|
Персональные инструменты |
|||
|
Управление правами доступа должно быть централизованным и гибкимМатериал из CustisWikiВерсия от 17:44, 5 декабря 2016; VeronikaLoseva (обсуждение) В журнале «Банковское обозрение» (№7/2016) опубликовано интервью с Петром Марголисом, нашим архитектором приложений, о том, как в части разграничения прав пользователя обеспечить баланс между надежной защитой конфиденциальных данных и оперативной реакцией на задачи бизнеса. Почему важно повышать эффективность управления правами доступа? Какие сложности возникают при распределении и контроле прав доступа сотрудников к информационным ресурсам банка? Как модель управления, предложенная CUSTIS, помогает решить данные проблемы? Об этом — в материале «Управление правами доступа должно быть централизованным и гибким» на сайте и в бумажной версии издания. Главное в информационной безопасности банка — баланс между надежной защитой конфиденциальных данных, с одной стороны, и гибкой, оперативной реакцией на задачи бизнеса, с другой. Как обеспечить этот баланс в части разграничения прав доступа пользователей, «Б. О» рассказал Петр Марголис, архитектор решений группы компаний CUSTIS — В банковской сфере вопросы информационной безопасности приоритетны. Какое место среди них занимает управление правами доступа? Исследования показывают, что львиная доля всех утечек информации в банках происходит именно из-за внутренних нарушителей и не сопровождается внешними атаками[1]. Это же касается и различных схем мошенничества. Поэтому важность эффективного управления правами доступа внутри финансовой организации сложно переоценить. Однако, в отличие от других областей информационной безопасности, которые сегодня активно развиваются, в области управления правами мы наблюдаем стагнацию. Безусловно, и в этом сегменте есть предложения (например, системы класса Identity Management — IdM), но практически повсеместно управление правами базируется на ролевой модели, которая получила вполне заслуженное распространение в начале 90-х годов, однако во многом уже не отвечает современным вызовам. — В чем заключается сложность распределения и контроля прав доступа сотрудников к информационным ресурсам банка? Система распределения прав должна предоставлять каждому сотруднику именно тот набор привилегий в ИT-системах, который ему необходим в текущий момент для выполнения своих служебных обязанностей. Как принцип это звучит просто, однако наличие такой системы в масштабах крупного банка — большая редкость. Сложностей немало. Во-первых, количество пользователей ИT-систем может исчисляться тысячами, количество самих систем — десятками. При этом каждая система предоставляет до нескольких сотен элементарных привилегий, которые можно выдать тому или иному сотруднику. При таком многообразии комбинаций даже единожды спроектировать распределение прав доступа — весьма нетривиальная задача, а ведь нужно еще поддерживать их в актуальном состоянии, проводить аудит, оперативно реагировать на преобразования в организационной и функциональной структуре бизнеса, поддерживать изменения в самом ИT-ландшафте. Обычно для удобства управления элементарные привилегии объединяют в группы, а пользователей — в роли, соответствующие их должностным позициям. Это и есть суть ролевой модели доступа. Однако, например, операционист в филиале должен иметь доступ к данным только своего филиала, поэтому приходится создавать отдельную роль «операционист филиала N» для каждого филиала. Это лишь один пример, но из-за подобных факторов со временем происходит так называемый «комбинаторный взрыв» количества ролей (role explosion). Иногда для уменьшения числа ролей приходится их укрупнять, давая тем самым сотрудникам «лишний» доступ к данным и функциям ИT-систем. Есть также проблема централизации управления правами доступа, и системы IdM призваны решить прежде всего именно ее, однако заложенная в них ролевая модель зачастую оказывается менее гибкой, чем возможности разделения прав доступа внутри каждой из ИT-систем. — Как подход CUSTIS к управлению правами доступа позволяет решить эти проблемы? В основе нашего решения лежит атрибутная модель Attribute-Based Access Control (ABAC). Если в ролевой модели доступ пользователя к тому или иному информационному ресурсу определяется наличием у него конкретной роли, то в атрибутной модели у каждого пользователя и информационного ресурса есть набор признаков (атрибутов), а права доступа настраиваются в виде правил, в которых указывается ресурс, возможное действие над ним и некоторое логическое выражение с использованием их атрибутов. В результате в этой модели можно достаточно лаконично записывать весьма нетривиальные и гибкие правила доступа, например: «Сотрудник бухгалтерии филиала, проработавший в компании более трех месяцев, имеет доступ к формированию отчета о прибыли и убытках по своему филиалу в период отпуска своего руководителя». Важно, что это правило будет вычислено динамически, то есть в момент, когда пользователь попытается сформировать указанный отчет. И если отпуск руководителя уже закончился, то отчета он не увидит. Кроме того, атрибутный подход позволяет избежать проблемы комбинаторного взрыва количества ролей, а проектирование настроек прав доступа существенно упрощается. Количество правил обычно оказывается значительно меньше, чем количество ролей, и, как следствие, система становится более управляемой. — Но атрибутная модель давно известна на рынке. Чем компания дополнила этот подход? Безусловно, атрибутная модель придумана не вчера. Так, консорциум OASIS с 2003 года поддерживает и развивает основанный на ней стандарт XACML 3.0. Наше решение использует форматы описания правил и основные элементы архитектуры, заданные этим стандартом, мы также используем ряд Open Source библиотек и наработок, реализующих XACML. Все это позволяет нам задействовать огромный опыт, накопленный сообществом за последние годы. Однако идея внедрения централизованного решения на основе ABAC на практике упирается в серьезную проблему: все существующие ИT-системы должны быть доработаны, чтобы запрашивать доступ через сервис ABAC. В ситуации большинства банков, в ИT-ландшафте которых обычно есть как вендорские, так и уникальные ИT-системы разных поколений, эта задача становится практически невыполнимой. Поэтому в решении CUSTIS, помимо стандартного подхода Attribute-Based Access Control, предусмотрен гибридный режим работы, в котором правила, заданные в атрибутной модели, трансформируются в локальные настройки прав доступа ИT-систем, в том числе при необходимости в ролевую модель. В этой гибкости гибридной системы и заключается существенное преимущество нашего решения. — Как происходит процесс внедрения в ИT-ландшафт и систему безопасности банка? Заказчик может использовать наше решение либо в качестве централизованного сервиса авторизации, либо как систему управления существующими настройками прав доступа. В первом случае можно получить все обозначенные выше преимущества атрибутного подхода, во втором придется частично пожертвовать гибкостью настроек, но внедрение пройдет существенно проще и быстрее. Возможна также комбинация этих подходов, при которой часть ИT-систем работают по первому принципу, а другая часть — по второму. — Каким финансовым организациям в первую очередь будет интересна предложенная CUSTIS модель управления правами доступа? Предлагаемая нами система универсальна, она может быть использована практически в любых компаниях. Но есть определенные характеристики организаций, в которых внедрение нашего решения способно существенно повысить качество управления правами доступа. Речь идет о компаниях с большим количеством пользователей (сотнями или тысячами) с разнородными служебными обязанностями; в которых используется множество ИT-систем и существуют сквозные процессы, «протекающие» через несколько систем; а также об организациях с большой динамикой изменений в организационной структуре и ИT-ландшафте и высокой ценой последствий реализации риска утечки информации. Можно с уверенностью сказать, что сегодня все средние и крупные финансовые организации соответствуют этому профилю.
|
||