Получите управление учетными данными с контролем доступа на основе ролей

Защитите свои пароли с помощью контроля доступа на основе ролей и безопасности с нулевым доверием

Принцип наименьших привилегий

Организации часто сталкиваются с проблемой предоставления своим сотрудникам учетных данных и доступа, необходимого для эффективного выполнения их работы, не предоставляя при этом доступ к другой конфиденциальной информации.

Принцип наименьших привилегий (PoLP) заключается в том, что администратор ограничивает уровни доступа и разрешений до минимума, необходимого для выполнения рабочих функций. Этот принцип гарантирует, что сотрудники имеют доступ только к тому, что им необходимо, а не полный доступ ко всей сети организации.

PoLP сокращает возможности кибератак за счет устранения ненужных привилегий, которые могут быть использованы либо злонамеренным инсайдером, либо внешним злоумышленником, который может скомпрометировать учетные данные сотрудника. Если отсутствуют надлежащие механизмы управления учетными данными и безопасности, безопасность вашей организации находится под угрозой.

Управление уровнями доступа к организации с помощью узлов, ролей и команд

Возможность предоставлять доступ с наименьшими привилегиями всем пользователям является важнейшим компонентом корпоративного управления паролями. Keeper позволяет администраторам точно настраивать уровни доступа организации к конфиденциальным данным и учетным данным, начиная с команд и групп и заканчивая отдельными пользователями.

Эта ключевая функция органично сочетается с превосходной архитектурой Keeper, состоящей из узлов, ролей и команд.

Узлы

Узлы предоставляют способ организации пользователей в отдельные группы, аналогичные организационным единицам в Active Directory, и они лежат в основе архитектуры Keeper. Администратор может создавать узлы на основе местоположения, отдела, подразделения или любой другой структуры. По умолчанию узлу верхнего уровня — или корневому узлу — присваивается название организации, а все остальные узлы могут быть созданы под корневым узлом.

Одним из преимуществ определения множества узлов является поддержка концепции делегированного администрирования. Делегированному администратору могут быть предоставлены некоторые или все административные права, но только по отношению к соответствующему узлу или подузлам. Это делегированное администрирование позволяет разным людям в организации осуществлять контроль на подмножествами команд, пользователей, ролей и общих папок.

Роли

Роли определяют разрешения и контролируют, какие функции и параметры безопасности применяются к тем или иным пользователям, а также управляют административными возможностями. Пользователи обеспечиваются в соответствующих узлах, а их роли настраиваются в соответствии с конкретными потребностями бизнеса.

Роли состоят из политик принудительного исполнения и управляют тем, как пользователи могут получить доступ к хранилищу Keeper на своих устройствах. Можно создать сколько угодно ролевых политик и применить их к одному или нескольким пользователям.

Команды

Команды используются для совместного использования ривилегированных учетных записей и общих папок среди групп пользователей в хранилище Keeper. Команды также можно использовать для простого назначения ролей целым группам пользователей, чтобы обеспечить согласованность политик принудительного исполнения.

Поскольку модель безопасности Keeper основана на доступе с наименьшими привилегиями, мы внедряем политики с наименьшими привилегиями, поэтому, когда пользователь имеет несколько ролей, его политика по умолчанию является наиболее ограничительной.

Удовлетворяйте потребности своего внутреннего контроля с помощью политик принудительного применения на основе ролей

Keeper предоставляет вашей организации детальный контроль и видение того, к какой информации пользователи могут получить доступ и управлять ею из платформы, используя настраиваемое управление доступом на основе ролей (RBAC). Используя гибкий механизм ролевых политик, вы можете вводить ограничения и блокировать доступ на основе профиля риска отдельного пользователя.

Например, вы можете запретить своим ИТ-администраторам доступ к своему хранилищу за пределами офисной сети. Или вы сделать так, чтобы помощники по административным вопросам могли подключать новых пользователей, управлять командами и создавать отчеты. Весь процесс полностью настраивается через удобный интерфейс.

С консоли администраторы имеют доступ к солидному набору политик принудительного применения, которые определяют, как пользователи получают доступ к хранилищу и взаимодействуют с ним, а также какие функции они могут использовать.

Основные характеристики:

Правила сложности пароля и биометрия
Многофакторная аутентификация, срок действия токена и ограничение устройств
Ограничения автономного доступа
Список разрешенных IP-адресов, совместное использование и ограничения на экспорт данных
Передача учетных записей (при увольнении сотрудников и аварийных ситуациях)
Административные разрешения

Архитектура узлов Keeper масштабируется под любой размер организации

Чтобы в полной мере оценить мощь и гибкость управления доступом на основе ролей в Keeper, необходимо понимать организационную структуру, которая реализуется при развертывании Keeper в вашей организации.

Ландшафт безопасности бизнеса постоянно меняется, требуя простоты использования и гибких внутренних мер защиты. Keeper масштабируется под любой размер организации. Такие функции, как разрешения на основе ролей, совместное использование в команде, аудит подразделений и делегированное администрирование, поддерживают ваш бизнес по мере его роста и изменений. Когда сотрудники берут на себя новые должностные обязанности или меняют должности, Keeper изменяет их роли посредством Active Directory, гарантируя, что у них всегда будут должные разрешения.

Исключите риск потери важных данных, когда сотрудники покидают организацию

Возможности передачи учетных записей в системе Keeper с нулевым разглашением обеспечивают корпоративным клиентам уверенность в том, что их сотрудник никогда не уйдет с важными данными, если покинет организацию.

С помощью безопасной функции Keeper «Передача учетной записи» хранилище пользователя может быть заблокировано, а затем передано другому пользователю в организации. Процесс передачи учетной записи происходит с соблюдением принципа нулевого разглашения, а возможность выполнения передачи учетной записи может быть ограничена в зависимости от созданных ролей.

Например, ИТ-администраторы могут установить, что хранилище инженера может передавать только руководитель технического отдела, или только менеджер по маркетингу может передавать хранилище координатора по маркетингу.

Ресурсы

Блоги

ドキュメントポータル

Ресурсы

Блоги

Истории успеха

Вопросы и ответы

Что такое RBAC (управление доступом на основе ролей)?

Управление доступом на основе ролей, также называемое безопасностью на основе ролей, представляет собой модель управления доступом, в которой роль пользователя в организации определяет, к каким сетевым ресурсам у него есть доступ. Целью RBAC является обеспечение того, чтобы пользователи не могли получить доступ к системам и данным, которые не связаны с их должностными обязанностями, что улучшает соответствие требованиям, предотвращает утечку данных, а в случае компрометации учетных данных пользователя препятствует возможности злоумышленника перемещаться в горизонтальном направлении по сети.

Что такое управление привилегированным доступом?

Управление привилегированным доступом (PAM) относится к инструментам и технологиям, которые организации используют для защиты, контроля и мониторинга доступа к наиболее важной информации и ресурсам, таким как локальные учетные записи администраторов и учетные записи администраторов домена. PAM помогает организациям защитить себя от кибератак, поскольку предотвращает несанкционированный привилегированный доступ к учетным записям.

Сравнение RBAC с ABAC

Основное различие между управлением доступом на основе ролей (RBAC) и управлением доступом на основе атрибутов (ABAC) заключается в том, как каждый метод обеспечивает доступ к сети. RBAC позволяет предоставлять доступ на основе ролей. ABAC позволяет предоставлять доступ с помощью пользовательских характеристик, таких как типы действий, местоположение, устройство и многое другое.