Контроль доступа в Avanpost DS, часть первая: механизмы контроля доступа

Как и у любой другой информационной системы, с которой взаимодействует более одного субъекта безопасности (security principal), будь то пользователь, администратор или другая информационная система, у службы каталогов есть задача это взаимодействие контролировать, допуская от своих пользователей только санкционированные и предотвращая любые несанкционированные действия.

В отличие от любой другой информационной системы, служба каталогов предоставляет аутентификацию и авторизацию для всей ИТ инфраструктуры компании и доступ ко многим сервисам контролируется именно через службу каталогов. Именно поэтому для службы каталогов критичным становится соблюдение принципа наименьших привилегий — когда каждый участник безопасности может выполнять только те действия в системе, которые ему необходимо выполнять для выполнения своих должностных обязанностей (если речь идет о сотруднике) или для корректного функционирования (если мы говорим о каком-либо сервисе). Следование принципу наименьших привилегий позволяет снизить ущерб от компрометации сервисных и административных учетных записей.

Для соблюдения принципа наименьших привилегий система контроля доступа службы каталогов должна отвечать ряду критериев, а именно:

• Действовать по принципу непрямого запрета — все что явно не разрешено, должно быть запрещено.
• Поддерживать возможность гранулярного контроля доступа — давать права на операции не только целиком с объектом, но и отдельными его атрибутами, например, предоставить почтовому серверу право на редактирование только почтовых атрибутов пользователя.
• Поддерживать систему делегирования полномочий и наследования разрешений — например, возможность делегировать группе технической поддержки право на разблокировку учетных записей только в отдельном подразделении.
• Применяться единообразно независимо от интерфейса доступа: если система делегирования работает только при доступе через rest api и не применяется при доступе через ldap-интерфейс, неизбежно будут появляться сервисные учетные записи с избыточными привилегиями (которые могут быть использованы как вектор атаки на инфраструктуру).

Читайте продолжение на habr.com

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.

Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, Unified SSO, Web SSO, Device Control.

Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.

Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.