Управление идентификацией и доступом
Для реализации растущих потребностей электронного бизнеса необходимо построить надежную с точки зрения безопасности среду для осуществления электронного бизнеса в режиме on-line. Технологии, которые дают возможность осуществлять электронный бизнес, выполняют четыре основные функции:
• аутентификацию, или проверку подлинности пользователя;
• управление доступом, позволяющее авторизованным пользователям получать доступ к требуемым ресурсам;
• шифрование, гарантирующее, что связь между пользователем и базовой инфраструктурой защищена;
• неотказуемость, означающую, что пользователи не могут позднее отказаться от выполненной транзакции (обычно реализуется с помощью цифровой подписи и инфраструктуры открытых ключей)
Только решение, которое выполняет все эти четыре функции, может создать доверенную среду, способную по-настоящему обеспечить реализацию электронного бизнеса.
Управление доступом является критическим компонентом общей системы безопасности. Система управления доступом обеспечивает авторизованным пользователям доступ к надлежащим ресурсам. Проектирование этой инфраструктуры требует тонкого баланса между предоставлением доступа к критическим ресурсам только авторизованным пользователям и обеспечением необходимой безопасности этих ресурсов, известных большому числу пользователей.
Особенности управления доступом
В распределенной корпоративной сети обычно применяются два метода управления доступом:
• управление сетевым доступом (регулирует доступ к ресурсам внутренней сети организации);
• управление Web-доступом (регулирует доступ к Web-серверам и их содержимому).
Все запросы на доступ к ресурсам проходят через один или более списков контроля доступа ACL (Access Control List). ACL является набором правил доступа, которые задают для набора защищаемых ресурсов. Ресурсы с низким риском будут иметь менее строгие правила доступа, в то время как высококритичные ресурсы должны иметь более строгие правила доступа. ACL, по существу, определяют политику безопасности.
Доступ к сетевым ресурсам организации можно регулировать путем создания списков контроля доступа Login ACL, которые позволяют точно определить конкретные разрешения и условия для получения доступа к ресурсам внутренней сети.
Средства контроля и управления Web-доступом позволяют создавать и исполнять политику Web-доступа. Создавая конкретные списки контроля Web доступа Web ACL, администраторы безопасности определяют, какие пользователи могут получить доступ к Web-серверам организации и их содержимому и при каких заранее установленных условиях.
Управление доступом упрощается при применении единой централизованной инфраструктуры контроля и управления доступом, которая может разрешить пользователям «самообслуживание», поручая им такие задачи управления, как регистрация, редактирование профиля, восстановление пароля и управление подпиской. Она может также обеспечить делегирование администрирования, передачу функций управления пользователями, людям, наиболее осведомленным о конкретной группе пользователей как внутри — в бизнес-подразделениях организации, так и вне ее — у клиентов и в подразделениях бизнес-партнеров. Чтобы облегчить поддержку системы безопасности масштаба предприятия, средства управления доступом могут получать данные пользователей и политик, уже хранимых в таких существующих хранилищах данных, как каталоги LDAP и реляционные БД.
Функционирование системы управления доступом
Централизованные системы управления доступом выпускаются рядом компаний, в частности Secure Computing, RSA Security Inc., Baltimore и др.
Рассмотрим функционирование системы управления доступом на примере системы PremierAccess компании Secure Computing. Эта система осуществляет управление Web и сетевым доступом всех пользователей, включая внутренних пользователей, удаленных сотрудников, клиентов, поставщиков и бизнес-партнеров. Она базируется на политике безопасности, которая позволяет персонализировать права доступа пользователей. Пользователи получают доступ только к тем ресурсам, на которые было дано разрешение в соответствии с их правами доступа, через Web-доступ, VPN-доступ или удаленный доступ с использованием серверов RADIUS. В системе реализованы основанные на применении каталогов процессы аутентификации, авторизации и администрирования действий пользователей. Система поддерживает различные типы аутентификаторов — от многоразовых паролей до биометрических средств аутентификации. Предпочтение отдается методам и средствам строгой аутентификации.
Средства управления пользователями позволяют управлять большим числом пользователей. Сервер регистрации дает возможность самим пользователям регистрироваться в сети, используя стандартные Web-браузеры. В процессе регистрации пользователям назначаются роли. Роли являются ярлыками, идентифицирующими группы пользователей, которые разделяют одинаковые права доступа. Иначе говоря, роли определяют наборы правил доступа, применяемые к конкретным группам пользователей. Категорирование пользователей по ролям можно выполнить на основе их функциональных обязанностей.
Средства управления сетевым доступом
В системе управления доступом используются так называемые агенты. Агент системы — это программный модуль, инсталлированный на соответствующий сервер в рамках корпоративной сети.
В качестве таких агентов выступают агенты удаленного доступа, агенты VPN-доступа, агенты серверов RADIUS, Novel,
RAS, Citrix и др. При попытке пользователя подключиться к внутренней сети, агенты системы перехватывают запрос пользователя на вход в сеть.
Агенты действуют как точки аутентификации пользователей UAPs (User Authentication Points) на линиях коммуникации с сервером PremierAccess. В ответ на запрос пользователя агент запрашивает у пользователя его верительные данные — идентификатор пользователя и аутентификатор. Отвечая на запрос агента, пользователь вводит свои данные. Эти верительные данные передаются AAA-серверу (AAA — Authentication, Authorization, Accounting).
AAA-сервер сравнивает идентификатор ID пользователя или сертификат с данными, хранимыми в каталоге LDAP, с целью проверки их тождественности. Если идентификатор ID пользователя совпадает с хранимым, запись пользователя в БД проверяется по роли (или ролям) и ресурсам, к которым они авторизуются. Для аутентификации могут применяться фиксированный пароль, аппаратный или программный аутентификаторы. Если пользователь успешно проходит все шаги подтверждения своей подлинности, он получает доступ к ресурсу сети.
Средства управления Web-доступом
Система PremierAccess использует универсальный Web-агент UWA (Universal Web Agent), который инсталируется на хост-машине каждого защищаемого Web-сервера. В рассматриваемом примере в качестве пользователя выступает бизнес-партнер, который запрашивает доступ к защищаемому Web-pecypcy компании.
Управление Web-доступом реализуется в виде процесса, состоящего из двух этапов.
1. Пользователь пытается войти в систему, используя сервер WLS (Web Login Server). Запрос пользователя на доступ к защищенному Web-pecypcy компании перехватывается агентом UWA, который для обработки этого запроса обращается к серверу WLS. Сервер WLS запрашивает результат аутентификации у сервера AAA. В случае успешной аутентификации сервер WLS генерирует сеансовый cookie, который содержит сеансовый идентификатор пользователя.
2. Пользователь пытается получить доступ к Web-pecypcy. Сервер WLS использует сеансовый идентификатор в cookie для запроса у AAA-сервера данных сеанса пользователя. Чтобы выполнить запрос на доступ, сервер WLS передает пользователю сеансовый cookie с правами на сеанс. Агент UWA получает сеансовый ID, затем получает от AAA-сервера данные сеанса. Основываясь на ролях пользователя и политике доступа, он принимает решение, давать или запретить пользователю доступ к Web-pecypcy.
При построении систем управления доступом важное значение имеют:
• средства и протоколы аутентификации удаленных пользователей;
• средства управления доступом по схеме однократного входа с авторизацией Single Sign-On;
• инфраструктуры управления открытыми ключами PKI. Перечисленные средства и системы рассматриваются в последующих разделах данной главы.
Эта статья была опубликована Пятница, 10 сентября, 2010 at 17:57 в рубрике Инфраструктура защиты на прикладном уровне. Вы можете следить за ответами через RSS 2.0 feed.