Управление удостоверениями и доступом: Доступ как привилегия

  • Статья

Управление доступом на основе привилегий — процесс и каркас технологий, способный повысить эффективность управления доступом.

Джон Матч

Финансовым институтам, организациям охраны здоровья и другим компаниям, действующим в жестко регулируемых отраслях, каждый день приходится решать задачу управления авторизацией доступа к критически важным системам. В таких организациях часто имеются большие количества внутренних и внешних пользователей, работающих с постоянно растущим количеством приложений. Пользователям требуется разный уровень безопасности.

Компании в этих строго регулируемых отраслях также должны решать вопросы управления идентификационной информацией в соответствии в нормативами. Такие документы, как законы Сарбейнса-Оксли (SOX), закон об ответственности и переносе данных о страховании здоровья граждан (HIPAA), акт Грэмма-Лича-Блайли (GLBA), а также стандарты защиты данных платежных карт  (PCI DSS) содержат точные указания, как компании должны управлять доступом и идентификационной информацией.

Всегда возникают дополнительные издержки, связанные с управлением учетными записями, сбросом паролей, противоречивой информацией, негибкой ИТ-средой, изоляции подразделений при слияниях и поглощениях, а также в связи с стареющей ИТ-инфраструктурой. Эти факторы дополнительно усложняют решение задачи управления идентификационной информацией и доступом.

Распределение привилегий

В совокупности эти факторы способствуют принятию решений управления жизненными циклом доступа на основе привилегий (privileged-access lifecycle management, PALM) во всех отраслях. PALM представляет собой технологическую платформу, состоящую из четырех процессов, постоянно выполняющихся в рамках централизованной платформы аутоматизации:

  1. Доступ к привилегированным ресурсам.
  2. Управление привилегированными ресурсами.
  3. Мониторинг действий, выполняемых с привилегированными ресурсами.
  4. Устранение некорректных изменений привилегированных ИТ-ресурсов и приведение их в заведомо правильное состояние.

Доступ подразумевает процесс подготовки основанных на ролях и ограниченных во времени регистрационных данных для привилегированного доступа к ИТ-активам. Процесс также включает автоматизацию одобрения запросов на доступ и аудита журналов доступа.

Управление включает процесс централизованного управления основанных на ролях разрешений на выполнение задач, требующих доступа к привилегированным ИТ-ресурсам. Эта часть процесса также включает автоматизацию одобрения запросов на разрешения и аудит действий по администрированию системы.

Мониторинг включает управлением аудитом журналирования, записи и надзора над действиями пользователей. Этот процесс также включает автоматизированные процесс анализа событий и ввода/вывода, подтверждений и централизованной трассировки аудита.

Корректировка включает процесс оптимизации ранее назначенных разрешений на доступ и управление в соответствии с задачами обеспечения безопасности и соответствия нормативам. Нужно иметь возможность при необходимости централизованно откатить конфигурацию системы до ранее известного приемлемого состояния.

Процесс автоматизации PALM включает разработку центральной платформы унифицирующей политики, работающей в связке с механизмом анализа событий. Это обеспечивает инструменты управления и прозрачность каждого этапа жизненного цикла.

Оценка затрат на PALM

Существует несколько бизнес-факторов, которые надо учитывать при анализе затрат на системы PALM:

  • Безопасность Привилегированный доступ критически важен для уравновешенного текущего ИТ-администрирования. Одновременно он подвергает компанию рискам нарушения безопасности, особенно изнутри компании.
  • Выполнение нормативов В отсутствие надлежащего управления привилегированный доступ к критически бизнес-системам может создавать серьезную опасность для выполнения требований законодательства. Для выполнения требований регулирующих органов исключительно важно обеспечить аудиторский след на всех этапах жизненного цикла управления привилегиями. Часто очень сложно решить эту задачу в крупных, сложных и разнородных ИТ-средах.
  • Снижение сложности Создание эффективной системы PALM в крупных разнородных средах со многими ИТ-инженерами, менеджерами и аудиторами может оказаться исключительно сложной задачей.
  • Охват разнородных сред Эффективное PALM-решение должно поддерживать большое количество платформ, включая Windows, Unix, Linux, AS/400, Active Directory, базы данных, брандмауэры и маршрутизаторы и коммутаторы.

Далее перечислены некоторые из первых шагов, которые нужно выполнить в процесс подготовки к внедрению PALM-систем.

Определите безопасность целью компании. У предприятий могут быть проблемы с поддержанием безопасности, потому что все слишком заняты решением других задач. Если у вас проблемы в обеспечением безопасности в организации, подумайте об определении безопасности как одной их задач, которая должна решаться на каждом уровне управления.

Обеспечьте обучение сами или привлеките специалиста со стороны. Чтобы безопасность работала, каждый должен знать базовые правила. Когда все знают правила, не очень сложно напоминать им о необходимости их выполнения.

Позаботьтесь о том, чтобы все менеджеры понимали необходимость безопасности. Особенно важно, чтобы все члены команды управления понимали риски, связанные с незащищенными системами. В противном случае неправильные решения могут непреднамеренно повредить репутации компании, конфиденциальной информации и финансовым результатам.

Четко доносите свою позицию до топ-менеджмента. Слишком часто ИТ-менеджеры выражают свое неудовлетворение своему компьютеру, а не непосредственному начальнику. Но бывает и так, что ИТ-сотрудники обнаруживают, что жаловаться непосредственному начальнику так же эффективно, как своему компьютеру. Позаботьтесь о том, чтобы вас услышали и поняли.

Если вы менеджер, выделите время и внимание своим подчиненным. Когда речь идет о безопасности, очень важно слушать и слышать. Первая линия обороны вашей сети — надежная коммуникация с людьми, сидящими за вашими компьютерами. Если вы ИТ-администратор низшего звена, постарайтесь обеспечить, чтобы после разговора с вашим непосредственным начальником о возможности или уже состоявшемся факте неправильного использования привилегий были предприняты меры. Если этого не происходит, не колебайтесь и обращайтесь выше, чтобы были предприняты надлежащие действия.

Сформируйте поддержку безопасности между подразделениями. Если в вашей компании есть группа безопасности и группа системных администраторов, руководство должно четко определить их роли и обязанности. Например, отвечают ли системные администраторы за конфигурирование систем? Отвечает ли группа безопасности за выявление несоответствий требованиям законодательства?

Если нет официально ответственных, ничего не будет сделано. В таких случаях ответственность за возникающие проблемы часто возлагается на непричастных. Эффективная платформа PALM является сплавом процессов, технологий и коммуникации.

Джон Матч

Джон Матч (John Mutch)более 25 лет работает в технической отрасли в качестве менеджера высшего звена и инвестора. До прихода в 2008 году в компанию BeyondTrust в качестве исполнительного директора Матч был основателем и управляющим партнером в компании MV Advisors LLC. Она также занимал посты президента и исполнительного директора компании HNC Software, а также проработал семь лет на высоких постах в отделах сбыта и маркетинга в Microsoft.