Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Глава 2. Терминология и рекомендации
Опубликовано 11 мая 2004 | Обновлено 26 июня 2006
Управление идентификаторами и доступом включает использование процессов, технологий и правил для управления цифровыми идентификаторами и для указания способа использования цифровых идентификаторов для получения доступа к ресурсам.
Как правило, рекомендации по управлению идентификаторами и доступом являются более сложными по сравнению с рекомендациями, касающимися большинства других ИТ-проектов, просто потому, что очень велико количество и разнообразие используемых хранилищ идентификаторов, протоколов, механизмов шифрования, правил, а также руководящих органов, совместно участвующих в решении этих задач. Значительному уменьшению усилий, требуемых для управления цифровыми идентификаторами в крупной сети, способствует применение всесторонне продуманной стратегии, позволяющей ввести в действие стандарты, уменьшить количество хранилищ идентификаторов, установить доверие, делегировать административные полномочия и повысить удобство пользования процедурой единого входа, а вместе с тем укрепить безопасность.
Принятая в организации стратегия управления идентификаторами и доступом должна содержать конкретные ответы на следующие вопросы.
В чем состоят преимущества, которые должны быть достигнуты в результате осуществления рекомендаций по управлению идентификаторами и доступом?
Какие проблемы должна позволить преодолеть каждая рекомендация?
Какие конкретные особенности организации должны быть при этом учтены?
Какие деловые и технологические проекты и решения являются необходимыми для осуществления каждой рекомендации?
Организация должна иметь четкое представление о том, какие конкретные преимущества должны быть достигнуты в результате выполнения каждой рекомендации, направленной на совершенствование управления идентификаторами и доступом. Если нет такого полного представления о намеченной цели, то полученный результат не позволит добиться определенных успехов и, скорее всего, приведет к созданию более сложной и громоздкой системы.
Но, оценивая потенциальные преимущества, нельзя упускать из виду сложности, связанные с реализацией конкретных технологических решений. Необходим баланс между ожидаемыми преимуществами и размерами и сложностью каждого решения.
На этой странице
Терминология управления идентификаторами и доступом Бизнес-требования Рекомендации по осуществлению стратегии управления идентификаторами и доступом
Терминология управления идентификаторами и доступом
Ниже приведены определения терминов, которые описывают компоненты или процессы, связанные с управлением идентификаторами и доступом. В следующих статьях данной серии эти термины используются и разъясняются более подробно.
Цифровые идентификаторы. Уникальный идентификатор и описательные атрибуты лица, группы, устройства или службы. В качестве примеров можно назвать учетные записи пользователей или компьютеров в Active Directory, учетные записи электронной почты в Microsoft Exchange Server 2003, записи с данными о пользователях в таблице базы данных и регистрационные учетные данные для входа в пользовательское приложение.
Учетные данные. Как правило, фрагмент информации, относящийся к секретным сведениям, входящим в состав цифровых идентификаторов, или полученный на основании таких сведений, хотя секретная информация применяется не во всех случаях. К примерам учетных данных относятся пароли, сертификаты X.509 и биометрическая информация.
Участник безопасности. Цифровые идентификаторы, включающие один или несколько комплектов учетных данных, которые могут применяться при проверке подлинности и прав доступа для взаимодействия с сетью.
Хранилище идентификаторов. Репозитарий, который содержит цифровые идентификаторы. Хранилища идентификаторов обычно находятся под управлением той или иной службы каталогов или баз данных, а доступ к ним осуществляется с помощью такого поставщика услуг, как Active Directory или Microsoft SQL Server. Хранилища идентификаторов могут быть централизованными, например, находящимися на мэйнфрейме, или распределенными; примером распределенного хранилища идентификаторов является Active Directory. Как правило, такие хранилища имеют хорошо определенные схемы, описывающие, какая информация может в них храниться и в какой форме эта информация может быть записана. Кроме того, в хранилищах обычно предусматривается применение определенной формы алгоритма шифрования или хэширования, позволяющего защищать и хранилище, и компоненты цифровых идентификаторов, таких как учетные данные. Возможно также, что хранилища идентификаторов, относящиеся к старым версиям или определяемые пользователем, могут не иметь строгих механизмов безопасности и хранить пароли в виде открытого текста (без шифрования).
Синхронизация идентификаторов. Процесс обеспечения того, чтобы несколько хранилищ идентификаторов содержали совместимые сведения, относящиеся к конкретным цифровым идентификационным данным. Процесс обеспечения синхронизации может быть организован с использованием программных методов, таких как сценарии, или с помощью специализированного программного продукта, допустим, MIIS 2003 SP1.
Службы интеграции идентификаторов. Службы, которые агрегируют, синхронизируют, а также обеспечивают централизованную инициализацию и деинициализацию идентификационной информации, находящейся в нескольких связанных друг с другом хранилищах идентификаторов. Службы интеграции идентификаторов предоставляются с помощью MIIS 2003 SP1 и Identity Integration Feature Pack 1a (IIFP) для Active Directory.
Инициализация. Процесс добавления идентификаторов к хранилищу идентификаторов и определение для них начальных учетных данных и полномочий. Деинициализация предусматривает выполнение противоположных действий, что приводит к удалению идентификаторов или к переводу их в неактивную форму. Процессы инициализации и деинициализации, как правило, применяются наряду со службами интеграции идентификаторов для распространения операций добавления, удаления и деактивизации по связанным друг с другом хранилищам идентификаторов.
Управление жизненным циклом идентификаторов. Процессы и технологии, с применением которых цифровые идентификаторы поддерживаются в актуальном состоянии и остаются совместимыми с руководящими правилами. Управление жизненным циклом идентификаторов предусматривает синхронизацию, инициализацию, деинициализацию идентификаторов, а также оперативное управление атрибутами, учетными данными и полномочиями пользователей.
Проверка подлинности. Процесс проверки учетных данных участника безопасности с применением значений, имеющихся в хранилище идентификаторов. Защита процесса проверки подлинности и предотвращение перехвата учетных данных осуществляются с помощью таких протоколов проверки подлинности, как Kerberos версии 5, SSL (Secure Sockets Layer) и NTLM, а также с помощью проверки подлинности по цифровой подписи.
Полномочие. Набор атрибутов, которые определяют права доступа и привилегии участника безопасности, прошедшего проверку подлинности. Например, к полномочиям относятся группы безопасности Windows и права доступа.
Авторизация. Процесс сравнения полномочий пользователя с правами доступа, определенными в конфигурации ресурса, в целях управления доступом. При авторизации в операционной системе Windows используются списки контроля доступа (ACL), относящиеся к файлам, каталогам, совместно используемым ресурсам и объектам службы каталогов. Механизмы контроля доступа к ресурсам, которыми они управляют, реализуют такие приложения, как SQL Server, SharePoint® Portal Server и Exchange Server. Разработчики приложений могут реализовывать управление доступом на основе ролей с применением ролей диспетчера авторизации Windows или ASP.NET.
Доверие. Состояние, которое описывает соглашения между различными сторонами и системами в целях совместного использования идентификационной информации. Доверие обычно используется для распространения доступа к ресурсам контролируемым способом и вместе с тем устранения администрирования, которое в противном случае потребовалось бы для управления участниками безопасности другой стороны соглашения. К механизмам поддержки доверия относится доверие между лесами в Windows Server 2003 и доверие между областями, поддерживаемое с помощью протокола проверки подлинности Kerberos версии 5.
Объединение. Доверие особого рода между различными организациями, устанавливаемые вне пределов границ внутренней сети.
Аудит безопасности. Процесс регистрации и обобщения сведений о важных событиях проверки подлинности и авторизации, а также об изменениях в объектах идентификаторов. В различных организациях могут применяться разные определения понятия важных событий. Записи аудита безопасности могут регистрироваться в журнале событий безопасности Windows.
Управление доступом. Процессы и технологии для управления и текущего контроля доступа к ресурсам, совместимые с руководящими правилами. К управлению доступом относится проверка подлинности, авторизация, поддержка доверия и аудит безопасности.
Бизнес-требования
В результате внедрения новейших достижений в области распределенных вычислений, в частности, осуществляемых через Интернет, в большинстве типичных организаций произошло стремительное увеличение количества приложений и других механизмов доступа к информации. В то же время организации стремятся предоставить защищенный доступ к информационным активам для сотрудников, партнеров и заказчиков в условиях своего продолжающегося развития, сокращая при этом затраты на обеспечение доступа, укрепляя безопасность и соблюдая требования законодательства.
Защищенный доступ к информационным активам должен предоставляться в рамках все более сложных вариантов ИТ-среды. В заказных или готовых приложениях часто предусматриваются собственные системы проверки подлинности и авторизации, а также инструментальные средства управления, предназначенные для создания и сопровождения учетных записей пользователя, которые не интегрированы со всеобъемлющей платформой управления идентификаторами и доступом. Наличие таких приложений часто приводит к созданию разрозненных островков цифровых идентификаторов и к повышению сложности.
В связи с применением таких сложных и трудных в управлении систем задача ИТ-отделов по предоставлению доступа к информационным активам и выполнению деловых требований организаций, которые они обслуживают, становится очень трудоемкой. Подготовленная должным образом инфраструктура управления идентификаторами и доступом, основанная на надежной платформе управления идентификаторами и доступом, может помочь ИТ-отделу в выполнении таких деловых требований.
Снижение общих затрат на владение
Если в организации не реализованы качественно спроектированные, автоматизированные и контролируемые механизмы, обеспечивающие управление доступом, то реализация и сопровождение всеобъемлющей системы управления доступом становятся дорогостоящими. Приведенные ниже рисунки взяты из обзора PricewaterhouseCoopers/Meta Group Survey 2002 под названием «The Value of Identity Management», который можно получить на веб-узле компании по адресу http://www.pwcglobal.com. На этих рисунках даны основные примеры затрат, связанных с управлением цифровыми идентификаторами.
Регистрация и проверка подлинности. Производительность труда интеллектуального работника может быть значительно повышена за счет сокращения затрат времени на регистрацию в различных системах. Средний пользователь тратит на подтверждение свой подлинности и вход в систему 16 минут в сутки. Для крупной организации (согласно определению, приведенному в указанном обзоре, таковой является организация, имеющая 10000 пользователей), это равнозначно 2666 часам в сутки, или 1,3 годам эквивалента полной занятости (FTE).
Управление жизненным циклом идентификаторов. Необходимо добиться того, чтобы ИТ-персонал организации мог сосредоточиться на важных задачах обеспечения доступности ресурсов и укрепления безопасности сети. Время, потраченное на управление идентификаторами с применением неэффективных механизмов, можно было бы успешно использовать для выполнения более важных заданий. Средние затраты времени на управление пользователями, хранилищами пользовательских данных, а также на проверку подлинности и управление доступом ежегодно составляют 54180 часов. Для крупной организации даже 25%-е повышение эффективности было бы равнозначно 13545 часам (или 6,7 годам FTE).
Переопределение паролей. Сорок пять процентов вызовов службы поддержки касаются переопределения паролей. В результате автоматизации переопределения паролей этот объем вызовов уменьшается примерно на треть. Для организации с 10 тысячами пользователей это равнозначно прогнозируемой ежегодной экономии в 648 тысяч долларов.
Дублирование данных. Устранение дублирующихся идентификаторов позволяет упростить процессы администрирования и уменьшить общую стоимость владения. Тридцать восемь процентов данных о внешних пользователях и семьдесят пять процентов данных о внутренних пользователях содержатся в нескольких хранилищах данных. Согласно прогнозам для крупных организаций средняя экономия времени в результате централизации и консолидации управления хранилищами пользовательских данных составляет ежегодно 1236 часов.
Организации, сумевшие решить проблемы управления идентификаторами и доступом, получают возможность значительно снизить общие затраты на хранение. Даже небольшие изменения, такие как сокращение количества обращений в службу поддержки для переопределения паролей, позволяют значительно повысить производительность труда конечных пользователей и операторов службы поддержки.
Повышение безопасности
Для обеспечения безопасности необходимо не только определить, кто или что не будет иметь возможности обратиться к защищенной системе, но и решить, кому или чему должно быть разрешено работать в системе и какой уровень доступа должен при этом предоставляться. Сотрудники, подрядчики, клиенты и деловые партнеры имеют разные потребности в доступе к данным и приложениям. Для организаций очень важно определить и реализовать такую политику управления доступом, которая позволяла бы предоставлять доступ к конфиденциальной информации только тем пользователям, которым дано на это право.
Еще одним условием обеспечения безопасности является эффективное оперативное управление. Если учетные записи, представляющие сотрудников, партнеров и клиентов, охвачены плохо продуманными процессами управления, это может привести к повышению риска нарушения безопасности. Например, обычная система управления учетными записями пользователей, на которую возложена задача поддержки учетных записей миллионов клиентов, работающих в оперативном режиме, может испытывать значительную перегрузку. Кроме того, может оказаться, что организация не обладает такими же знаниями и не может управлять сотрудниками своего партнера так же эффективно, как применительно к учетным записям собственных сотрудников.
Применение контролируемых средств управления идентификаторами и доступом позволяет организациям расширить доступ к своим информационным системам, не ставя под угрозу безопасность. Организации предоставляют такой расширенный доступ, скрупулезно управляя полномочиями, а также своевременно модифицируя или прекращая действия прав доступа.
Управление идентификаторами и доступом обычно связано с осуществлением следующих действий в области безопасности.
Усовершенствование процедур принудительного применения правил обращения с учетными записями. Повышение безопасности может быть достигнуто за счет управления учетными записями в соответствии с заранее определенными стандартами. Принудительное применение правил обращения с учетными записями обеспечивается в результате определения правил и процедур реализации усиленных мер по укреплению защиты. В качестве примеров достаточно указать, что от администраторов можно потребовать использовать смарт-карты, а также следить за тем, чтобы все пользователи имели сложные пароли и часто их меняли.
Удаление устаревших учетных записей. Безопасность компьютеризированной системы можно значительно улучшить, своевременно удаляя устаревшие учетные записи. Организации должны запрещать использование учетных записей, относящихся к сотрудникам, подрядчикам, партнерам и клиентам, после того как эти учетные записи становятся больше не нужными. Если такие записи не будут запрещены, то первоначальные владельцы могут использовать их недопустимым образом для получения несанкционированного доступа к системам. Устаревшие учетные записи представляют собой привлекательную цель для злонамеренных пользователей и нарушителей защиты, поскольку в этих записях, скорее всего, присутствуют и устаревшие неизменные учетные данные, и любое неправильное употребление или потенциальная компрометация таких записей будет обнаруживаться с меньшей вероятностью.
Улучшение защиты данных приложений. В приложениях необходимо осуществлять передачу данных через безопасные механизмы, чтобы добиться соблюдения требований организации к безопасности. Прежде чем появится возможность предоставить доступ к конфиденциальным данным, может потребоваться организовать должным образом проверку подлинности и авторизацию; кроме того, должны быть защищены конфиденциальные данные, передаваемые по сети, чтобы не дать возможность нарушителям защиты перехватывать (считывать) передаваемые данные.
Реализация надежной проверки подлинности. Может оказаться, что обычно используемые методы проверки подлинности и учетные данные не обеспечивают уровень безопасности, необходимый важным приложениям и данным. Корпорация Майкрософт рекомендует по возможности применять надежные механизмы проверки подлинности, подобные технологиям протокола Kerberos версии 5 и инфраструктуры открытых ключей (PKI), для повышения общей безопасности вычислительных ресурсов.
Управление учетными данными с помощью служб каталогов. Обычно службы каталогов используются в организациях для разных целей, но они могут также предоставлять определенные преимущества с точки зрения безопасности. Например, уровень безопасности организации может быть существенно повышен благодаря использованию таких усовершенствованных средств проверки подлинности, как смарт-карты и биометрические данные. К сожалению, применение подобных систем приводит также к повышению сложности и введению дополнительных данных о пользователях, которые необходимо тщательно сопровождать и предоставлять к ним централизованный доступ. Развертывание таких систем становится проще, если имеется надежная инфраструктура службы каталогов.
Усовершенствование авторизации. Авторизация должна быть достаточно гибкой, чтобы обеспечивать не только общий, но и индивидуальный доступ к ресурсам. Например, общий доступ позволяет всем сотрудникам пользоваться конкретным приложением, а индивидуальный доступ предусматривает возможность выполнять определенную операцию в приложении в период от 9:00 до 17:00 только сотрудникам коммерческого отдела. Пользователи должны логически сопоставляться таким ролям, как администратор базы данных, оператор службы поддержки или пользователь приложения, в контексте всей организации или отдельного приложения.
Управление полномочиями с помощью инициализации. Система инициализации, реализованная должным образом, предписывает неуклонное соблюдение правил подачи запросов и получения разрешений на применение полномочий. Соблюдение этих требований становится проще, если есть возможность легко организовать осуществление одного и того же процесса во всех подразделениях организации. Система инициализации должна также предусматривать ведение контрольного журнала, в котором регистрируются данные о том, кто и когда принял и утвердил то или иное решение.
Реализация управления жизненным циклом идентификаторов. Процесс управления жизненным циклом идентификаторов позволяет поддерживать сведения о полномочиях пользователей в актуальном состоянии на протяжении всего периода их работы в организации. Например, если сотрудник переходит из финансового отдела в отдел маркетинга, то с применением процесса управления жизненным циклом идентификаторов может быть закрыт и исключен доступ этого сотрудника к финансовым приложениям и предоставлен доступ к маркетинговым приложениям. Процессы управления жизненным циклом идентификаторов могут осуществляться вручную или с использованием автоматизированных средств. Применение автоматизированных процессов обычно способствует повышению уровня безопасности организации, поскольку операции запрещения и предоставления доступа выполняются более своевременно, к тому же, если потребуется, можно обеспечить выполнение одновременно обеих этих операций.
Управление группами. Согласно** **общепринятым рекомендациям по безопасности, организации должны контролировать состав групп с применением эффективных средств управления группами. Принадлежность к группе может предоставлять права доступа и привилегии, поэтому важно добиться того, чтобы каждая группа содержала только относящиеся к ней учетные записи. Системы управления идентификаторами и доступом позволяют назначать учетные записи пользователей в подходящие для них группы или создавать динамические группы, в зависимости от атрибутов учетных записей, а затем инициализировать доступ этих групп к службам каталогов и системам электронной почты.
Сокращение пространства, подверженного риску нарушения безопасности. При использовании нескольких хранилищ идентификаторов риск компрометации учетных записей пользователей увеличивается, если управление каждым хранилищем данных не осуществляется в соответствии с общими высокими стандартами. Аналогичным образом, применение разнообразных механизмов проверки подлинности обычно означает, что угрозы безопасности всей системы становятся менее известными и не так легко устранимыми. Снижение общего количества систем и механизмов безопасности влечет за собой возможность совершенствования управления и защиты оставшихся систем.
Сосредоточение усилий пользователей на выполнении продуктивной работы. Если применяется единый вход, то пользователям проще выполнять организационные правила обращения с паролями. Если люди сталкиваются с необходимостью запоминать и управлять несколькими паролями, то их естественной реакцией становится создание простых паролей или подготовка записок с текстами сложных паролей, которые могут оставаться без присмотра на рабочем месте.
Улучшение доступа
Технологии управления идентификаторами и доступом будут способствовать улучшению доступа к информационным активам только при условии соблюдения следующих требований.
Обеспечение непосредственного повышения производительности труда сотрудников и предоставление доступа к информационным ресурсам благодаря эффективной инициализации доступа к учетным записям и аппаратным средствам.
Обеспечение дальнейшего повышения производительности труда сотрудников путем предоставления удаленного доступа к ключевым приложениям, выходящим за пределы внутренней сетевой среды организации.
Предоставление партнерам возможности непосредственно участвовать в эксплуатации деловых приложений в управляемой и контролируемой форме, что способствует упрощению процессов, выходящих за пределы границ организации.
Привлечение клиентов за счет предоставления индивидуализированной информации и обеспечения возможности запрашивать продукты и услуги в оперативном режиме. Улучшение взаимодействия с пользователями и повышение удовлетворенности клиентов в целях повышения прибыльности.
Обеспечение экономии путем ввода в действие объединения, которое предоставляет расширенные деловые возможности для непосредственной работы с партнерами и вместе с тем исключает необходимость нести бремя управления идентификационными и учетными данными персонала организации-партнера, участвующей в объединении.
Выполняя эти ключевые требования по управлению идентификаторами и доступом, организации могут добиться повышения производительности труда сотрудников, уменьшения затрат и улучшения деловой интеграции.
Обеспечение соблюдения требований законодательства
Идентификационные данные все чаще становятся основной темой многих правительственных и законодательных постановлений. В этом выражаются результаты постоянно растущего внимания к обеспечению конфиденциальности, поскольку объем персональной информации, хранимой в информационных системах, постоянно увеличивается. Качественное управление доступом к информации о клиентах и сотрудниках не только является признаком хорошей деловой практики; организация, имеющая много упущений в этой области, подвержена риску существенной финансовой и правовой ответственности.
В настоящее время соблюдение требований по обеспечению целостности данных или защите данных от постороннего доступа стало предметом действия закона. Организации, работающие в Соединенных Штатах, обязаны выполнять требования одного или нескольких из перечисленных ниже законодательных актов.
Закон Сарбейнса-Оксли о реформе учета и отчетности в открытых компаниях и защите интересов инвестора (Sarbanes-Oxley Public Company Accounting Reform and Investor Protection Act).
Закон Грэмма-Лича-Блайли о модернизации финансовых служб (Gramm-Leach-Bliley Financial Services Modernization Act).
Акт о передаче и защите данных учреждений здравоохранения (The Health Insurance Portability and Accountability Act, HIPAA).
В качестве примера того, как эти законодательные акты влияют на деятельность организаций, отметим, что в правилах безопасности HIPAA даны строгие рекомендации для организаций здравоохранения по обращению с диагностической информацией, которую можно увязать с конкретной личностью. Эти рекомендации охватывают такие области, как надлежащая организация аудита, управление доступом и авторизация. Эффективно действующая инфраструктура управления идентификаторами и доступом позволяет безошибочно связывать данные о пациенте с тем пациентом, которому они соответствуют, в условиях применения нескольких разных информационных систем. Кроме того, такая инфраструктура обеспечивает аудит доступа к записям и подтверждение подлинности тех людей, которые знакомятся с этими записями.
Как показывают законодательные акты, подобные Директиве по защите данных Европейского союза (European Union's Data Protection Directive) от 1998 года и Закону Канады о защите персональной информации и электронных документов (Canada's Personal Information Protection and Electronic Documents Act - PIPEDA), которые предъявляют строгие рекомендации в отношении идентификационной информации, с возросшими требованиями законодательства сталкиваются не только организации, работающие в Соединенных Штатах. Кроме общегосударственных законодательных актов, имеется также много местных законов, которые регламентируют способы хранения и использования информации, относящейся к категории идентификаторов.
Соблюдение организациями требований законодательства гарантирует выполнение ими всех применимых рекомендаций, касающихся конфиденциальности, проверки подлинности, авторизации и аудита, регламентируемых любыми нормативными документами, относящимися к этой области.
Обеспечение бесперебойной работы в условиях слияний и поглощений
При объединении систем управления идентификаторами и доступом в организации, проходящей через процесс слияния или поглощения приобретенной ею организации, возникают уникальные сложности и вместе с тем значительные возможности. Чтобы максимально повысить значимость новой организации, в ИТ-отделе необходимо использовать общие стандарты для объединения данных и информации из вновь присоединившихся организаций и как можно скорее предоставить к ним доступ сотрудникам.
Особенно важно обеспечить успешную интеграцию систем управления идентификаторами и доступом, чтобы предоставить всем сотрудникам новой организации надлежащий уровень доступа к консолидированным данным. Кроме того, должно быть проведено объединение избыточных хранилищ идентификаторов и процессов управления, которые больше не требуются для новой организации, чтобы стоимость администрирования оставалась в разумных пределах.
Ниже перечислены проблемы, с которыми приходится сталкиваться ИТ-отделам в период слияний и поглощений.
Обеспечение совместимости хранилищ идентификаторов двух организаций.
Сведение учетных записей из каждой системы в консолидированную систему.
Использование принципов объединения для консолидации систем управления идентификаторами и доступом с применением доверия.
Синхронизация хранилищ идентификаторов, что часто может служить приемлемым краткосрочным решением в том случае, если в период слияния или поглощения немедленная консолидация различных систем не осуществима.
Обновление правил защиты в целях учета и соблюдения новых требований законодательства, которые возникают в результате слияния или поглощения.
Рекомендации по осуществлению стратегии управления идентификаторами и доступом
В каждой организации обнаруживаются различные деловые потребности, являющиеся стимулом для определения и реализации стратегии управления идентификаторами и доступом. Стратегия должна соответствовать целям деятельности организации, направленным на достижение максимальных деловых результатов, поскольку лишь в этом случае она предоставляет наибольшие шансы добиться успеха. Определяя приоритеты проекта системы безопасности, необходимо учитывать следующие соображения.
Чем быстрее будут достигнуты первые результаты, тем больше руководители организации будут склонны содействовать этому проекту. Необходимо стремиться скорее достичь результатов с минимальными затратами ресурсов, чтобы обеспечить динамическое развитие проекта и заслужить поддержку руководства.
Заблаговременное обнаружение областей, связанных со значительным риском. Проблемы безопасности чаще всего беспокоят ответственных представителей организации в наибольшей степени, поэтому должны быть устранены как можно быстрее.
Результатом реализации стандартов и создания инфраструктуры часто становится выдвижение новых рекомендаций по повышению безопасности. В зависимости от того, какие инвестиции были сделаны в прошлом, для реализации стандартов путем определения политики безопасности и инфраструктуры ее поддержки могут потребоваться существенные затраты и усилия. Но эти инвестиции могут оказаться вполне оправданными, если учесть, что от них будет зависеть успех большинства других проектов.
В каждой организации, которая разрабатывает стратегию управления идентификаторами и доступом, необходимо учесть характерную только для нее уникальную комбинацию целей и приоритетов. В следующих разделах рассматриваются некоторые из наиболее широко применяемых рекомендаций; каждая из них стала результатом реализации одного или нескольких деловых и технологических проектов, включая перечисленные ниже.
Формулировка принципов безопасности и доступа.
Определение стандартов службы каталогов и стандартов безопасности.
Осуществление задач агрегирования и синхронизации идентификаторов.
Автоматизация операций инициализации и деинициализации.
Обеспечение эффективного управления группами.
Консолидация хранилищ идентификаторов.
Обеспечение управления паролями и синхронизации.
Обеспечение функциональной совместимости и единого входа.
Укрепление механизмов проверки подлинности.
Совершенствование процедуры доступа для сотрудников, клиентов и партнеров.
Утверждение политики аудита безопасности.
Модернизация стандартов приобретения программного обеспечения.
Установление стандартов разработки программного обеспечения для использования идентификаторов.
Разработка и перемещение на другие платформы приложений, предназначенных для работы с идентификаторами.
Формулировка принципов безопасности и доступа
Многие организационные принципы обеспечения безопасности, имеющие письменную формулировку, которые касаются людей, процессов и технологических компонентов, могут быть непосредственно реализованы в службах каталогов, а соблюдение остальных может контролироваться с помощью процессов и конкретных систем, обладающих способностью гарантировать соблюдение принципов безопасности. В организационных принципах доступа могут быть заданы на глобальном уровне бизнес-правила, касающиеся доступа к конкретным приложениям или к группам приложений. Подобные принципы доступа обычно определяются в терминах ролей, ресурсов, операций и ограничений.
Ниже приведены некоторые примеры принципов безопасности и доступа, а также определенных в их рамках правил.
Принципы управления учетными записями, которые могут указывать, что из хранилищ идентификаторов необходимо регулярно удалять устаревшие учетные записи.
Принципы управления паролями, которые могут указывать, что пароли учетных записей должны подлежать замене на регулярной основе и что пароли должны иметь определенную минимальную длину и сложность.
Принципы аудита безопасности, которые могут определять, какие действия должны быть отражены в отчетах.
Принципы обеспечения конфиденциальности, которые могут признавать «право оставаться в одиночестве» (свободу от нежелательных обращений наподобие спама), и правила конфиденциальности информации (возможность для конкретных лиц управлять сбором и использованием их персональной информации).
Принципы управления доступом, которые могут регламентировать следующее.
Для доступа к виртуальной частной сети требуется смарт-карта или другое средство многофакторной проверки подлинности.
Определенные приложения требуют проверки подлинности по биометрическим данным.
Доступ по экстрасети к определенным системам является ограниченным, предоставляется только пользователям, прошедшим проверку подлинности, и регламентируется службами граничного брандмауэра сети.
Для входа в сеть в качестве администратора домена требуется смарт-карта.
Для соединения компьютера с системами, имеющими высокую значимость, требуется использование шифрования по протоколу IPSec.
Должны соблюдаться ограничения на выполнение операций, таких как «операции списания со счетов клиентов могут инициализироваться банковскими служащими только в период времени от 9:00 до 17:00».
Преимущества
Потенциальные преимущества регламентации принципов обеспечения безопасности и доступа перечислены ниже.
Повышение уровня безопасности во всей организации.
Повышение безопасности конкретных систем, имеющих высокую значимость.
Улучшенное качество аудита безопасности.
Обеспечение соблюдения требований законодательства.
Задачи, требующие решения
Ниже перечислены задачи, которые должны быть решены при осуществлении намеченных принципов безопасности и доступа.
Определение соответствующих требований к безопасности для каждого сценария доступа.
Ввод в действие правил, касающихся всех выбранных технологий, с учетом любых относящихся к этому ограничений и предельных значений.
Принятие мер по обеспечению нормальной работы в условиях увеличения управленческой нагрузки и снижения эффективности, которые могут быть связаны с повышением безопасности при отсутствии автоматизации.
Ввод в действие более сложных механизмов безопасности.
Учет конфликтующих требований к безопасности.
Определение стандартов службы каталогов и стандартов безопасности
Для успешного управления идентификаторами и доступом необходимо иметь в своем распоряжении стандартную службу каталогов, будь то система Active Directory или альтернативная система. Но в организациях часто обнаруживается, что необходимо иметь несколько служб каталогов. В частности, в результате слияний и поглощений, а также в результате выбора некоторых приложений в организации могут появиться две, три или большее количество служб каталогов. Эффективная стратегия управления идентификаторами и доступом должна предусматривать их консолидацию в целях создания минимального количества хранилищ идентификаторов, которые в целом становятся стандартными службами каталогов организации.
Применение служб каталогов способствует соблюдению стандартных принципов безопасности, но может оказаться, что по своему внутреннему функционированию различные подразделения организации значительно отличаются друг от друга. Например, в организации в результате поглощения может появиться отдел, включающий отдельную службу каталогов и руководствующийся принципами безопасности, которые не соответствуют существующей службе каталогов организации. А поскольку возможность соблюдения стандартов безопасности, касающихся идентификаторов, часто во многом зависит от используемых служб каталогов, вопросы, связанные с тем и другим, должны обсуждаться совместно.
Ввод в действие службы каталогов и стандартов безопасности служит обязательной предпосылкой для утверждения стандартов разработки и приобретения приложений, сокращения управленческих затрат и расширения доступа в условиях соблюдения требований безопасности.
Преимущества
Потенциальные преимущества установления стандартных служб каталогов и унифицированных стандартов безопасности перечислены ниже.
Уменьшение административных издержек.
Упрощение инициализации.
Повышение уровня безопасности во всей организации.
Задачи, требующие решения
Задачи, которые потребуют решения при установлении стандартных служб каталогов и унифицированных стандартов безопасности, являются весьма существенными и могут включать следующее.
Отраслевые приложения и платформы со специфическими требованиями к службе каталогов.
Несовместимые принципы обеспечения безопасности, которые невозможно согласовать.
Внутриорганизационные проблемы, такие как значительная автономность отделов.
Законодательные требования, касающиеся установления информационных и управленческих границ внутри организаций, подобные тем, что распространяются на финансовые учреждения (например, согласно которым учет личных банковских счетов должен вестись отдельно от страхового бизнеса).
Определение общего протокола проверки подлинности, который мог бы использоваться в существующих приложениях и хранилищах идентификаторов во всей организации.
Представление полномочий в общем формате, который мог бы правильно восприниматься различными приложениями и системами во всей организации.
Более подробная информация об установлении стандартов служб каталогов и стандартов безопасности приведена в статье «Платформа и инфраструктура» этой серии.
Осуществление задачи агрегирования и синхронизации идентификаторов
Во многих случаях задача перемещения хранилищ идентификаторов и приложений в стандартную службу каталогов является нецелесообразной с точки зрения практики. Тем не менее, часто возникает возможность сократить управленческие затраты и свести к минимуму снижение производительности путем интеграции подобных систем, что позволяет совместно использовать хранимую в них идентификационную информацию, а также создавать и сопровождать одинаковые полномочия на основании общих принципов.
В этом состоит задача агрегирования идентификаторов, решение которой дает возможность связать воедино многочисленные цифровые идентификаторы, поступающие из нескольких хранилищ идентификаторов. Например, агрегирование идентификаторов позволяет определить, что идентификатор «Li, George Z.», применяемый в отделе кадров, относится к тому же лицу, что и «George Li» в интрасети и «G. Li» в каталоге электронной почты. Агрегирование и синхронизация идентификаторов позволяют организации создавать и сопровождать цифровые идентификаторы исключительно с помощью служб интеграции идентификаторов наподобие тех, что предоставляются MIIS 2003 SP1.
Преимущества
Преимущества агрегирования и синхронизации идентификаторов перечислены ниже.
Уменьшение административных расходов, касающихся связывания идентификационной информации, распределенной по нескольким хранилищам идентификаторов.
Повышение качества информации, предоставляемой в организации, благодаря использованию унифицированного представления всех цифровых идентификаторов.
Улучшение администрирования идентификаторов в связи с применением единственного хранилища идентификаторов.
Задачи, требующие решения
Ниже перечислены конкретные задачи, которые требуют решения в связи с агрегированием нескольких хранилищ идентификаторов.
Выявление всех эксплуатируемых хранилищ идентификаторов в организации.
Согласование требований по агрегированию хранилищ идентификаторов и синхронизации информации.
Выбор атрибутов, которые должны принадлежать каждому конкретному хранилищу идентификаторов.
Обеспечение сотрудничества между отделами, включая отдел кадров, ИТ-отдел, юридический отдел, а также любые другие подразделения организации, участвующие в этой работе.
Определение авторитетного источника сведений о всевозможных атрибутах, которые могли бы войти в состав цифровых идентификаторов, используемых во всей организации.
Создание глобального представления идентификационной информации для организации.
Аудит изменений с использованием глобального представления идентификационной информации всей организации.
Синхронизация идентификационной информации во всех различных хранилищах идентификаторов организации.
Более подробная информация по этой теме приведена в статье «Агрегирование и синхронизация идентификаторов» этой серии.
Автоматизация операций инициализации и деинициализации
Организации стремятся к тому, чтобы новые сотрудники и подрядчики как можно скорее занялись производительной трудовой деятельностью. Нельзя допустить, чтобы персонал бесполезно тратил часы, сутки или даже недели, ожидая получения доступа к приложениям.
Автоматизированная инициализация позволяет взять новую запись из одного хранилища идентификаторов и создать соответствующие записи в каждом из управляемых хранилищ идентификаторов. Операция деинициализации позволяет выполнить противоположные действия, при которых изменение в одном хранилище распознается как запрещение использования учетной записи, после чего это изменение распространяется по другим хранилищам идентификаторов. Поэтому модификация значения в единственном поле одного из взаимосвязанных хранилищ идентификаторов (такая как смена статуса сотрудника с «работающий» на «уволенный» в отделе кадров) может привести к запрещению или удалению целого ряда цифровых идентификаторов в нескольких хранилищах буквально за минуту.
Преимущества
Преимущества автоматизированной инициализации и деинициализации перечислены ниже.
Уменьшение расходов за счет автоматизации создания и удаления учетных записей в нескольких хранилищах идентификаторов.
Повышение производительности труда благодаря сокращению затрат времени на создание учетных записей и паролей, а также на определение прав доступа для новых сотрудников.
Автоматическое формирование необходимых атрибутов, таких как почтовые ящики и имена учетных записей.
Упрощение процедур управления составом групп.
Более простое управление ролями.
Повышение уровня безопасности благодаря тому, что увольняющиеся из организации сотрудники немедленно теряют все свои права доступа.
Задачи, требующие решения
Задачи, которые необходимо решить для ввода в действие автоматизированной инициализации и деинициализации, перечислены ниже.
Определение бизнес-процесса, который приводит к инициализации.
Определение того, какие отделы должны участвовать в инициализации новых учетных записей и кто утверждает распоряжение об инициализации.
Выявление задержек в бизнес-процессе, которые отрицательно влияют на своевременную инициализацию и безопасную деинициализацию.
Замена существующих выполняемых вручную заданий автоматизированными процессами, в ходе которых соблюдается определенная технология и обеспечивается аудит.
Инициализация цифровых идентификаторов в нескольких хранилищах идентификаторов.
Создание и сопровождение совместимого множества полномочий для пользователей, в котором учитывается, что пользователи работают с разными приложениями под управлением различных хранилищ идентификаторов или механизмов авторизации.
Ускоренный сбор необходимой информации для обеспечения своевременной инициализации.
Автоматизация управления группами
В основе автоматизированной инициализации и деинициализации лежит управление группами. В организациях для распределения электронной почты обычно используются группы рассылки, а для удобства группирования пользователей с аналогичными полномочиями применяются группы безопасности.
После приема на работу в организацию новых сотрудников их учетные записи пользователей должны автоматически вводиться в группу рассылки и группу безопасности, чтобы эти сотрудники могли приступить к работе. Кроме того, в организациях группы могут создаваться с учетом общих значений каких-то атрибутов, например, таких как «все пользователи из штата Канзас». Процесс создания групп вручную с учетом атрибутов требует больших затрат времени и способствует возникновению ошибок, поэтому автоматическое создание групп и включение пользователей в их состав является желательным компонентом управления идентификаторами и доступом.
Преимущества
Преимущества автоматизированного управления группами перечислены ниже.
Повышение уровня безопасности вследствие более качественного управления процессами определения состава групп и присваивания полномочий.
Включение сотрудников в подходящие для них группы во время инициализации.
Удаление учетных записей из групп в тех случаях, если пользователи увольняются из организации, переходят на другие роли или переводятся из одного отдела в другой.
Создание групп по запросу, таких как списки рассылки, включающие всех непосредственных подчиненных конкретного руководителя.
Задачи, требующие решения
Задачи, связанные с осуществлением автоматизированного управления группами, перечислены ниже.
Выявление подходящих групп безопасности и групп рассылки.
Стандартизация значений атрибутов в целях предотвращения ненужного создания групп по запросу.
Реализация приемлемого процесса аудита, позволяющего следить за созданием групп и определением состава групп.
Исполнение требований законодательства.
Консолидация хранилищ идентификаторов
Кроме агрегирования и синхронизации идентификаторов достигается сокращение количества эксплуатируемых хранилищ идентификаторов. Например, если в организации используются два приложения, в которых для проверки подлинности и авторизации служит упрощенный протокол доступа к каталогам (LDAP), то появляется возможность объединить два отдельных хранилища идентификаторов LDAP в одно хранилище.
Для синхронизации и управления идентификаторами, представленными в нескольких хранилищах идентификаторов, могут использоваться в значительной степени автоматизированные механизмы. Но сопровождение этих механизмов и устранение исключительных ситуаций, которые почти наверняка произойдут, требует повышения расходов на управление и связано с расширением пространства, подверженного попыткам нарушения безопасности.
Преимущества
Преимущества консолидации хранилищ идентификаторов перечислены ниже.
Уменьшение расходов на управление.
Снижение общей стоимости владения благодаря отказу от использования определенной части серверов и лицензий.
Уменьшение требований по обслуживанию серверов.
Применение менее дорогостоящих обновлений аппаратных и программных средств.
Упрощение развертывания приложений.
Задачи, требующие решения
Задачи, требующие решения при консолидации идентификаторов, перечислены ниже.
Создание агрегированной схемы, предназначенной для использования в единственном хранилище идентификаторов.
Учет различий между LDAP и другими реализациями протоколов службы каталогов, применяемыми в разных хранилищах идентификаторов.
Перемещение приложений на другие платформы.
Обеспечение управления паролями и синхронизации паролей
Управление паролями и синхронизация паролей позволяют внести в процесс агрегирования идентификаторов дополнительные усовершенствования. Для обеспечения управления паролями необходимо предпринять усилия во многих областях, в частности, определить и ввести в действие принципы управления паролями, а также организовать смену или переопределение паролей. После этого средства синхронизации паролей распространяют результаты смены паролей по всем взаимосвязанным хранилищам идентификаторов. Средства управления паролями и синхронизации паролей могут, например, дать возможность пользователям менять свои сетевые регистрационные пароли, корректировать данные учетных записей SAP, учетные данные электронной почты и менять пароли узла экстрасети, применяемого в совместной работе, в одной операции. Средства синхронизации паролей обеспечивают группирование, даже в тех условиях, что в важных системах будут использоваться строгие принципы управления паролями, а в других системах — менее обременительные принципы управления паролями, не соответствующие современным стандартам, определяющим мощь парольной защиты.
Преимущества
Преимущества управления паролями и синхронизации паролей перечислены ниже.
Уменьшение расходов на администрирование и поддержку, поскольку с персонала службы поддержки снимаются обязанности по переопределению паролей пользователей в нескольких хранилищах идентификаторов.
Повышение уровня безопасности за счет ограничения количества паролей, которые должны помнить пользователи, и уменьшение вероятности того, что пользователям придется записывать пароли.
Повышение уровня безопасности благодаря неуклонному применению принципов парольной защиты, касающихся таких положений этих принципов, как требования к длине и сложности паролей.
Уменьшение времени простоя, связанного с тем, что пользователям приходится ожидать переопределения их паролей представителями службы поддержки.
Задачи, требующие решения
Задачи, связанные с обеспечением управления паролями и синхронизации паролей, перечислены ниже.
Обеспечение нормальной работы в условиях применения различных принципов управления паролями, определяющих разные требования к длине и сложности.
Необходимость учета различных требований к продолжительности использования пароля до истечения срока действия и к хронологии повторного использования одних и тех же паролей на разных платформах.
Определение того, какие системы не должны участвовать в распространении паролей из-за ненадежных хранилищ идентификаторов или методов проверки подлинности, а также в связи с наличием других недостатков.
В случае необходимости перехват информации о смене паролей, поступающих от нескольких платформ.
Установление соединений с целевыми хранилищами идентификаторов и безопасная передача модифицированных паролей.
Проверка того, что пользователи, передающие запрос на переопределение пароля, действительно являются теми, за кого они себя выдают.
Обеспечение того, чтобы вновь переопределенные пароли передавались конечному пользователю безопасным способом.
Ввод в действие приложений и служб, в которых применяются жестко закодированные или локально настраиваемые пароли.
Дополнительная информация по рассматриваемой теме приведена в статье «Управление паролями» этой серии.
Обеспечение функциональной совместимости и единого входа
Подходы, применяемые для обеспечения функциональной совместимости различных платформ, в значительной степени зависят от специфики конкретной организации, поскольку в каждой организации используется уникальная комбинация служб каталогов, баз данных, приложений и связанных с ними хранилищ идентификаторов, подлежащих объединению.
Методы обеспечения функциональной совместимости и единого входа перечислены ниже.
Интеграция с операционной системой сервера (используется в таких продуктах, как Microsoft Exchange Server 2003 и SQL Server 2000).
Применение надежного, основанного на стандартах протокола проверки подлинности, такого как протокол проверки подлинности Kerberos версии 5.
Применение средств проверки подлинности и авторизации LDAP для приложений или платформ, которые не поддерживают протокол Kerberos версии 5.
Использование сопоставления учетных данных и единого входа для предприятия (на базе таких продуктов, как Microsoft BizTalk® Server 2004, SharePoint Portal Server 2003 и Host Integration Server 2004).
Синхронизация имен пользователей и распространение паролей по нескольким платформам и приложениям. Этот метод не позволяет обеспечить в полном смысле слова единый вход, но сокращает необходимость для пользователей помнить несколько имен пользователей и паролей; такая цель достигается благодаря усовершенствованиям в части синхронизации идентификаторов и управления паролями.
Реализация принципа единого входа в веб-сеть для сценариев интрасети и экстрасети.
Преимущества
Преимущества обеспечения функциональной совместимости и единого входа перечислены ниже.
Упрощение развертывания приложений.
Достижение более высоких стандартов проверки подлинности и защиты данных в сети.
Сокращение времени, затрачиваемого пользователями на неоднократную проверку подлинности по нескольким хранилищам идентификаторов, благодаря использованию единого входа в интрасеть.
Задачи, требующие решения
Задачи, требующие решения для обеспечения функциональной совместимости и единого входа, перечислены ниже.
Выбор подходящих механизмов для всех платформ, эксплуатируемых в организации.
Определение наиболее подходящего из двух механизмов единого входа, а именно, единого входа в веб-сеть или в сеть, если доступны оба варианта.
Определение того, как и когда должны использоваться службы каталогов LDAP для проверки подлинности и авторизации.
Определение наиболее подходящего времени проведения реконфигурации приложений и платформ для внедрения средств распространения паролей.
Учет различий в реализациях протокола LDAP или схемы.
Учет небольших различий в реализациях механизмов проверки подлинности на основе стандартов.
Дополнительная информация об обеспечении функциональной совместимости и единого входа в интрасеть приведена в статье «Управление доступом в интрасеть» этой серии.
Укрепление механизмов проверки подлинности
Решение о реализации более мощных механизмов проверки подлинности может быть обусловлено многими причинами. Такая инициатива может стать частью общего плана укрепления безопасности вычислительных ресурсов организации, может оказаться откликом на конкретную угрозу или (в самом худшем случае) — реакцией на успешное нападение. Наконец, укрепление безопасности может потребоваться для соблюдения стандартов, распространяющихся на данную область производственной деятельности или определяемых законодательством, в целях предотвращения искажения информации или приобретения аналогичных преимуществ.
В большинстве организаций для проверки подлинности при предоставлении доступа к своим приложениям и ресурсам все еще используются комбинации, состоящие из имени пользователя и пароля. Механизмы проверки подлинности на основе паролей могут значительно отличаться по степени защищенности, начиная от очень безопасных и заканчивая весьма небезопасными, в зависимости от реализации приложения, протокола, хранилища идентификаторов, а также от длины и сложности пароля.
В настоящее время становятся широко доступными более безопасные механизмы и технологии, не основанные на использовании паролей, к которым относятся цифровые сертификаты X.509, устройства формирования зависящих от времени аппаратных маркеров, известных также под названием одноразовых паролей (OTP), или средства вторичной проверки подлинности с использованием аутентификации по биометрическим данным.
Достижению наивысшего уровня безопасности способствует объединение различных механизмов (или факторов) проверки подлинности для создания многофакторной системы проверки подлинности. Например, в результате применения сочетания цифрового сертификата X.509 на смарт-карте (предмет, который должен иметь пользователь) с PIN-кодом (информация, которую должен знать пользователь) разблокируется секретный ключ, связанный с сертификатом, в результате чего создаются очень надежные учетные данные, которые, в свою очередь, обеспечивают надежную проверку подлинности.
Преимущества
Преимущества укрепления механизмов проверки подлинности перечислены ниже.
Повышение уровня безопасности.
Приведение системы безопасности в соответствие с требованиями законодательства, которые регламентируют необходимость применения дополнительной проверки при предоставлении доступа к ресурсам.
Задачи, требующие решения
Задачи, которые должны быть решены в связи с укреплением механизмов проверки подлинности, перечислены ниже.
Обоснование необходимости повышения уровня безопасности с учетом затрат на создание дополнительной инфраструктуры.
Интеграция более мощных механизмов поддержки учетных данных и протоколов проверки подлинности в условиях применения различных платформ и приложений.
Предотвращение создания дополнительных сложностей для конечных пользователей и управленческого персонала. Учет того, что применение многофакторных механизмов часто становится причиной увеличения количества потенциальных нарушений в работе (например, связанных с тем, что пользователи теряют смарт-карты или забывают свои PIN-коды).
Минимизация затрат и ресурсов, связанных с развертыванием аппаратных средств поддержки учетных данных, таких как смарт-карты и маркеры OTP.
Совершенствование процедуры доступа для сотрудников, клиентов и партнеров
Многие организации стремятся добиться оптимизации своих информационных систем в целях получения преимуществ в конкуренции, расширяя доступ, чтобы охватить больше категорий пользователей, приложений и сетей. Такой подход часто называют «расширением периметра сети», поскольку брандмауэры, стоящие на границе сети организации, больше не являются единым барьером, препятствующим проникновению пользователей извне.
Например, новые деловые возможности открываются в результате предоставления клиентам доступа к информации и приложениям организации. Деловые партнеры упрощают цепочки поставки, интегрируя системы складского учета, транспортировки, финансового учета, а также системы разработки новых видов продукции, что позволяет им совместно использовать конфиденциальную информацию о ценах, товарах и поддержке. Сотрудники получают больше возможностей для совместной работы и дистанционной связи, поэтому в большей степени включаются в общую деятельность с клиентами и партнерами.
Преимущества
Основные преимущества усовершенствования доступа перечислены ниже.
Оперативная разработка приложений.
Более быстрое развертывание приложений.
Улучшение контроля доступа к ресурсам.
Применение лучших средств взаимодействия с конечными пользователями.
Уменьшение административных издержек.
Задачи, требующие решения
Задачи, которые должны быть решены в целях улучшения доступа для внешних пользователей, являются весьма значительными и включают следующее.
Интеграцию с существующими приложениями.
Выбор соответствующих хранилищ идентификаторов.
Выбор соответствующих механизмов проверки подлинности для каждого класса пользователей.
Выбор соответствующей модели авторизации.
Масштабирование механизмов проверки подлинности и авторизации.
Управление учетными данными, относящимися к многочисленным партнерам и клиентам.
Предоставление пользователям доступа к соответствующим ресурсам, с учетом того, какую роль они играют в организации и какие приложения используют.
Учет сложного характера процесса установления доверия между партнерскими организациями.
Основные понятия, касающиеся предоставления сотрудникам, клиентам и партнерам безопасного доступа к внутрифирменным приложениям и вместе с тем обеспечения использования единого входа, приведены в статье «Управление доступом к экстрасети» этой серии.
Утверждение политики аудита безопасности
Как правило, любая организация руководствуется такими принципами обеспечения безопасности, которые требуют использовать аудит на уровне конкретных платформ и приложений. В настоящей главе приведены некоторые рекомендации по управлению идентификаторами и доступом, реализация которых позволяет добиться, в частности, таких важных преимуществ, как консолидация хранилищ идентификаторов и платформ, а также механизмов проверки прав доступа и авторизации. Благодаря такой консолидации аудит становится проще и надежнее, поскольку уменьшается количество участков и сокращается разнообразие форм, в которых могут проявляться события безопасности.
После этого организация должна подробно определить, какого типа аудит ей требуется и каким образом перехватывается, сохраняется и используется информация аудита.
Преимущества
Преимущества определения принципов осуществления аудита безопасности перечислены ниже.
Уменьшение предпосылок возникновения таких ситуаций, которые потребовали бы проведения внешнего аудита безопасности.
Расширение возможностей прибегать к судебному преследованию, если произойдет попытка нарушения безопасности.
Повышение способности обнаруживать попытки взлома защиты в режиме реального времени, что позволяет передавать администраторам тревожные сообщения, требующие применения чрезвычайных мер.
Расширение возможностей предписывать задним числом необходимость соблюдения таких принципов, которые трудно ввести в действие во время обнаружения непредвиденной ситуации.
Задачи, требующие решения
Задачи, которые должны быть решены в целях определения принципов аудита безопасности, перечислены ниже.
Учет наличия различных механизмов аудита, применяемых на конкретных платформах и в приложениях.
Реализация различных возможностей аудита, характеризующихся разной степенью конкретизации.
Учет различий в требованиях к аудиту для разных деловых подразделений организации.
Необходимость сосредоточения функций по формированию отчетов аудита в едином центре.
Необходимость просмотра больших объемов информации.
Формирование значимых отчетов.
Архивирование значительных объемов данных аудита.
Модернизация стандартов приобретения программного обеспечения
Основной причиной усложнения систем управления идентификаторами и доступом часто становится специфика конкретных приложений. Как правило, в связи с внедрением многих приложений приходится вводить в действие новые типы хранилищ идентификаторов, другие механизмы проверки подлинности и принципы авторизации. Поэтому после ввода в действие стандартизированных правил работы со службой каталогов, а также принципов обеспечения безопасности и доступа необходимо принять или модернизировать организационные стандарты приобретения программного обеспечения так, чтобы новое программное обеспечение успешно интегрировалось с другими системами организации.
Выбирая программное обеспечение, предоставляемое независимыми поставщиками программ, необходимо, в частности, учитывать его способность интегрироваться с выбранными службами каталогов и соответствовать принятым принципам обеспечения безопасности и доступа.
Преимущества
Преимущества модернизации стандартов приобретения программного обеспечения перечислены ниже.
Оперативное развертывание новых приложений.
Удобство интеграции с инфраструктурой управления идентификаторами и доступом.
Снижение общей стоимости владения.
Повышение уровня безопасности.
Уменьшение затрат на обучение конечных пользователей.
Повышение производительности труда конечных пользователей.
Задачи, требующие решения
Задачи, требующие решения при модернизации стандартов приобретения программного обеспечения, перечислены ниже.
Поиск подходящего программного обеспечения с нужными функциями.
Определение того, какие необязательные компоненты необходимо ввести в действие или приобрести.
Выбор программного обеспечения с учетом требований максимального повышения безопасности.
Выбор программного обеспечения с учетом требований максимального повышения производительности труда.
Установление стандартов разработки программного обеспечения для использования идентификаторов
По мере развития деловых потребностей организации появляется необходимость во внедрении все новых и новых приложений для реализации вновь появившихся функциональных возможностей. Предпосылкой уменьшения общей стоимости владения и повышения уровня безопасности является подготовка и ввод в действие стандартов разработки, которые описывают, как приложения должны взаимодействовать с инфраструктурой управления идентификаторами и доступом.
Преимущества
Преимущества установления стандартов разработки программного обеспечения для использования идентификаторов перечислены ниже.
В связи с внедрением приложений не возникают новые проблемы, связанные с управлением идентификаторами.
Разработка приложений может осуществляться значительно быстрее.
Сокращаются административные издержки.
Повышается уровень безопасности благодаря сокращению пространства, подверженного нападению.
Задачи, требующие решения
Задачи, которые должны быть решены в связи с установлением стандартов разработки программного обеспечения, перечислены ниже.
Предоставление авторитетного источника идентификационной информации, на основе которого могли бы создаваться новые приложения.
Выдвижение требования и контроль использования в приложениях существующих хранилищ идентификаторов, а также существующих возможностей проверки подлинности и авторизации.
Создание и публикация четких инструкций, реализованных в методах управления жизненным циклом разработки программного обеспечения (SDLC), которые регламентируют способы интеграции приложений с инфраструктурой управления идентификаторами и доступом.
Обучение собственных и привлеченных со стороны разработчиков использованию этих инструкций.
Разработка и перемещение на другие платформы приложений, предназначенных для работы с идентификаторами
После определения в организации стандартов разработки приложений появляется возможность разрабатывать новые приложения с использованием этих стандартов. Существующие приложения также должны иметь такой же уровень интеграции с инфраструктурой управления идентификаторами и доступом.
Для этого необходимо провести ревизию и классифицировать существующие приложения. В связи с этим необходимо оценить значимость каждого приложения, определить, какую информацию они предоставляют, а также измерить свойственные им характеристики безопасности, чтобы определить относительную важность. После этого следует сопоставить полученные данные и информацию о стоимости переноса на другую платформу или модификации каждого приложения, чтобы определить приоритеты, согласно которым конкретные приложения должны быть перемещены в первую очередь.
Преимущества
Преимущества разработки и перемещения на другую платформу приложений, обеспечивающих применение идентификаторов, перечислены ниже.
Уменьшение административных затрат, связанных с управлением идентификаторами.
Повышение уровня безопасности.
Обеспечение единообразного подхода к поддержке всех приложений.
Задачи, требующие решения
Задачи, связанные с разработкой и перемещением на другую платформу приложений, обеспечивающих применение идентификаторов, перечислены ниже.
Изучение основ функционирования приложений для получения возможности принятия решений, касающихся того, как лучше обеспечить их интеграцию.
Выбор платформы для переносимых приложений.
Выбор языка или среды разработки для разработки приложений.
Выбор хранилища идентификаторов, которое отвечает организационным требованиям и требованиям разработки приложений.
Выбор методов проверки подлинности и авторизации, которые соответствуют этим требованиям.
Необходимые методы создания приложений, обеспечивающих интеграцию с платформой управления идентификаторами и доступом корпорации Майкрософт, описаны в статье «Разработка приложений ASP.NET, обеспечивающих использование идентификаторовионных данных» этой серии.
Загрузка
Получите серию статей Microsoft по управлению идентификаторами данными и доступом
Уведомления об обновлениях
Зарегистрируйтесь, чтобы получать информацию об обновлениях и новых выпусках
Обратная связь