Цель этого поста состоит в том, чтобы объяснить концепцию управления идентификацией и доступом и предоставить вам некоторые отправные точки для ее внедрения в вашей организации и убедиться, что эта важная тема находится под контролем.
Давайте начнем с определения Википедии: управление идентификацией и доступом (IAM или IdAM) - это структура политик и технологий для обеспечения того, чтобы соответствующие люди на предприятии имели соответствующий доступ к технологическим ресурсам.
Иными словами, организации должны обеспечить сотрудникам, клиентам и партнерам надлежащий, безопасный доступ к информационным и технологическим ресурсам. IAM - это определение и управление ролями и правами доступа отдельных пользователей, а также обстоятельствами, при которых пользователям предоставляются (или отказываются) эти права.
Прежде чем перейти к элементам управления безопасностью, давайте определим некоторые основные понятия:
Идентичность
Идентичность - это то, что может быть использовано для распознавания человека как человеческого существа, первым делом может быть первое имя, но мы быстро понимаем, что этого недостаточно, чтобы дифференцировать двух людей, поэтому следующие характеристики также являются частью идентичности (список не исчерпывающий):
- Фамилия
- Номер телефона
- Компания
- Национальный номер
- Адрес
В целях безопасности нам необходимо однозначно идентифицировать человека, и для этого мы используем учетную запись.
Аутентификация (учетная запись)
Аутентификация-это процесс уникальной идентификации человека или устройства. Когда пользователь пытается получить доступ к системе или данным, сначала он должен заявить о своей личности (часто путем ввода имени пользователя и пароля, также известного как учетная запись).
Таким образом, учетная запись-это уникальный идентификатор, сопоставленный отдельному лицу или службе. Часто мы склонны использовать идентификаторы для учетных записей, это совершенно нелично, поскольку ничто не сопоставляет личность человека с его учетной записью, и это его цель.
Кроме того, удостоверение пользователя может иметь несколько учетных записей, например представьте, что вы хотите, чтобы ваши пользователи имели обычную учетную запись для “нормальной” работы и что вы хотите, чтобы некоторые ИТ-специалисты имели учетную запись администратора с повышенными привилегиями, в данном конкретном случае удостоверение будет иметь 2 учетные записи.
Для процесса аутентификации можно использовать следующие факторы:
- Что-то, что вы знаете (например, пароль, pin-код)
- Что-то у вас есть (например, удостоверение личности, смарт-карта)
- Что-то, чем вы являетесь (например, отпечаток пальца)
Авторизация
После того как вы прошли проверку подлинности в системе, вам необходимо иметь разрешения, необходимые для выполнения того, что вы должны делать в системах (т. е. должны знать). Авторизация-это процесс предоставления разрешения делать или иметь доступ к чему-либо.
Системный администратор определяет для систем, какие пользователи (или группы пользователей) имеют доступ к ресурсам и какие привилегии использования (например, только чтение, доступ на запись, доступ только в определенные часы)
Так зачем же нам нужен IAM?
В принципе, каждая система в организации управляет своими собственными удостоверениями личности и правами доступа (например, локальными учетными записями). Итак, представьте себе, что сотрудник должен иметь доступ к 2 системам, его/ее нужно управлять на этих 2 системах, и что часто происходит... пользователь использует один и тот же пароль по очевидным причинам.
В этом небольшом примере мы быстро понимаем, что управление учетными записями пользователей на уровне системы/приложения является одновременно и административной нагрузкой, и угрозой безопасности. Именно здесь решения для управления идентификацией и доступом становятся критически важными для организаций. Вот основные концепции таких решений:
- Централизованное Управление Доступом
- Подготовка пользователей: управление учетными записями пользователей / удостоверениями личности и разрешениями
- Единый вход (SSO) аутентифицирует пользователей только один раз независимо от системы доступа (разрешения / авторизация, очевидно, могут отличаться между различными системами / приложениями)
- Многофакторная аутентификация (MFA): помимо просьбы пользователей предоставить что-то, что они знают, требует, чтобы пользователь представил что-то, что у него есть, или что-то, чем он является (ср. определение аутентификации)
Основные концепции безопасности IAM
Только личные аккаунты
Неличные аккаунты должны быть запрещены. Учетные записи, такие как administrator и root (которые большую часть времени являются ключами к королевству), не должны использоваться в обычных обстоятельствах, а только в случае крайней необходимости (например, процедуры разбитого стекла).
Использование универсальных учетных записей мешает, в случае инцидента, организации понять, кто что сделал в системе (например, поиск отказа, если вы хотите узнать больше по этой теме: https://en.wikipedia.org/wiki/Non-repudiation)
Группы для назначения разрешений
Не назначайте разрешения на уровне пользователя, это неуправляемо, все разрешения должны управляться на уровне групп, а пользователи должны быть добавлены в правильный.
Как вы можете себе представить, некоторые группы будут предоставлять повышенные привилегии пользователям, принадлежащим к ним. Для этих чувствительных групп очень важно следить за ними (например, когда изменяется разрешение, когда пользователь добавляется/удаляется из группы).
Наименьшие привилегии
При создании политик IAM следуйте стандартным рекомендациям по обеспечению безопасности, предусматривающим предоставление наименьших привилегий или предоставление только разрешений, необходимых для выполнения задачи. Определите, что пользователи (и роли) должны делать, а затем создайте политики, позволяющие им выполнять только эти задачи.
Начните с минимального набора разрешений и предоставьте дополнительные разрешения по мере необходимости. Это более безопасно, чем начинать с разрешений, которые слишком мягки, а затем пытаться ужесточить их позже.
Включить MFA
Для обеспечения дополнительной безопасности всем пользователям требуется многофакторная аутентификация (MFA). Будь то одноразовый пароль (OTP), отпечаток пальца, смарт-карта или что-то еще, этот дополнительный уровень аутентификации значительно повышает уровень безопасности вашей организации.
Строгая политика паролей
Я не буду подробно описывать здесь, что такое сильная политика паролей для пользователей, но если вы заинтересованы в этой теме, вы можете начать с поиска NIST SP 800-63b. обратите внимание также, что в настоящее время люди говорят о беспарольной аутентификации, но так как я никогда не встречал компанию с этой концепцией, я не буду делать никаких комментариев, но стоит взглянуть на нее, если вы заинтересованы в том, что может быть в будущем ...?
Отзыв доступа и обзор
Для меня ключевой момент, когда мы говорим о IAM, часто компании очень хорошо предоставляют права пользователям, просто потому, что иначе сотрудники не смогли бы выполнять то, для чего они наняты... но что касается отзыва доступа, часто этот процесс отзыва доступа просто отсутствует или вообще не применяется. Этот процесс должен быть определен в идеале еще до определения процесса предоставления доступа.
Когда этот процесс должен быть запущен? Например, когда пользователь меняет функцию, когда пользователь покидает компанию.
Передовой практикой в этой области является обеспечение того, чтобы владелец системы регулярно проводил следующие проверки (по крайней мере, один раз в год и чаще для критических систем):
- Просмотрите различные роли, определенные для его/ее приложения / системы (например, роль ABC предоставляет пользователям, имеющим эту роль, возможность читать все счета-фактуры в системе SAP), чтобы убедиться, что нет роли, предоставляющей неправильную авторизацию.
- Просмотрите всех пользователей для каждой роли, чтобы убедиться, что процесс отзыва работал должным образом и что нет пользователя с авторизацией, которую он не должен был бы иметь.
