, заархивировать данные или разрешить сложную ситуацию.
6. Модель безопасности Формулировка требуемой модели безопасности — важный шаг. После определения цели используйте собранные на предыдущем шаге данные для проверки того, что модель реализована и действует. Также потребуется охватить все ресурсы, находящиеся за рамками модели. Для этого часто нужны сведения, собранные на предыдущих этапах, например при определении использования групп и применения разрешений. Качественная модель безопасности облегчает процедуру аудита.

Описанные здесь шаги не обязательно дадут магический эффект. В них нет ничего красочного или привлекающего внимание. Топ-менеджеры могут даже не заметить, что вы там делаете. Но в выполнении этих задач кроется огромная ценность для компании.

В следующий раз, когда аудитор спросит, у кого есть доступ к тому или иному ресурсу, вы сможете продемонстрировать плановую модель безопасности, предоставить отчет о текущих разрешениях, показать, как они применяются и предоставить имя лица, ответственного за периодический контроль этого доступа. Если вы можете предоставить всю эту информацию без дополнительных усилий, значит вы контролируете ситуацию. Именно в этом заключается задача аудита безопасности: доказать, что вы за всем следите и у вас все под контролем.

Также по выполнении этих шагов можно без особых усилий внедрить в свои традиционные решения IAG эффективные механизмы предоставления прав, а также выполнения анализа для классификации данных и оценки рисков. Эти механизмы могут внедряться и нормализовать в центральном хранилище прав, которое хорошо вписывается в модель обнаружения IAG.

В век, когда требования регулирующих органов расширяются и усложняются, больше невозможно игнорировать платформы с неструктурированными данными. Недостаточно оценивать разрешения для одного ресурса за раз. Важно организовать «весеннюю уборку» в глобальном масштабе. Постарайтесь снизить уровень сложности и внедрите модель, позволяющую эффективно управлять и получать отчеты о доступе ко всем данным.

Мэтт Флинн (Matt Flynn) — является директором по решениям для управлениея удостоверениями и доступом в компании STEALTHbits Technologies Inc., специализирующейся в области решений для обеспечения ИТ-безопасности и выполнения требований регулирующих органов. Флинн работал в компаниях NetVision Inc., RSA (подразделение безопасности в корпорации EMC Corp.), MaXware (теперь входит в состав SAP AG), а также в отделе служб безопасности компании Unisys Corp.