Управление идентификацией и доступом

  • 5 мин

Управление доступом начинается с защищенного удостоверения. Использование подхода "Никому не доверяй" означает применение доступа с минимальными правами путем назначения авторизованным пользователям минимального уровня разрешений. Таким образом защита удостоверений и управление доступом объединены в одну систему управления идентификацией и доступом.

Как работает система управления идентификацией и доступом?

Система управления идентификацией и доступом является критически важным уровнем безопасности. Крайне важно защитить такие области, как критически важные данные и сведения, приложения и программное обеспечение, устройства, расположения, бизнес-расположения и центры обработки данных, а также передачу данных от несанкционированного доступа или использования. Система управления идентификацией и доступом обычно включает взаимодействие со следующими элементами.

  • Средства управления паролями.
  • Системы баз данных сотрудников.
  • Локальные и облачные приложения.

Совместимая идентификация.

Система управления идентификацией и доступом в сочетании с эффективными политиками безопасности помогает предотвратить взлом или другие нарушения системы безопасности.

Существуют меры, которые организации могут использовать с определенными технологиями для улучшения общего периметра безопасности. Ниже приведены некоторые методы идентификации, используемые многими организациями для мониторинга доступа к ресурсам.

  • Идентификационные карточки. Использование идентификационных карточек является одним из самых старых и наиболее распространенных методов идентификации. Идентификационные карточки с четкими изображениями сотрудников гарантируют, что человек, который входит в здание, является авторизованным. Для проверки подлинности можно установить сканеры в случае подделки идентификационных документов.
  • Персональные идентификационные номера. Использование персональных идентификационных номеров (ПИН) — еще одна рекомендация для защиты доступа. ПИН — это коды, которые вводятся у дверей с помощью клавиатуры перед доступом в здание. Каждому сотруднику назначается уникальный ПИН-код доступа, который регулярно меняется.
  • Смарт-карты. Смарт-карты все чаще используются в качестве безопасного способа управления физическим доступом. Их можно использовать для проверки личности человека и определения правильного уровня доступа. Смарт-карты можно программировать, чтобы разрешить определенным сотрудникам доступ в ограниченные зоны.
  • Биометрические данные. Биометрические данные — это один из наиболее безопасных методов проверки личности пользователя, которому требуется доступ к ресурсам в организации. Биометрический считыватель обычно сканирует физические признаки, например отпечаток пальца или ладони, лицо, голос или глаза, прежде чем предоставить безопасный доступ.

Методы определения типичного доступа для удостоверения

Стратегия "Никому не доверяй" на основе явной проверки требует реализации различных методов для подтверждения удостоверения пользователя или устройства. Ниже перечислены некоторые из наиболее распространенных методов идентификации.

  • Единый вход. Единый вход означает, что вы входите только один раз с помощью одной учетной записи пользователя для доступа к нескольким приложениям и ресурсам, необходимым для работы. Единый вход устраняет риск того, что пользователи будут сохранять копии своих учетных данных в различных приложениях.
  • Многофакторная проверка подлинности. При многофакторной проверке подлинности (MFA) требуется несколько форм в процедуре проверки и обеспечения безопасности. Этот механизм безопасности основан на трех факторах:
    • Нечто известное вам — пароль.
    • Нечто принадлежащее вам — маркер или приложение для проверки подлинности.
    • Ваш неотъемлемый признак — физическая характеристика, например отпечаток пальца.

MFA добавляет несколько уровней безопасности, объединяя различные методы проверки подлинности, например пароли, push-уведомления для мобильных устройств и биометрические данные, чтобы обеспечить улучшенную защиту.

  • Условный доступ или доступ на основе ролей. При проверке подлинности пользователя или устройства применяется условный доступ или доступ на основе ролей. Это набор политик, которые определяют уровень доступа, предоставляемый пользователю или устройству. Этот процесс называется авторизацией и определяет возможности доступа устройства или пользователя (кто, что и где).

Доступ с минимальными правами для удостоверений

Цель доступа с минимальными правами, как следует из названия, — предоставить пользователю или устройству лишь достаточный доступ к критически важным ресурсам. Существует ряд средств для поддержки этой функции. Управление привилегированным доступом (PAM) специально предназначено для учетных записей пользователей с повышенными разрешениями, например для администраторов. Управление привилегированными пользователями (PIM) контролирует и отслеживает права доступа пользователей и устройств к конфиденциальным данным и ресурсам. Наконец, управление доступом к удостоверениям определяет, какие группы пользователей могут получать доступ к ресурсам в вашей организации.

Доступ с минимальными правами можно реализовать с помощью следующих элементов.

  • Учетные записи администраторов
  • Учетные записи для экстренных ситуаций
  • Учетные записи служб
  • Учетные записи бизнес-пользователей

Способ современной работы продолжает развиваться. Все больше пользователей и устройств подключаются через облако, устройства Интернета вещей и взаимодействуют друг с другом, а бизнес-процессы все больше автоматизируются. Это значительно увеличило объем атак киберпреступников, связанных с доступом.

Эффективное решение для управления доступом с минимальными правами обеспечивает:

  • Правильный уровень доступа. Пользователи получат только соответствующий уровень доступа для выполнения своей работы. Он также позволяет определить действия, связанные с ненадлежащим использованием прав.
  • Безопасные конечные точки. Каждая отдельная конечная точка по умолчанию содержит права — от устройств Интернета вещей до смартфонов, от собственных устройств (BYOD) до управляемых партнером устройств и от локальных рабочих нагрузок до облачных серверов. Если злоумышленники получают учетную запись администратора, они могут легко перейти от одной конечной точки к другой, чтобы нанести дополнительный ущерб. При внедрении управления доступом с минимальными правами ИТ-отделы могут удалить права локального администратора, чтобы снизить риск.
  • Эффективное соответствие требованиям. Организации останутся уязвимыми, если привилегированный доступ не отслеживается и не регулируется. Успешное решение для управления привилегированным доступом позволяет организациям отслеживать и записывать все действия, связанные с критически важными данными и ИТ-ресурсами, и обеспечивает соответствие нормативным требованиям.