|
|
Обозрение
ИТ-инфраструктура предприятия 2007Обозрение подготовлено
Решение предназначено для крупных и средних предприятий с распределенной, разнородной ИT-инфраструктурой при необходимости обеспечения централизованного управления доступом к ИТ-ресурсам на основе корпоративных политик информационной безопасности, а также обеспечения безопасного доступа к ИТ-ресурсам из интернета.
Для выполнения бизнес задач сотрудники в компании часто должны иметь доступ к большому количеству приложений. При реализации традиционного подхода к обеспечению безопасности сотрудник имеет учетную запись в каждом приложении и вынужден проходить процедуру аутентификации многократно. Ему приходится помнить множество паролей. Это приводит к записи паролей пользователями, заданию «простых» паролей в системах, что понижает общий уровень безопасности.
При этом существует большое количество не связанных каталогов пользователей и политик предоставления доступа, которые управляются независимо, что может привести к неправильным и несвоевременным настройкам.
Каждой автоматизированной системе свойственно наличие следующих компонентов и механизмов или их аналогов.
Механизмы управления и предоставления доступа
При организации централизованной системы управления доступом решение о предоставлении пользователю запрашиваемого ресурса выносится за рамки приложения, содержащего данный ресурс. Создается единая база авторизации и база учетных записей пользователей (УЗП). При этом решение осуществляется на основании этих данных специальным сервисом авторизации.
Централизованная система управления доступом
Логика работы «ресурсной службы» приложения при этом меняется. Возможны два варианта ее функционирования:
При использовании обоих вариантов контроллер политик играет роль связующего звена с центральной системой управления доступа.
При запросе доступа к ресурсу он производить аутентификацию, опираясь на единый каталог учетных записей пользователей. После чего направляет запрос на центральный сервис авторизации. Сервис авторизации принимает решение на основе единой базы политик предоставления доступа и связанный с ней каталог УЗП.
Политики в каталоге, как правило, включают в себя списки контроля доступа. Списки контроля доступа содержат данные о ресурсе, к которому ограничивают доступ, УЗП (или группы УЗП) и наборы атрибутов, определяющих для каждой УЗП (группы УЗП) права доступа к ресурсу.
При необходимости более детальной настройки правил доступа могут быть использованы также специальные политики. Возможности таких политик и правила их записи зависят от конкретной платформенной реализации. Как правило, они включают в себя некоторый предопределенный набор правил, основанных на расширенных атрибутах УЗП, а также встроенный язык для описания новых правил.
После того, как сервис авторизации определит права доступа пользователя к запрашиваемому ресурсу, данное решение передается обратно контроллеру политик, который на основе полученных данных ограничивает доступ пользователя к ресурсу.
Наличие централизованной системы управления доступом позволяет удешевить и упростить ввод в эксплуатацию новых программных компонентов. Разрабатываемые компоненты должны лишь удовлетворять требованиям интеграции, которая производится на основе открытых стандартных протоколов. Таким образом, новые компоненты освобождаются от необходимости разработки собственных модулей обеспечения безопасности.
К самой системе при этом предъявляются требования открытости и масштабируемости архитектуры, поскольку она является одной из наиболее критичных систем предприятия. Поэтому предполагается строить ее на базе открытых стандартов и протоколов. Организация модели доступа на базе предлагаемой архитектуры позволяет поддерживать использование современных методов аутентификации и авторизации (X.509 Certificates, NTLM, Kerberos, TAI, Basic Authentication и др.).
В настоящее время практически все автоматизированные системы строятся на основе Web-сервисов. Описываемое решение имеет встроенные механизмы интеграции с приложениями, построенными на базе Web-технологий.
Для реализации механизмов по управлению доступом используется IBM Tivoli Access Manager (ITAM). Данный продукт реализует единый каталог пользователей и базу политик предоставления доступа.
Политики доступа в Tivoli Access Manager реализуется с помощью следующих механизмов:
В состав Tivoli Access Manager входит набор готовых контроллеров политик для типовых защищаемых ресурсов (серверов Web-приложений, UNIX-операционных систем, приложений .NET и др.). Данные компоненты представляют собой некоторую надстройку («плагин») над защищаемой системой.
Защита Web приложений возможна также с использованием специального компонента WebSeal, который представляет собой реверсивный proxy-сервер и реализует защиту доступа к данным на уровне фильтрации запросов HTTP.
Запрос авторизации также может передаваться при помощи API функций, реализованных в Tivoli Access Manager в виде Java классов и библиотек C. Данный механизм позволяет интегрировать в единую систему предоставления доступа приложения сторонних производителей и упрощает разработку новых приложений.
В случае наличия автоматизированных систем, модификации которых не представляется возможной, централизация может быть осуществлена при помощи создания мета-каталога пользователей. То есть каталога, который содержит список учетных карточек пользователя, объединяющих информацию обо всех учетных записях пользователя в различных автоматизированных системах.
Данных механизм реализуется при помощи продукта IBM Tivoli Identity Manager. IBM Tivoli Identity Manager позволяет посредством специальных программных адаптеров централизованно осуществлять наполнение каталогов автоматизированных систем. Логика работы ресурсных служб самих систем при этом не меняется.
Совместное использование продуктов Tivoli Access Manager и Tivoli Identity Manager позволяет построить единую систему аутентификации и авторизации пользователей (на базе продукта Tivoli Access Manager) и организовать централизованное управление всеми автоматизированными системами (на базе продукта Tivoli Identity Manager). При этом Tivoli Access Manager является управляемой системой по отношению к Tivoli Identity Manager наравне с остальными автоматизированными системами предприятия.