Наиболее слабым местом в любой системе часто является конечный пользователь. Поэтому неудивительно, что большой процент нарушений безопасности за последнее десятилетие произошел изнутри организации, часто неосознанно пользователем. Приведенные ниже средства и методы решения сосредоточены в основном на областях доступа конечного пользователя к операционной системе. К ним относятся управление доступом на основе ролей (RBAC), Just Enough Administration (JEA) и подход Walled Garden к развёртыванию приложений как в открытом доступе, так и на предприятии.
Управление доступом на основе ролей.
Контроль доступа был постоянной проблемой на протяжении многих лет, поскольку операционные системы и сети развивались по размеру, сложности и функциям. Модели управления доступом на основе ролей (RBAC) на протяжении многих лет широко используются в многопользовательских средах для управления разрешениями, прикрепленными к различным ресурсам в файловой системе операционной системы. Основная идея RBAC заключается в том, что разрешения «связаны с ролями, а пользователям назначаются соответствующие роли». В типичной организационной среде роли могут быть определены в зависимости от должности. Например, сотруднику, работающему в отделе кадров (HR), может потребоваться специальное разрешение на доступ к системам управления персоналом, в то время как сотруднику, работающему в отделе кадров, могут потребоваться ресурсы из совершенно другой части сети. В прошлом специалисты по сетям или команда по информационным технологиям (ИТ) организации обычно имели доступ к предоставлению разрешений пользователям, обслуживанию программного обеспечения, устранению неполадок и оказанию технической поддержки при необходимости.
RBAC развивался на протяжении многих лет, однако это не единственный распространенный метод управления доступом для разрешений и пользователей. Здесь стоит упомянуть дискреционный контроль доступа (DAC), поскольку он также основан на разрешениях, однако нацелен на конкретных пользователей, а не на группы. DAC использует список управления доступом или ACL, который определяет права каждого пользователя на доступ к определенному ресурсу в системе или управление им. Он обеспечивает больший контроль, но на самом деле лучше подходит для небольших сред или в определенных случаях использования, поскольку списки ACL могут потенциально вызывать проблемы с управлением по мере роста числа пользователей и ресурсов. DAC обычно встречается в файловой системе Windows, однако RBAC чаще всего встречается в Active Directory в Windows Server в корпоративной сети. Некоторые преимущества и недостатки RBAC обсуждаются ниже.
Преимущества RBAC:
- простота настройки и внедрения;
- администрирование пользователей;
- обслуживание и удаление.
Недостатки RBAC:
- создание соответствующих групп и разрешений может быть сложной задачей;
- может нарушать принцип наименьших привилегий.
Достаточно администрирования (JEA).
Неотъемлемые проблемы безопасности и проблемы, связанные с доступом к операционной системе, часто заключаются в том, что люди в конечном итоге получают доступ к большему количеству ресурсов, чем им действительно нужно. Принцип наименьших привилегий требует, чтобы пользователям и приложениям в операционной системе был предоставлен максимально ограниченный доступ для выполнения их задач. Полагаться только на RBAC иногда может быть недостаточно для достижения этой цели. Относительно новая концепция под названием Just Enough Administration или JEA пробивается на передний край безопасности на уровне доступа и продвигается Microsoft в своей последней серверной операционной системе Windows 2016. Цель JEA — сократить административный доступ к системам везде, где это возможно, и в то же время позволить администраторам выполнять свою работу. Это достигается за счет того, что определенные пользователи системы могут выполнять задачи, связанные с администрированием, без фактического предоставления доступа администратора к их учетной записи или добавления их к роли администратора. В дополнение к этому JEA проверяет все действия, выполняемые пользователем.
JEA смещает переход от управления доступом на основе ролей к администрированию на основе задач. Благодаря использованию ограниченных пространств выполнения PowerShell, доступных в операционной системе, теперь можно создавать элементы управления для конкретных задач. Традиционно, если системному администратору нужно было изменить должность сотрудника в Active Directory, ему требовался определенный уровень доступа для этого, что потенциально давало ему возможность администрировать части системы, которые ему не нужны. Это нарушило бы принцип наименьших привилегий. Подход «достаточно администрирования» позволил бы тому же администратору запустить набор сценариев или инструментов, которые будут иметь необходимый доступ для выполнения изменения названия, не влияя на его собственную роль доступа в Active Directory.
- Курсовая работа
- Дипломная работа
- Контрольная работа
- Реферат
- Отчет по практике
- Магистерская работа
- Статья
- Эссе
- Научно-исследовательская работа
- Доклад
- Глава диплома
- Ответы на билеты
- Презентация
- Научная статья
- Бизнес план
- Лабораторная работа
- Рецензия
- Решение задач
- Диссертация
- Доработка заказа клиента
- Аспирантский реферат
- Монография
- Дипломная работа MBA
- ВКР
- Компьютерный набор текста
- Речь к диплому
- Тезисный план
- Чертёж
- Диаграммы, таблицы
- ВАК
- Перевод
