Skenario: Kebijakan Akses Pusat
Kebijakan akses pusat untuk file memungkinkan organisasi untuk menyebarkan dan mengelola kebijakan otorisasi secara terpusat yang mencakup ekspresi bersyarat yang menggunakan grup pengguna, klaim pengguna, klaim perangkat, dan properti sumber daya. (Klaim adalah pernyataan tentang atribut objek yang terkait dengannya). Misalnya, untuk mengakses data berdampak bisnis tinggi (HBI), pengguna harus menjadi karyawan penuh waktu, mendapatkan akses dari perangkat terkelola, dan masuk dengan kartu pintar. Kebijakan ini ditentukan dan dihosting di Active Directory Domain Services (AD DS).
Kebijakan akses organisasi didorong oleh persyaratan kepatuhan dan peraturan bisnis. Misalnya, jika organisasi memiliki persyaratan bisnis untuk membatasi akses ke informasi pengidentifikasi pribadi (PII) dalam file hanya kepada pemilik file dan anggota departemen sumber daya manusia (SDM) yang diizinkan untuk melihat informasi PII, kebijakan ini berlaku untuk file PII di mana pun mereka berada di server file di seluruh organisasi. Dalam contoh ini, Anda harus dapat:
Identifikasi dan tandai file yang berisi PII.
Identifikasi grup anggota SDM yang diizinkan untuk melihat informasi PII.
Buat kebijakan akses pusat yang berlaku untuk semua file yang berisi PII di mana pun mereka berada di server file di seluruh organisasi.
Inisiatif untuk menyebarkan dan menerapkan kebijakan otorisasi dapat datang karena berbagai alasan dan berlaku untuk beberapa tingkat organisasi. Berikut ini adalah beberapa contoh jenis kebijakan:
Kebijakan otorisasi di seluruh organisasi. Paling umum dimulai dari kantor keamanan informasi, kebijakan otorisasi ini didorong oleh kepatuhan atau persyaratan organisasi tingkat tinggi, dan relevan di seluruh organisasi. Misalnya, file HBI hanya dapat diakses oleh karyawan penuh waktu.
Kebijakan otorisasi departemen. Setiap departemen dalam organisasi memiliki beberapa persyaratan penanganan data khusus yang ingin mereka terapkan. Misalnya, departemen keuangan mungkin ingin membatasi akses ke server keuangan untuk karyawan keuangan.
Kebijakan manajemen data tertentu. Kebijakan ini biasanya berkaitan dengan persyaratan kepatuhan dan bisnis, dan ditargetkan untuk melindungi akses yang benar ke informasi yang sedang dikelola. Misalnya, lembaga keuangan mungkin menerapkan dinding informasi sehingga analis tidak mengakses informasi broker dan broker tidak mengakses informasi analisis.
Kebijakan yang perlu diketahui. Jenis kebijakan otorisasi ini biasanya digunakan bersama dengan jenis kebijakan sebelumnya. Misalnya, vendor harus dapat mengakses dan mengedit hanya file yang berkaitan dengan proyek yang sedang mereka kerjakan.
Lingkungan kehidupan nyata juga mengajarkan kita bahwa setiap kebijakan otorisasi perlu memiliki pengecualian sehingga organisasi dapat dengan cepat bereaksi ketika kebutuhan bisnis penting muncul. Misalnya, eksekutif yang tidak dapat menemukan kartu pintar mereka dan membutuhkan akses cepat ke informasi HBI dapat memanggil Staf Dukungan untuk mendapatkan pengecualian sementara untuk mengakses informasi tersebut.
Kebijakan akses pusat bertindak sebagai payung keamanan yang diterapkan organisasi di seluruh servernya. Kebijakan ini meningkatkan (tetapi tidak mengganti) kebijakan akses lokal atau daftar kontrol akses diskresi (DACL) yang diterapkan ke file dan folder. Misalnya, jika DACL pada file memungkinkan akses ke pengguna tertentu, tetapi kebijakan pusat yang diterapkan ke file membatasi akses ke pengguna yang sama, pengguna tidak dapat memperoleh akses ke file. Jika kebijakan akses pusat mengizinkan akses, tetapi DACL tidak mengizinkan akses, pengguna tidak dapat memperoleh akses ke file.
Aturan kebijakan akses pusat memiliki bagian logis berikut:
Penerapan. Kondisi yang menentukan data mana yang berlaku untuk kebijakan, seperti Resource.BusinessImpact=High.
Kondisi akses. Daftar satu atau beberapa entri kontrol akses (ASE) yang menentukan siapa yang dapat mengakses data, seperti Izinkan | Kontrol Penuh | User.EmployeeType=FTE.
Pengecualian. Daftar tambahan dari satu atau beberapa ACE yang menentukan pengecualian untuk kebijakan, seperti MemberOf(HBIExceptionGroup).
Dua gambar berikut menunjukkan alur kerja dalam akses pusat dan kebijakan audit.
Gambar 1 Konsep kebijakan akses pusat dan audit
Gambar 2 Alur kerja kebijakan akses Pusat
Kebijakan otorisasi pusat menggabungkan komponen berikut:
Daftar aturan akses yang ditentukan secara terpusat yang menargetkan jenis informasi tertentu, seperti HBI atau PII.
Kebijakan yang ditentukan secara terpusat yang berisi daftar aturan.
Pengidentifikasi kebijakan yang ditetapkan ke setiap file di server file untuk menunjuk ke kebijakan akses pusat tertentu yang harus diterapkan selama otorisasi akses.
Gambar berikut menunjukkan bagaimana Anda dapat menggabungkan kebijakan ke dalam daftar kebijakan untuk mengontrol akses ke file secara terpusat.
Gambar 3 Menggabungkan kebijakan
Dalam skenario ini
Panduan berikut ini tersedia untuk Anda untuk kebijakan akses pusat:
Peran dan fitur yang disertakan dalam skenario ini
Tabel berikut mencantumkan peran dan fitur yang merupakan bagian dari skenario ini dan menjelaskan bagaimana mereka mendukungnya.
| Peran/fitur | Cara mendukung skenario ini |
|---|---|
| Peran Active Directory Domain Services | AD DS di Windows Server 2012 memperkenalkan platform otorisasi berbasis klaim yang memungkinkan pembuatan klaim pengguna dan klaim perangkat, identitas campuran, (klaim pengguna ditambah perangkat), model kebijakan akses pusat (CAP) baru, dan penggunaan informasi klasifikasi file dalam keputusan otorisasi. |
| Peran Server Layanan File dan Penyimpanan | Layanan File dan Penyimpanan menyediakan teknologi yang membantu Anda menyiapkan dan mengelola satu atau beberapa server file yang menyediakan lokasi pusat di jaringan Tempat Anda dapat menyimpan file dan membagikannya dengan pengguna. Jika pengguna jaringan Anda memerlukan akses ke file dan aplikasi yang sama, atau jika pencadangan terpusat dan manajemen file penting bagi organisasi Anda, Anda harus menyiapkan satu atau beberapa komputer sebagai server file dengan menambahkan peran Layanan File dan Penyimpanan dan layanan peran yang sesuai ke komputer. |
| Komputer klien Windows | Pengguna dapat mengakses file dan folder di jaringan melalui komputer klien. |