Access control что это

Обновлено: 03.07.2024

access control — kreipties valdymas statusas T sritis automatika atitikmenys: angl. access control vok. Zugriffssteuerung, f rus. управление выборкой, n; управление доступом, n pranc. commande d accès, f; contrôle d accès, m; gestion d accès, f … Automatikos terminų žodynas

access control — контроль за доступом к служебным и гостевым помещениям control on контроль над control over контроль над control act акт о контроле control mode режим контроля control code управляющий код … English-Russian travelling dictionary

access control — limiting of access to a system or files … English contemporary dictionary

access control — n. any barrier or device, either natural or man made, that limits or prohibits, free or unlimited access … Locksmith dictionary

access control — The process of restricting access to a workstation or network … IT glossary of terms, acronyms and abbreviations

access control — noun a) The practice of restricting entrance to a property, a building, or a room to authorized persons. b) In technology, permitting or denying the use of a particular resource … Wiktionary

Symantec Network Access Control

Что такое технология NAC знают многие, и наверное некоторые с этой технологией сталкивались. Дабы не копипастить сюда описание технологии приведу некоторые ссылки на статьи описывающие принципы работы NAC:
Российский опыт применения NAC,
NAC: безопасность по принуждению.

Далее я расскажу по один из вариантов реализации технологии NAC, а именно о реализации данной технологии компанией Symantec.

Если быть совсем честным, то Symantec купила компанию Sygate, в рамках которой и разрабатывался продукт, который сейчас называется Symantec Network Access Control (SNAC).
На мой взгляд, SNAC — это один из лучших вариантов реализации технологии контроля доступа к сети на сегодняшний день. Дабы не закидали помидорами, скажу, что разворачивал стенды с аналогичными решениями от компании Cisco (Cisco NAC) и компании Microsoft (NAP).

Первым плюсом, при развёртывании SNAC оказалось, что он интегрируется в консоль управления Symatec Endpoint Protection Manager.

Из описания технологии NAC (не привязываясь к конкретной реализации) мы знаем, что NAC состоит из 3-х частей:
1. Устройство, запрашивающее доступ к сети
2. Среда применения политик
3. Точка принятия решения.

Рассмотрим, каждую из этих частей в реализации Symantec NAC. Начнём с конца.
Точка принятия решения. В реализации Symantec, точкой принятия решения выступает Symantec Endpoint Protection Manager. В консоли задаются политики, которым должны удовлетворять сетевые устройства, а так же действия, которые необходимо совершить над сетевыми устройствами. Symantec Endpoint Protection Manager может обращаться к сторонним RADUIS серверам, например для проверки аутентификации пользователей, или для проверки аутентификации сетевых устройств.

Среда применения политик. В реализации Symantec NAC существует 4 варианта среды применения политик:
1. Self-Enforcement – «самозащита» — применение политики происходит на самом устройстве запрашивающем доступ, например на ноутбуке пользователя. Данный вариант может быть реализован, если у клиента установлен SEP и агент SNAC, так как применение политики осуществляется за счёт таких компонентов SEP как, например firewall и IPS. Self-Enforcement самый простой и быстрореализуемый вариант внедрения Symantec NAC в сети организации.

2. DHCP-Enforcement – применение политики происходит на уровне сети в момент получения устройством IP-адреса. В зависимости от состояния устройства, запрашивающего доступ к сети, ему может быть выдан IP-адрес из различных подсетей. Относительно простой вариант для внедрения в сети, но требует некоторой модификации в схеме DHCP.

3. Gateway-Enforcement – можно назвать контролем на шлюзе. То есть применение политики происходит на уровне сети, при прохождении трафика через Gateway-Enforcer. Данный вариант уместен при контроле доступа устройств из отдельного небольшого сегмента сети, например такой как гостевой WiFi, или VPN-шлюз. Это обусловлено тем, что весь трафик проходит и обрабатывается на Gateway-Enforcer, что может стать узким местом в сети. Так же Gateway-Enforcer не контролирует трафик, который не проходит через него, например, при общении устройств внутри сегмента, такого как гостевой WiFi. По этому данный вариант уместнее применять на границе сегментов сети. При внедрении необходимо чётко представлять работу сети, потоки трафика, и возможности самого Gateway-Enforcer,; иногда требуется пересмотр и модернизация существующей схемы сети.

4. LAN-Enforcemet – применение политики на уровне сетевых устройств поддерживающих протокол 802.1x, например таких как коммутаторы, маршрутизаторы, WiFi-точки доступа. Точка принятия решений определяет какие действия необходимо совершить с данным сетевым устройством и даёт команду сетевому оборудованию, например переместить устройство в специализированный VLAN или поместить устройство в рабочий VLAN, или наложить определённый список контроля доступа на порт, к которому подключилось устройство. Данный вариант самый сложный в реализации и требовательный как к структуре сети, так и к сетевому оборудованию, на котором построена сеть, однако данный вариант обладает наибольшим функционалом.
При внедрении Symantec NAC возможно использовать различные варианты совмещения и дополнения сред применения политик, как это было сделано на описываемом в данной статье стенде.
Устройство, запрашивающее доступ к сети. В качестве устройства, запрашивающего доступ к сети, может быть любое устройство имеющее MAC-адрес. Устройства, запрашивающие доступ к сети можно разделить на управляемые и неуправляемые. Управляемые устройства – это устройства на которых установлен или может быть установлен агент SNAC, который может предоставить запрашиваемую точкой принятия решений информацию. Неуправляемые устройства – это устройства, на которые агент SNAC не может быть установлен (например, принтеры).

Как было написано выше, у Symantec существует 4 варианта применения политик. Вариант Self-Enforcement реализуется только программными средствами, остальные 3 варианта реализуются с помощью программно-аппаратных комплексов (appliance), в терминологии Symantec, называемых Enforcer.

Поговорим поподробнее про Self-Enforcement. Данный вариант реализации технологии NAC подразумевает применение политик к сетевому устройству на самом устройстве. То есть, у нас есть компьютер, с установленным SEP 11 и агентом SNAC, есть политики доступа в сеть, и есть политики карантина, например, карантинная политика фаервола, в которой запрещен доступ в сеть. Карантинная политика может включать правила не только для фаервола, но и для серверов обновлений, для антивируса, IPS.

Ключевым моментом Self-Enforcement является то, что для его реализации не требуется никакого дополнительного оборудования в виде SNAC Appliance, не важна архитектура сети и не важно, на каком оборудовании построена сеть. Данный вариант SNAC можно легко развернуть практически в любой сети.

Самым интересным и наиболее функциональныму вариантом SNAC является вариант LAN – Enforcement. Данный вариант SNAC взаимодействует с сетевым оборудованием, что позволяет реализовывать очень сложные и в тоже время гибкие политики и действия, применяемые к сетевым устройствам, запрашивающим доступ.

Поподробнее остановимся на принципе работы LAN-Enforcement. У нас есть устройство, запрашивающее доступ в сеть – пусть это будет ноутбук сотрудника компании, и на данном ноутбуке установлен агент SNAC. Есть сетевой коммутатор, который «понимает» протокол аутентификации 802.1x, например, коммутатор Cisco Catalyst. Есть LAN-Enforcer и есть Symantec Endpoint Protection Manager.

На коммутаторе, порты, к которым могут подключаться пользователи, настроены на аутентификацию по протоколу 802.1x. Как только компьютер подключается к сети, коммутатор сообщает LAN-Enforcer о появлении нового устройства. LAN-Enforcer, на основе данных, полученных от агента, установленного на ноутбуке, и на основе политик, заданных в Symantec Endpoint Protection Manager, принимает решение, что делать с подключившимся ноутбуком, и передаёт управляющие команды коммутатору. А коммутатор, соответственно, эти команды исполняет, и помещает ноутбук или в заданный VLAN или просто закрывает порт, в зависимости от политик.

Необходимо добавить, что LAN-Enforcer будет являться RADUIS-сервером для сетевых устройств, к которым подключаются пользователи.
В варианте с LAN-Enforcement, существует два режима работы: Transparent mode и Full mode. Различие между этими режимами в том, что когда мы используем Transparent mode мы можем реализовать только аутентификацию компьютера с установленным агентом и проверку на соответствие заданным политикам, но не можем реализовать проверку пользователя, который аутентифицировался на данном компьютере. При этом нам не требуется какой-либо внешний RADIUS. В режиме Full mode, помимо аутентификации компьютера и проверки на соответствие политикам мы можем так же реализовать проверку пользователя, который аутентифицировался на компьютере. Однако, для аутентификации пользователей нам потребуется внешний RADIUS-сервер.

Так же в реализации SNAC предусмотрен гостевой доступ. Под гостевым доступом мы подразумеваем предоставление доступа к сети компьютерам, которые не управляются нашим Symantec Endpoint Protection Manager. Следовательно мы не можем проверить состояние этих компьютеров, установленное и запущенное программное обеспечение и т.д. — то есть, не можем проверить эти компьютеры на соответствие сетевым политикам, которые применяются в нашей организации.

Компания Symantec предложила для проверки гостевых компьютеров использовать загружаемый Java или ActiveХ компонент, который после загрузки на компьютер может произвести его проверку и предоставить Symantec Endpoint Protection Manager требуемые данные для принятия решения о доступе в сеть. К сожалению, данный функционал реализован только на Gateway Enforcer — поэтому для реализации гостевого доступа клиент должен подключаться к сети через Gateway Enforcer. Если пользователь, у которого агент SNAC не установлен, попытается получить доступ к внутренним ресурсам сети, то ему будет предложено скачать SNAC-агента, после чего будет произведена проверка компьютера и будет принято решение о предоставлении компьютеру доступа в сеть.

Данный пост является некой, выжимкой более большого документа, который был сделан после тестирования технологии SNAC на стенде. Сам документ целиком Вы можете скачать по этой ссылке
.

Сравнение ABAC и RBAC

Как видно из сравнения, RBAC хорошо подходит только для реализации простых бизнес-правил. С увеличением сложности правил целесообразность использования RBAC уменьшается из-за растущей стоимости поддержки системы контроля доступа, а начиная с определенного уровня сложности правил этот подход вообще не дает результата.

ABAC, в свою очередь, не ограничивает сложность бизнес-правил. Благодаря более понятному бизнесу и компактному выражению этот подход позволяет не увеличивать стоимость поддержки при реализации более сложных правил, а также дает возможность обеспечивать контроль доступа не только к действиям, но и к данным.

P. S.: На сегодняшний день для ABAC существует стандарт XACML, который активно развивается и используется. Подробнее о нем можно узнать в следующей статье.

Подходы к контролю доступа: RBAC vs. ABAC

В этой теме хотелось бы познакомить читателей с относительно новым подходом к контролю доступа под названием Attribute-based access control. Знакомство будет происходить на примере сравнения с популярным нынче Role-based access control.

Когда компания состоит из одного человека, то внутренних секретов в ней нет. Единственному сотруднику доступны любые действия и любая информация.

Если компания успешна и объемы работы растут, то наступает момент, когда один человек перестает справляться. И тогда в компанию нанимаются новые сотрудники.

Но когда число сотрудников в компании увеличивается, появляются другие проблемы, например:

каждый сотрудник должен выполнять только свои бизнес-задачи и не иметь доступа к чужим;
каждый сотрудник должен видеть только связанную со своими бизнес-задачами информацию;
у каждой задачи должен быть ответственный за ее выполнение сотрудник.

неэффективного выполнения чужих задач в силу некомпетентности;
умышленных или неумышленных ошибок в чужих задачах;
раскрытия информации посторонним лицам.

Самой сложной является проблема авторизации. Существует несколько подходов к ее решению, но наибольшее распространение на сегодняшний день получил контроль на основе ролей (role-based access control, RBAC).

Attribute-based access control (ABAC)

Бизнес-правило, по сути, представляет собой набор условий, в которых различные атрибуты должны удовлетворять предъявляемым к ним требованиям.

Можно явно выделить несколько категорий атрибутов.

Для выполнения авторизации значения всех атрибутов берутся в момент проверки прав и сравниваются с ожидаемыми значениями. Выполнение всех условий обеспечивает доступ к ресурсу.

Простые правила описываются простыми условиями.

Многомерные правила в этой модели не становятся более сложными.

При добавлении новых значений атрибутов условия бизнес-правила меняться не будут. То есть если появится филиал «Г», в условиях бизнес-правила ничего менять не придется. Все, что потребуется, — это добавить нужным сотрудникам значение атрибута «Филиал» — «Филиал «Г».

Таким образом, ABAC позволяет избежать проблем, которые появляются в RBAC:

бизнес-правило не «размазывается» по системе, что делает его понимание и поддержку достаточно простыми;
не происходит взрывного роста числа условий, что упрощает их сопровождение.

Представления бизнес-правила в виде набора условий удобно использовать для фильтрации данных. Часть условий можно вычислить еще до обращения к ресурсу, а оставшиеся условия становятся фильтром для выбора данных.

Первые три условия можно проверить еще до обращения к данным. А последнее условие можно использовать в качестве предиката для получения только разрешенных данных.

Role-based access control (RBAC)

Суть подхода заключается в создании ролей, повторяющих бизнес-роли в компании, и присваивание их пользователям. На основе этих ролей проверяется возможность выполнения пользователем того или иного действия.

Если бизнес-правила одномерны и все действия можно разбить по ролям (бухгалтер, менеджер, администратор и т. п.), такого подхода будет достаточно. Тогда одному бизнес-правилу будет соответствовать одна роль.

Но бизнес-правила неизбежно усложняются и становятся многомерными. Это приводит к тому, что одного атрибута (роли) для выражения бизнес-правил становится недостаточно и начинают добавляться другие атрибуты (город, страна, филиал, день недели, владелец, лимит и т. п.).

После каждого добавления нового значения атрибута придется добавлять новые роли. То есть если появится филиал «Г», то придется добавить новые роли, такие как «Администратор филиала «Г», «Менеджер филиала «Г», «Бухгалтер филиала «Г» и т. п., после чего присвоить всем требуемым сотрудникам новые роли. Все это порождает много рутинного ручного труда.

Кроме этого, появляются и другие проблемы:

одно бизнес-правило «размазывается» среди множества ролей и становится неочевидным, что усложняет понимание такого правила и его поддержку;
начинается взрывной рост числа ролей, что значительно усложняет управление ими.

Существуют также бизнес-правила, которые ограничивают доступ не к действиям, а к данным. Такие бизнес-правила также невозможно выразить с помощью ролевой модели.

Чтобы реализовать поддержку таких бизнес-правил, придется использовать другие инструменты, что только удорожает и усложняет внедрение и сопровождение системы контроля доступа. Получается, что как только бизнес-правила становятся многомерными или требуют контроля данных, ролевая модель не только не решает текущие проблемы контроля доступа, но и создает новые.

access control

access control — limiting of access to a system or files … English contemporary dictionary

access control — n. any barrier or device, either natural or man made, that limits or prohibits, free or unlimited access … Locksmith dictionary

access control — The process of restricting access to a workstation or network … IT glossary of terms, acronyms and abbreviations

Читайте также: