Ролевая модель управления доступом для малых и средних предприятий
Блог Alphabyte
Блог Alphabyte
Ролевая модель управления доступом для малых и средних предприятий
Блог Alphabyte
Блог Alphabyte
Модель управления доступом на основе ролей (RBAC) — это способ ограничить доступ к сети сотрудникам с разными должностными обязанностями.
Роль – это список требуемых для выполнения рабочих задач полномочий (прав или доступов). Сотрудник, устройство или приложение может выполнять одну или несколько ролей, а каждая роль может содержать одно или несколько полномочий. Управлять безопасностью с помощью ролей проще, так как число ролей значительно меньше, чем пользователей информационной системы.
Пользователь или приложение в зависимости от назначенной роли получает ровно столько прав и доступов, сколько нужно для выполнения задач.
Роль – это список требуемых для выполнения рабочих задач полномочий (прав или доступов). Сотрудник, устройство или приложение может выполнять одну или несколько ролей, а каждая роль может содержать одно или несколько полномочий. Управлять безопасностью с помощью ролей проще, так как число ролей значительно меньше, чем пользователей информационной системы.
Пользователь или приложение в зависимости от назначенной роли получает ровно столько прав и доступов, сколько нужно для выполнения задач.
А нужны ли роли компаниям, где работают десятки сотрудников, а не тысячи?
Традиционно считается, что жесткие политики и зарегулированность - прерогатива крупных предприятий, так как именно они являются основной целью киберпреступников.
Однако интернет-злоумышленники совершенствуют свои техники, активно применяют автоматизированное сканирование узлов в сети Интернет и выявляют уязвимые инфраструктуры. Объект атаки часто находят среди них, а не выбирают специальным образом.
В числе пострадавших могут оказаться совершенно разные компании, их объединяет только недостаточный уровень защищенности. В силу ограниченности человеческих и финансовых ресурсов небольшие предприятия имеют меньше возможностей защитить целостность своей сети и данных. Не стоит сбрасывать со счетов и внутренние угрозы: утечки данных, несвоевременное обновление ПО, работу инсайдеров и т.д.
Если бизнес зависит от бесперебойной работы IT, задача перед IT-директором стоит нетривиальная - создать систему, способную противостоять современным угрозам в условиях ограниченных ресурсов и бюджета.
Однако интернет-злоумышленники совершенствуют свои техники, активно применяют автоматизированное сканирование узлов в сети Интернет и выявляют уязвимые инфраструктуры. Объект атаки часто находят среди них, а не выбирают специальным образом.
В числе пострадавших могут оказаться совершенно разные компании, их объединяет только недостаточный уровень защищенности. В силу ограниченности человеческих и финансовых ресурсов небольшие предприятия имеют меньше возможностей защитить целостность своей сети и данных. Не стоит сбрасывать со счетов и внутренние угрозы: утечки данных, несвоевременное обновление ПО, работу инсайдеров и т.д.
Если бизнес зависит от бесперебойной работы IT, задача перед IT-директором стоит нетривиальная - создать систему, способную противостоять современным угрозам в условиях ограниченных ресурсов и бюджета.
Индекс кибербезопасности малого и среднего бизнеса невысок
В исследовании «Мегафона» говорится, что 9 из 10 компаний в России сталкивались с атаками киберперстпуников в 2021 году. В 38% случаев предприятия признали репутационный или финансовый ущерб. Самыми незащищенными оказались компании малого и среднего бизнеса: в 6 из 10 организаций нет штатной позиции специалиста по кибербезопасности.
При прочих равных внедрение ролевой модели доступа не только упорядочивает обмен данными по сети, но и сокращает вероятность распространения атаки от узла к узлу.
Даже простое ограничение администраторских полномочий для сотрудников за пределами департамента IT снижает риск потери данных. Если хакер обманом заставит пользователя загрузить и запустить вредоносное ПО, отсутствие прав администратора предотвратит установку опасного кода. Это, в свою очередь, защитит локальные и доступные пользователю сетевые данные от шифрования злоумышленниками с последующим требованием выкупа.
Сотрудник отдела кадров, ставший жертвой фишинговой атаки, не сможет случайно раскрыть привилегированные финансовые данные, если у него нет к ним доступа.
Даже простое ограничение администраторских полномочий для сотрудников за пределами департамента IT снижает риск потери данных. Если хакер обманом заставит пользователя загрузить и запустить вредоносное ПО, отсутствие прав администратора предотвратит установку опасного кода. Это, в свою очередь, защитит локальные и доступные пользователю сетевые данные от шифрования злоумышленниками с последующим требованием выкупа.
Сотрудник отдела кадров, ставший жертвой фишинговой атаки, не сможет случайно раскрыть привилегированные финансовые данные, если у него нет к ним доступа.
Создание модели ролевого доступа
Создание модели ролевого доступа - не такой сложный процесс, как многие себе это представляют. Небольшой компании необязательно покупать для этого специализированное решение: матрицу ролей можно составить в Excel, а функционал ограничения прав реализовать с помощью инструментов ZTNA (Zero Trust Network Access), сетевого доступа с «нулевым доверием». ZTNA является современной альтернативой VPN и позволяет быстро и безопасно подключаться к IT-инфраструктуре из любой точки мира.
Как правило, роли удобно формировать на основе прав, которые уже есть у сотрудников. Задача сводится к необходимости разобраться с теми разрешениями, которые накопились у пользователей за годы работы, и систематизировать их.
Как правило, роли удобно формировать на основе прав, которые уже есть у сотрудников. Задача сводится к необходимости разобраться с теми разрешениями, которые накопились у пользователей за годы работы, и систематизировать их.
Алгоритм создания ролевой модели
1
Составить список сотрудников
Составьте список сотрудников с должностями, структурируйте по отделам.
2
Составить список ресурсов
Перечислите системы, приложения и другие активы, доступ к которым используется для работы, сгруппируйте ресурсы по сетевым сегментам.
3
Выделить самый часто встречающийся набор
Объедините одинаковые наборы полномочий в бизнес-роли.
4
Проанализировать оставшееся
Проанализируйте наборы прав, которые незначительно отличаются от получившихся бизнес-ролей. Пользователи склонны обрастать правами доступа, даже если активно их не используют. При подключении нового сотрудника достаточно выдать 80% необходимых полномочий, оставшиеся 20% пользователи могут запросить индивидуально, если потребуется.
5
Утвердить
Согласуйте получившуюся матрицу ролей. Нередки ситуации, когда одному пользователю присваивается 2 и больше ролей, если этого требуют рабочие задачи. С точки зрения управления удобнее иметь несколько стандартных ролей, чем одну специфичную, больше никем не используемую.
6
Обновлять по мере необходимости
Определите порядок запроса дополнительных полномочий. Определите план актуализации ролей, например, раз в год. Полезно анализировать дополнительный запросы, которые пользователи делают в течение года. Эти данные могут стать источником уточнений для существующих ролей.
Сетевой доступ с «нулевым доверием» Alphabyte ZTNA
При развертывании решения Alphabyte ZTNA используйте матрицу ролей, установите соответствие между ролью и списком разрешенных полномочий.
При добавлении пользователя в систему, просто присвойте ему роль или несколько ролей, а также введите ограничение времени, в течение которого роль действует, для контрактных сотрудников или подрядчиков.
При добавлении пользователя в систему, просто присвойте ему роль или несколько ролей, а также введите ограничение времени, в течение которого роль действует, для контрактных сотрудников или подрядчиков.
Используйте наш шаблон для построения матрицы доступов
Используйте наш шаблон для построения матрицы доступов
Скачать шаблон бесплатно
Скачать шаблон бесплатно