Многие организации еще не приобрели решение PAM, поскольку считают, что оно может быть дорогим и сложным. Хотя это справедливо для некоторых устаревших решений PAM, эти организации...
Авторизация играет важную роль в управлении идентификационной информацией и доступом (IAM). IAM — это система безопасности, состоящая из политик и процессов ведения деятельности. Она призвана обеспечить авторизованным пользователям необходимый доступ для выполнения их работы. Выбор правильной модели авторизации для вашей организации очень важен для защиты конфиденциальных ресурсов от несанкционированного доступа. К пяти основным моделям авторизации относятся управление доступом на основе ролей, управление доступом на основе атрибутов, управление доступом на основе отношений, дискреционное управление доступом и мандатное управление доступом.
Читайте дальше, чтобы узнать больше о пяти типах моделей авторизации, а также о выборе правильной модели авторизации для вашей организации и ее реализации.
Что такое авторизация?
Авторизация — это процесс, следующий за аутентификацией. Он определяет уровень доступа пользователей к системным ресурсам, таким как данные, приложения и сети. Чтобы получить доступ к сети организации, пользователи должны подтвердить личность с помощью процесса, известного как аутентификация. После того как пользователь или компьютер прошли аутентификацию, администратор или система определяет, какие разрешения на доступ к ресурсам организации следует предоставить. Авторизация ограничивает использование ресурсов на основе настроек, установленных организацией. Организации определяют уровень доступа пользователей в зависимости от их потребностей и конфиденциальности ресурсов.
Пять типов моделей авторизации
Модели авторизации помогают повысить эффективность работы организации и предотвратить утечки данных. Однако выбор модели авторизации для организации зависит от того, насколько сложной и безопасной она должна быть. Вот пять типов моделей авторизации.
Управление доступом на основе ролей
Управление доступом на основе ролей (RBAC) определяет роли и привилегии, чтобы ограничить доступ к системам только авторизованным пользователям. Используя RBAC, организации должны установить разрешения на доступ к конфиденциальным данным, а именно: кто должен иметь к ним доступ, какой объем доступа необходим пользователю и на какой срок. Затем организациям следует определить, какую роль имеет каждый пользователь и какие разрешения ему нужны в зависимости от его роли. Роли определяются полномочиями, должностными обязанностями и компетентностью пользователя.
RBAC предоставляет пользователям ограниченный доступ к конкретным данным и системам на основе их ролей в организации. Так, пользователи получают доступ только к тем данным и системам, которые необходимы для выполнения их работы. У пользователей не должно быть доступа к каким-либо ресурсам, выходящим за рамки их должностных обязанностей. RBAC также ограничивает возможности пользователей по использованию ресурсов, к которым они могут получить доступ.
Управление доступом на основе атрибутов
Управление доступом на основе атрибутов (ABAC) — это более детальная модель авторизации RBAC. ABAC предоставляет пользователям доступ к определенным данным и системам организации на основе конкретных атрибутов, связанных с пользователем. Эта модель выходит за рамки роли пользователя в организации и учитывает другие факторы для авторизации доступа. Атрибуты, учитываемые ABAC, включают характеристики пользователя, а также устройство, среду и ресурс, к которым пользователь пытается получить доступ.
Управление доступом на основе отношений
Управление доступом на основе отношений (ReBAC) — это модель авторизации, которая предоставляет доступ к определенным ресурсам организации на основе отношений между пользователем и ресурсом. Например, создатель ресурса может иметь полный доступ к нему и контроль над ним. Однако коллега создателя из той же команды может только просматривать ресурс, но не изменять его. Коллеге создателя, не работающему в одной с ним команде, может быть вообще запрещен доступ к такому ресурсу.
Мандатное управление доступом
Мандатное управление доступом (MAC) ограничивает доступ в зависимости от уровня конфиденциальности ресурсов. MAC устанавливает метки и категории безопасности, чтобы контролировать, какие пользователи или системы имеют доступ к определенным ресурсам. Эта модель максимально ограничивает доступ только тем, кому он действительно необходим, например администраторам.
Пользователи в метках безопасности ограничены в том, что они могут делать с ресурсами. Они не могут изменять ресурсы или предоставлять к ним общий доступ. Изменения в привилегии могут вносить только администраторы организации. Все, кто ниже уровня доступа, не могут использовать ресурсы. MAC используется в основном в таких организациях, как государственные учреждения, где хранится высококонфиденциальная информация.
Дискреционное управление доступом
Дискреционное управление доступом (DAC) является противоположностью MAC, поскольку назначает привилегии на основе пользователя и группы доступа. Доступ другим пользователям предоставляет не организация на основе конфиденциальности данных, а владелец ресурса и те, кто может его использовать, по мере необходимости. Так, пользователи с более высокими привилегиями указывают, как другие могут использовать ресурсы.
Выбор правильной модели авторизации
Модели авторизации отличаются друг от друга и соответствуют различным потребностям каждой организации. Организациям необходимо найти подходящую для них модель авторизации. Вот факторы, которые следует учитывать при выборе модели авторизации для организации.
Требования к безопасности
Организациям необходимо учитывать требования к безопасности конфиденциальных данных. Им необходимо определить степень конфиденциальности данных и требуемый уровень безопасности. Некоторые модели авторизации, такие как MAC, имеют более строгие уровни доступа и лучше подходят для работы с высококонфиденциальными данными. У других моделей авторизации, таких как DAC, уровни доступа не столь строгие, и они лучше подходят для менее конфиденциальных данных.
Удобство работы пользователей
Организациям необходимо учитывать удобство работы сотрудников. Слишком сложные модели авторизации могут привести к путанице и снижению эффективности работы. Это может даже вызвать проблемы с безопасностью, когда сотрудники пытаются обойти протоколы авторизации, чтобы проще использовать ресурсы. Организациям необходимо выбрать модель авторизации, которая будет понятна пользователям, но при этом обеспечит необходимый уровень безопасности.
Сложность
Организациям нужно учитывать сложность модели авторизации, которую они хотят реализовать. Чтобы определить, насколько сложной должна быть модель авторизации, организациям следует ориентироваться на требуемый уровень безопасности и удобства работы пользователей. Если организация может работать с более сложной и динамичной моделью авторизации, ей следует выбрать ту, которая способна обрабатывать сложные сценарии, например ABAC или ReBAC. Организациям, которым нужна упрощенная модель авторизации, рекомендуется выбрать RBAC.
Масштабируемость
Организациям следует учитывать масштабируемость модели авторизации. Им нужно выбрать такую модель, которая обеспечит поддержку роста организации. Модель авторизации должна соответствовать размеру текущей организации и быть масштабируемой для его потенциального увеличения в будущем. ABAC часто отличается высокой масштабируемостью и динамичностью, что позволяет адаптироваться к увеличению размера организаций.
Используйте Keeper® для реализации модели авторизации
Лучший способ реализовать модель авторизации — решение для управления привилегированным доступом (PAM). PAM — это защита и контроль учетных записей с доступом к высококонфиденциальным системам и данным организации. С помощью решения PAM организации получают всю информацию о том, кто имеет доступ к сети, приложениям, серверам и устройствам. Они полностью контролируют, кто может получить доступ к ресурсам, каков объем доступа каждого пользователя и насколько надежны пароли привилегированных учетных записей. Решение PAM помогает организациям определять привилегии на основе модели авторизации.
KeeperPAM™ — это решение для управления привилегированным доступом Keeper, которое объединяет Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) и Keeper Connection Manager® (KCM). Оно предоставляет организациям всю необходимую информацию, а также позволяет обеспечивать безопасность и контроль каждого привилегированного пользователя на всех устройствах организации, гарантируя необходимые уровни авторизации.
Чтобы узнать, как это решение может защитить конфиденциальные данные вашей организации, запросите демоверсию KeeperPAM.