Direct Access Control - Wstęp .png "Udostępnij na: Facebook")
Autor: Krzysztof Zdrojewski
Opublikowano: 2012-10-09
Direct Access Control to nowa funkcjonalność systemu Windows Server 2012. Głównym jej celem jest ułatwienie zarządzania plikami na wielu serwerach przy jednoczesnym zapewnieniu bardziej restrykcyjnych i bezpieczniejszych metod dostępu do plików. W dzisiejszych środowiskach nie trudno znaleźć pracowników, którzy pomimo przeniesienia do innego działu, nadal posiadają dostęp do niektórych dokumentów.
Co to jest Direct Access Control?
W dobie licznych danych, przechowywanie ich i zarządzanie nimi staje się utrapieniem każdego administratora. W miarę rozwoju nowych technologii dających możliwość dostępu do danych z każdego miejsca na świecie, zabezpieczenie tych danych, przed wpadnięciem ich w niepowołane ręce, staje się nie lada wyzwaniem. Obecnie, jak przedstawiono na Rys. 1. Model zabezpieczeń, DAC stanowi kolejny krok w kierunku zabezpieczenia danych.
.jpg "Model zabezpieczeń")
Rys. 1. Model zabezpieczeń.
Dziś nie wystarczy już nadanie uprawnień do plików i folderów, gdyż użytkownicy często zmieniają stanowiska pracy i administratorzy mogą nie nadążać za tymi zmianami. Potrzebne są mechanizmy, takie jak przedstawiono na Rys. 2. Składniki kontroli dostępu, które w sposób automatyczny sklasyfikują dany dokument pod kątem ważności, będą kontrolowały dostępy użytkowników do danych, poddadzą audytowi dostęp do danych zawartych w plikach oraz zapewnią ochronę poprzez ich zaszyfrowanie tak, aby nawet po dostaniu się w niepowołane ręce, dane były bezpieczne.
.jpg "Elementy kontroli dostępu do danych")
Rys. 2. Elementy kontroli dostępu do danych.
Klasyfikacja ma na celu określenie znaczników, które służą później do aplikowania polis na dokumenty. Proces ten może odbywać się w sposób ręczny lub automatyczny. Kontrola ma na celu ścisłe określenie pracowników, którzy mogą uzyskiwać dostęp do konkretnych danych w oparciu o prawa wynikające ze zdefiniowanych w obiekcie AD właściwości. Na przykład, do danego pliku mogą uzyskać dostęp jedynie pracownicy zatrudnieni na stałe, będący pracownikami konkretnego departamentu, jak na Rys. 3. Schemat polisy Direct Access Control.
.jpg "Schemat policy Direct Access Control")
Rys. 3. Schemat policy Direct Access Control.
Celem audytu jest weryfikacja, kto i kiedy uzyskał lub próbował uzyskać,dostęp do danych. Wykorzystując integrację z Remote Management Services można uzyskać ochronę danych. DAC może zostać skonfigurowany w taki sposób, aby automatycznie wdrażał ochronę RMS dla wszystkich dokumentów, zawierających dane wrażliwe (np. dane osobowe, zdrowotne, finansowe).
Składniki Direct Access Control
Podstawowymi wymogami do uruchomienia DAC jest posiadanie serwera z systemem Microsoft Windows Server 2012 oraz rozszerzenie schematu lasu Active Directory do wersji 2012. W następnym kroku należy skonfigurować odpowiednie komponenty. Konfiguracja DAC składa się z dwóch części, jak na Rys. 4. Elementy konfiguracji Direct Access Control:
- konfiguracji składników Active Directory:
— typów żądań,
— właściwości zasobów,
— centralnych zasad dostępu,
— centralnych polityk dostępu. - konfiguracji składników poza Active Directory:
— publikacji polityki dostępu do serwerów plików,
— klasyfikacji plików/folderów,
— konfiguracji audytu,
— wdrożenia polityk dostępu do plików/folderów.
.jpg "Elementy konfiguracji Direct Access Control")
Rys. 4. Elementy konfiguracji Direct Access Control.
Wdrażanie Direct Access Control
Celem każdego rozwiązania jest jego udane wdrożenie. Ze względu na fakt, że DAC jest nową technologią, należy rozumieć jego możliwości i zaplanować konfigurację, i wdrożenie.
Najważniejsze w procesie konfiguracji DAC jest określenie potrzeb i sformalizowanie ich w postaci określonych zapisów, zaakceptowanych przez biznes. Następnym krokiem jest „przetłumaczenie” potrzeb organizacji na język Windows 2012. Kolejny etap to określenie właściwości pliku, wymaganych przez polisę. W dalszym etapie należy zdefiniować typy żądań i/lub grupy zabezpieczeń, wymagane przez polisę. Ostatnią czynnością, kończącą wdrażanie etapu kontroli, jest określenie serwerów, do których będzie przypisana polisa.
Wszystkie te czynności zostaną wykonane w kolejnych artykułach.
Podsumowanie
Direct Access Control to nowa metoda zabezpieczenia dostępu do danych. Poprzez implementację nowych mechanizmów autentykacji w systemach Microsoft Windows 2012, możliwym staje się zbudowanie kompletnego i przezroczystego dostępu do danych dla użytkownika systemu. Integrując DAC z systemem RMS, możliwy staje się scenariusz bezpiecznego udostępniania danych w Chmurze Prywatnej i Publicznej.