Идентификация и управление доступом
IAAA
Identification -> Authentication -> Authorisation -> Accountability
4 столпа информационной безопасности, каждый из которых играет важнейюшую роль в обеспечении CIA триады.
Identification
Идентификация - процесс заключающийся в предоставление информационной системе сведений о конкретном пользователе.
Ввод имени пользователя в форму входа на сайте ничто иное как этап идентификации. Пользователь предъявляет сведения о том, кто он есть.
Authentication
Аутентификация - процесс заключающийся в подтверждении идентичности пользователя информационной системы. Аутентификация неразрывно связанна с идентифакацией, так как по сути является её продолжением: мало предъявить иденитификатор, нужно подтвердить то, что он действительно принадлежит тому кто его предъявляет.
Проверить принадлежность идентификатора (читай провести аутентификацию) можно путём предъявления следующего:
-
То, что ты знаешь (Something you know)
-
То, что у тебя есть (Something you have)
-
То, чем ты являешься (Something you are)
Так же различают еще 2 дополнительных подхода:
-
То, где ты находишься (логическое или физическое местонахождение)
-
То, что ты делаешь (поведение)
Далее подробнее о каждом из механизмов аутентификации.
Something you know
К этому механизму относятся пароли, парольные фразы, пин-коды, в общем всё то, что хранится в памяти и конкретный человек это знает.
Something you have
Сюда относятся различные аппаратные способы аутентификации - то что есть у конкретного человека начиная от телефона (SMS, пуши, OTP аутентификаторы и т.д.) заканчивая аппаратными ключами (Yubico, Nitrokey и т.д.).
Something you are
К этому типу относятся различные методы биометрической аутентификации
MFA
Мультифкаторная аутентификация (Multi-Factor authentication - MFA) - метод аутентификации заключающийся в комбинации различных вышеприведенных способов аутентификации, направленный на усиление безопасности.
Authorisation and Access control
Авторизация - процесс заключающийся в проверке выданных пользователю полномочий на действия в информационной системе.
Контроль доступа - процесс направленный на обеспечение выполнения авторизованными пользователями только тех действий, которые им разрешены.
Accountability and Logging
Учёт действий - процесс обеспечивающий учёт всех действий пользователей, направленный на обеспечение неотказуемости пользователя от его действий.
Если контроль доступа направлен на обеспечение защиты информационных систем от неавторизованных пользователей, механизм учёта действий может рассматриваться как инструмент направленный на защиту от авторизованных пользователей.
Логирование - процесс направленный на журналирование событий происходящих в информационных системах.
Учёт действий невозможно представить себе без логирования, эти процессы неразрывно связанны друг с другом.
Логирование чрезвычайно важный процесс для реагирования на инциденты, форензики, соблюдения регуляторных требований и т.д.
В виду особой важности логов, отношение к ним должно быть соответствующее. Они должны быть защищены от всяческого вредоносного воздействия, включая подмену, так как первое, что сделает злоумыщленник - попытается затереть следы своей противоправной деятельности.
Хорошим примером считается вынесение логов критичных процессов на отдельный защищенный сервер.
Log forwarding
Предназначен именно для этого. Это процесс направленный на агрегирование логов с различных систем в одном централизованном хранилище.
Логирование и SIEM
Управление событиями безопасности информации (Security Information and Event Management) - технология агрегации и анализа логов различных систем на предмент наличия в них сведений которые могут свидетельствовать о событиях безопасности информации.
Интегрирование логирования и SIEM позволит более глубже понимать процессы проходящие в информационных системах. Такой симбиоз поможет идентифицировать и реагировать на угрозы информации более эффективно.
Больше того, логирование и SIEM предоставляют дополнительные преимущества в виде отчётности о соблюдении требований в рамках комплаенса и получения ценной информации (детальные логи работы систем и сетевого трафика) для форензики.
Отчётность о соблюдении требований - важная часть документов предоставляемых при проведении различных аудитов. Форензика - ключевой процесс идентификации источников и причин инцидентов информационной безопасности.
Управление идентификацией и доступом ( IdM & IAM)
Управление идентификацией и доступом - нацелено на гарантирование того, что авторизированные пользователи получат доступ только к тем активам и ресурсам которые необходимы им для выполнения их должностных обязанностей, в то время как не авторизированные пользователи не будут иметь доступа к активам организации.
IdM
Системы Управления идентификацией (Identity Managmenet) предоставляют функциональность управления идентификацией пользователей, такие как управление учётными данными, управление атрибутами пользователей и т.д. Выполняют функции связанные с аутентификацией и авторизацией.
IAM
Управление идентификацией и доступом (Identity and Access Management) - более разносторонние системы по сравнению с IdM. Они выполняют все те же функции, что и IdM системы (через различные коннекторы), однако дополнительно предоставляют функции управления ролями пользователей, контроля доступа к ресурсам.
Правильно сконфигурированная IAM система обеспечивает безопасный и эффективный доступ к ресурсам и приложениям в организации.
Модели контроля доступа.
Механизм управления доступом к активам и ресурсам организации основывается на различных ресурсных моделях. Некоторые из них, о которых будет написано ниже:
-
Дискреционная (избирательная) модель управления доступом. (Discretionaly Access Control)
-
Ролевая модель управления доступом. (Role-Based Access Control)
-
Мандатная модель управления доступом. (Mandatory Access Control)
-
Разграничение доступа на основе атрибутов (Atribute Based Access Control)))
DAC
Модель доступа в которой у каждого ресурса есть пользователь-владелец который может наделять других пользователей правами на свой объект. Как правило, в права входит чтение, запись, выполнение и т.п. Субъект с определенным правом доступа может передать это право другим субъектам.
Модель предусматривает наличие специального субъекта - суперпользователь - который имеет право устанавливать права на любой объект.
В такой модели права полностью контролируются владельцем ресурса. Недостатки модели проявляются при увеличении количества пользователей: управлять права становится не удобно, особенно, если права пользователей часто меняются.
RBAC
Модель имеет очень наглядный подход: каждый пользователь наделяется определенными ролями в которых, в свою очередь, определены права для различных ресурсов. Обычно роли, представляют из себя специальные группы в которые включаются необходимые пользователи.
По сравнению с DAC, RBAC позволяет назначать гранулированные права на ресурсы. А в случае если пользователю нужно добавить или прибавить определенную роль, его просто включают или исключают из соответствующей группы. Такой подход более удобен во многих аспектах.
MAC
Модель позволяет определить как будут взаимодействовать между собой различные ресурсы системы такие как: пользователи, файлы, процессы, сокеты, устройства, а также их сетевые и внутрисистемные коммуникации. Обеспечивается это в общем случае путём проставления соответствующих меток на каждый из вышеназыванных ресурсов, с дальнейшим написанием правил о порядке взаимодействия помеченных ресурсов между собой.
Например: приложение запущенное от имени пользователя имеет права пользователя который запустил это приложение, а следовательно оно имеет доступ ко всем файлам пользователя в его домашней директории, включая файлы из ~/.ssh
. Используя только DAC модель, приложению невозможно ограничить доступ к таким файлам. Используя же MAC модель, можно создать правило о том, что к файлам которые помечены конкретной меткой могут иметь только процессы связанные с ssh
(они соответственно тоже должны иметь необходимую метку)
Ключевым отличием MAC от DAC является то, что в MAC права на ресурсы назначаются администратором, следовательно владелец ресурса не обладает полным контролем над правами к собственным ресурсам.
ABAC
Модель представляет из себя объединение RBAC и MAC моделей. Её основу составляют атрибуты объектов и субъектов доступа. Позволяет максимально гранулировать предоставление доступа. Для описания политик ABAC используется стандарт XACML
Single Sign-On (SSO)
Технология позволяющая пользователям аутентифицироваться в различных информационных системах, используя всего один аккаунт.
Внедрение SSO предоставляет следующие преимущества:
-
Удобство для пользователей и для администраторов информационных систем
-
Легкое внедрение MFA. Нужно будет прикрутить только на сервере SSO