Решения для управления доступом используются предприятиями для аутентификации, авторизации и аудита доступа к приложениям и ИТ-системам. Они часто поставляются как компонент решения для управления идентификацией и доступом (IAM), помогая повысить безопасность и снизить риски за счет тщательного управления доступом к локальным и облачным приложениям, службам и ИТ-инфраструктуре. Они также помогают гарантировать, что соответствующие пользователи имеют доступ к соответствующим ресурсам в соответствующее время и по соответствующим причинам. В этом сообщении блога подробно объясняется управление доступом, включая цены на управление привилегированным доступом.
Что такое управление доступом?
Управление доступом — это процесс идентификации, отслеживания, регулирования и управления разрешенным или определенным доступом пользователей к системе, приложению или любому экземпляру ИТ.
Это всеобъемлющее понятие, которое включает в себя все правила, методы, методологии и технологии, используемые для обеспечения безопасности прав доступа в ИТ-среде.
Управление доступом — это, по сути, процедура информационной безопасности, ИТ и управления данными, которая разрешает доступ действительным пользователям и запрещает недействительным пользователям. AM обычно используется в тандеме с управлением доступом к удостоверениям (IAM). AM гарантирует соблюдение этих ролей и политик, в то время как управление идентификацией разрабатывает, предоставляет и регулирует различных пользователей, роли, группы и политики. Приложение/система на основе AM сохраняет различные роли и профили пользователей, а затем обрабатывает запросы доступа пользователей на основе данных/профилей/ролей.
Управление идентификацией и доступом
Управление идентификацией и доступом (IAM) — это дисциплина кибербезопасности, которая фокусируется на управлении идентификацией пользователей и правами доступа к сети. Хотя политики, процессы и технологии IAM различаются в зависимости от компании, цель любой инициативы IAM — обеспечить, чтобы нужные пользователи и устройства имели доступ к нужным ресурсам в нужное время по правильным причинам.
IAM может помочь упростить контроль доступа в сложных конфигурациях с несколькими облаками. Корпоративные сети теперь связаны с локальным, удаленным и облачным (SaaS) программным обеспечением и источниками данных. Пользователям (работникам, клиентам, подрядчикам) и другим пользователям (боты, устройства IoT, автоматизированные рабочие нагрузки, API) требуется доступ к этим ресурсам по разным причинам.
Системы IAM позволяют предприятиям выдавать единую цифровую идентификацию каждому пользователю и определять права доступа для каждого пользователя. В результате только авторизованные пользователи имеют доступ к ресурсам компании и могут использовать эти ресурсы только способами, разрешенными организацией.
Как работает IAM
По своей сути IAM стремится не допустить хакеров, позволяя авторизованным пользователям просто выполнять все, что им нужно, не превышая своих разрешений.
Сеть каждой компании уникальна, как и политики, процессы и инструменты, используемые для разработки системы управления идентификацией и доступом. Сказав это, большинство, если не все, реализации IAM охватывают четыре ключевые функции:
№1. Управление жизненным циклом удостоверений
Процесс разработки и поддержания цифровой идентичности для каждого человека или нечеловеческого объекта в сети известен как управление жизненным циклом идентичности.
Цифровая идентификация информирует сеть о том, кем или чем является каждый объект и что им разрешено делать в сети. Идентификация часто содержит основную информацию об учетной записи пользователя — имя, идентификационный номер, учетные данные для входа и т. д. — а также информацию об организационной функции, обязанностях и правах доступа.
Процессы подключения новых объектов, обновления их учетных записей и разрешений с течением времени, а также отключения или деинициализации пользователей, которым больше не требуется доступ, — все это часть управления жизненным циклом удостоверений.
№ 2. Контроль доступа
Как указывалось ранее, каждое цифровое удостоверение имеет различные уровни доступа к сетевым ресурсам в зависимости от ограничений доступа компании. Потребитель может иметь доступ только к своей личной учетной записи и данным на облачной платформе. Сотрудники могут иметь доступ к клиентским базам данных, а также к внутренним инструментам, таким как HR-порталы. Системный администратор может иметь доступ и изменять все в сети, включая учетные записи клиентов и сотрудников, внутренние и внешние службы и сетевое оборудование, такое как коммутаторы и маршрутизаторы.
Для создания и обеспечения соблюдения правил доступа многие системы IAM используют управление доступом на основе ролей (RBAC). Привилегии каждого пользователя в RBAC определяются их должностными обязанностями или должностью. Предположим, компания настраивает разрешения на доступ к сетевому брандмауэру. У торгового представителя вряд ли будет доступ, потому что его профессия этого не требует. Аналитик безопасности младшего уровня может просматривать, но не изменять конфигурации брандмауэра. Директор по информационной безопасности будет иметь все административные полномочия. API, который подключает SIEM компании к брандмауэру, может читать журналы активности брандмауэра, но не видеть ничего другого.
№3. Аутентификация и авторизация
Системы IAM делают больше, чем просто генерируют удостоверения и выдают разрешения; они также помогают в обеспечении этих разрешений посредством аутентификации и авторизации.
Аутентификация — это процесс, посредством которого пользователи демонстрируют, что они являются теми, за кого себя выдают. Когда пользователь ищет доступ к ресурсу, система IAM сравнивает его учетные данные с теми, которые хранятся в каталоге. Доступ предоставляется, если они совпадают.
В то время как комбинация имени пользователя и пароля обеспечивает базовый уровень аутентификации, большинство сегодняшних систем управления идентификацией и доступом используют дополнительные уровни аутентификации для обеспечения дополнительной защиты от киберугроз.
Многофакторная аутентификация.
Пользователи должны указать два или более фактора аутентификации, чтобы подтвердить свою личность при использовании многофакторной аутентификации (MFA). Код безопасности, присвоенный телефону пользователя, физический ключ безопасности или биометрические данные, такие как сканирование отпечатков пальцев, являются общими факторами.
SSO (единый вход)
SSO позволяет пользователям получать доступ к многочисленным приложениям и службам с помощью единого набора учетных данных для входа. Портал единого входа проверяет личность пользователя и создает сертификат или токен, который служит ключом безопасности для других ресурсов. Многие системы SSO используют открытые протоколы, такие как язык разметки утверждений безопасности (SAML), чтобы позволить поставщикам услуг свободно обмениваться ключами.
Адаптивная идентификация
При изменении риска адаптивная аутентификация, также известная как «аутентификация на основе риска», изменяет требования к аутентификации в режиме реального времени. Пользователю может потребоваться только ввести имя пользователя и пароль при регистрации со своего обычного устройства. Если тот же пользователь входит в систему с ненадежного устройства или пытается просмотреть конфиденциальную информацию, могут потребоваться дополнительные факторы аутентификации.
Система IAM проверяет каталог на наличие прав доступа пользователя после его аутентификации. Затем система IAM разрешает пользователю получать доступ и выполнять только те задачи, которые разрешены его разрешениями.
№ 4. Управление идентификацией
Процесс отслеживания того, что люди делают со своим доступом к ресурсам, известен как управление идентификацией. Системы IAM следят за пользователями, чтобы убедиться, что они не злоупотребляют своими привилегиями, и поймать любых хакеров, проникших в сеть.
Управление идентификацией также необходимо для соблюдения нормативных требований. Компании могут использовать данные о деятельности, чтобы убедиться, что их средства контроля доступа соответствуют стандартам безопасности данных, таким как Общий регламент по защите данных (GDPR) или Стандарт безопасности данных индустрии платежных карт (PCI-DSS).
Управление привилегированным доступом (PAM)
Управление привилегированным доступом (PAM) — это метод информационной безопасности (infosec), который защищает удостоверения с уникальным доступом или возможностями, превышающими возможности обычных пользователей. Безопасность PAM, как и все другие решения по информационной безопасности, зависит от сочетания людей, процессов и технологий.
Мы принимаем дополнительные меры предосторожности с привилегированными учетными записями из-за риска, который они представляют для технической среды. Например, если учетные данные администратора или учетной записи службы скомпрометированы, системы организации и конфиденциальные данные могут быть поставлены под угрозу.
Когда злоумышленники компрометируют учетные записи с привилегированным доступом, происходит утечка данных. Поскольку эти учетные записи содержат ключи, открывающие каждую дверь в технологической среде, мы должны добавить дополнительные уровни безопасности. Система управления привилегированным доступом обеспечивает дополнительную безопасность.
Что такое привилегированный доступ?
В технологическом контексте привилегированный доступ относится к учетным записям, которые обладают большими возможностями, чем обычные пользователи. Например, в среде Linux пользователь root может добавлять, редактировать или удалять пользователей; устанавливать и удалять программное обеспечение; и получить доступ к закрытым разделам операционных систем, недоступным обычному пользователю. Среды Windows имеют аналогичную модель безопасности, но привилегированный пользователь называется администратором.
Что такое процесс управления привилегированным доступом?
Управление привилегированным доступом, как было сказано ранее, представляет собой комбинацию людей, процессов и технологий. Таким образом, определение учетных записей, имеющих привилегированный доступ, является первым шагом в установке решения PAM. После этого компания должна решить, какие политики будут применяться к этим учетным записям.
Например, они могут установить, что учетные записи служб должны обновлять свои пароли каждый раз, когда пользователь получает доступ к своим сохраненным учетным данным. Еще одним примером является принудительное применение многофакторной аутентификации (MFA) для всех системных администраторов. Еще одно правило, которое может применить корпорация, — это ведение полного журнала всех привилегированных сеансов. В идеале каждый процесс должен быть увязан с конкретным риском. Например, требование смены пароля для учетных записей служб снижает вероятность внутренней атаки. Точно так же ведение журнала всех привилегированных сеансов позволяет администраторам безопасности выявлять любые аномалии, а применение многофакторной проверки подлинности — проверенное решение для предотвращения атак, связанных с паролями.
После завершения этапа обнаружения привилегированных учетных записей и окончательной доработки политик PAM компания может установить технологическую платформу для мониторинга и обеспечения управления привилегированным доступом. Это решение PAM автоматизирует правила организации и предоставляет администраторам безопасности платформу для управления и мониторинга привилегированных учетных записей.
Каково значение PAM?
Привилегированные учетные записи представляют огромный риск для корпорации, поэтому управление привилегированным доступом имеет решающее значение в любой организации. Например, если субъект угрозы скомпрометирует учетную запись обычного пользователя, он будет иметь доступ только к информации этого конкретного пользователя. Если им удастся скомпрометировать привилегированного пользователя, они получат значительно больший доступ и, в зависимости от учетной записи, могут даже повредить системы.
Из-за своего ранга и профиля мошенники нацелены на привилегированные учетные записи, чтобы атаковать целые компании, а не отдельного человека. Поскольку Forrester прогнозирует, что привилегированные учетные записи связаны с 80% нарушений безопасности, защита и мониторинг этих основных организационных удостоверений имеет решающее значение. Решение PAM, например, может устранять бреши в безопасности, например, когда множество людей получают доступ и знают один и тот же пароль администратора для определенной службы. Это также снижает опасность отказа администраторов сменить давно установленные статические пароли из-за боязни непредвиденных сбоев.
PAM управляет важными компонентами безопасного доступа и упрощает создание учетных записей администраторов, расширенные возможности доступа и настройку облачных приложений. PAM уменьшает поверхность атаки организации через сети, серверы и удостоверения с точки зрения ИТ-безопасности. Это также снижает вероятность утечки данных, вызванной внутренними и внешними угрозами кибербезопасности.
Цены на управление привилегированным доступом
Система управления привилегированным доступом (PAM) стоит больше, чем просто лицензионные сборы. Хотя может показаться заманчивым сосредоточиться исключительно на первоначальных затратах, оценка цен на управление привилегированным доступом требует учета других факторов, чтобы определить, обеспечит ли решение реальную окупаемость инвестиций (ROI) или вызовет больше проблем, чем решит.
Вот почему, в дополнение к рассмотрению затрат на управление привилегированным доступом, предприятия должны определить, какую рентабельность инвестиций они получат при выборе системы PAM. Калькулятор ROI может помочь им в определении типов возвратов, которые осуществимы для DevOps/инженерных групп, групп безопасности и фирмы.
Сколько стоит решение PAM?
Решения для управления привилегированным доступом (PAM) стоят 70 долларов США на пользователя в месяц. Это включает в себя аудит и интеграцию для всех баз данных, серверов, кластеров, веб-приложений и облаков. Также нет измерений, ограничений данных или затрат на профессиональные услуги.
Какова роль управления доступом?
Управление доступом гарантирует, что человек получает точный уровень и тип доступа к инструменту, на который он имеет право.
Какие навыки вам нужны для управления доступом?
- Хорошее понимание и знание безопасности приложений.
- Некоторое понимание и/или опыт работы с ролевыми системами контроля доступа.
- Отличные устные и письменные навыки общения, межличностные, организационные и тайм-менеджмент способности.
- Сильная способность передавать и объяснять другим сложные технические вопросы, проблемы и альтернативные решения.
- Хорошее знание или опыт работы с ERP-системами в высшем учебном заведении или государственном учреждении.
- Требуются аналитические навыки и навыки устранения неполадок со сложными техническими вопросами и задачами.
- Приветствуется знание или опыт работы администратором идентификации в среде разработки программного обеспечения, связанной с системой ERP.
- Хорошее знание или опыт работы с государственными и федеральными правилами управления идентификацией.
- Знание того, когда для предоставления доступа можно использовать меры контроля доступа на основе ролей.
- Возможность определить, когда подать заявку в центр технической поддержки поставщика и/или когда следует передать существующую проблему на более высокий уровень.
- Возможность решить, следует ли повысить уровень или применить определенные уровни снижения риска.
Статьи по теме
- ЭМПАТИЯ: отсутствие признаков эмпатии и как ее развить
- СИСТЕМА УПРАВЛЕНИЯ ИДЕНТИЧНОСТЬЮ
- ИНСТРУМЕНТЫ УПРАВЛЕНИЯ ИДЕНТИФИКАЦИЕЙ И ДОСТУПОМ: определения, лучшие и бесплатные инструменты идентификации и доступа
- Управление привилегированным доступом: как это работает
Рекомендации
