CMDB как инструмент учёта прав доступа

Ярослав спрашивает авторов и читателей портала:


Просьба посоветовать хорошие практики по учету прав доступа к информационным системам (бизнес-сервисам).

Цель: учесть возможные права доступа к каждой системе и выданные права доступа каждого пользователя к каждой системе. Использовать это в заявках на запрос, изменение, отключение прав, для отчетности и аудита прав.

Сейчас это представляется мне так: для каждого права доступа к системе создается отдельный класс  CI в CMDB. К CI "Информационная система" привязываются все CI "Право доступа...", имеющие к ней отношение. Пользователи привязываются к CI "Право доступа...", в соответствии с выданными им в реальности правами.

Есть ли какой-то другой подход к решению такой задачи?

Заранее благодарю!

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInEmail this to someone

CleverIDM CleverIDM: Управление учётными записями и доступом

Новая услуга в партнёрстве с Аванпост.
 

Узнайте больше!

Комментарии и мнения

  1. Nargiza Suleymanova

    Пожалуй, я не буду оригинальной и просто посоветую изучить процесс Access Management. Там как раз описаны лучшие практики управления доступами. От себя добавлю, что можно этот процесс и без CMDB выстраивать.

    Если автор вопроса даст исходные данные, то можно будет конкретные советы дать по организации процесса.

  2. Олег Скрынник

    Учитывать права доступа в CMDB, конечно, можно.

    На мой взгляд две самые неприятные проблемы будут такими:

    1. Права, учитываемые вручную, разойдутся с действительностью ещё быстрее, чем прочая информация в CMDB. То есть получится хранить в CMDB некую идеальную картину, baseline, но никак не реальную.

    2. Права доступа захочется не только учитывать, но раздавать/отзывать/аудировать/контролировать. А в этом CMDB как инструмент учёта уже не сильно поможет.

    Так что я согласен с Дмитрием, лучше смотреть в сторону специализированных IDM-решений.

  3. Бекетов Вадим

    Привожу пример, как было сделано на двух комапниях с разветвленной филальной сетью.

    В старшей  версии продукта "Корп" есть подсистема, в которой реализован процесс управления доступом, и ведется матрица доступа, но в данном примере этой подсистемы не было, использовалась более доступная версия.

       Конечно, использовать специализаированную систему IDM это идеальный вариант, согласен с Романом.  Но иногда есть ограничения, не позволяющие это сделать. Возможно тогда этьот пример будет полезным.

    В даном примере использовалась версия ,в которой нет отдельного процесса Управления доступом, поэтому в справочнике CI были созданы обьекты — информационные ресурсы. В свойствах  этих обьектов, указывалось, кто является согласующим. 

    В бизнес-процесс запроса было встроено правило ( это типовые возможности, которые есть у всех профессиональных продуктов и их можно использовать), которые направляли заявку тем, кто был указан владельцем и согласующим ресурса.

    Если права можно было назначить или отозвать  автоматически с помощью скрипта, то этот скрипт встраивался в маршрут на этап выполнения, после получения согласования

     В отчете можно было уже смотреть кому и когда даны права на ресурс.

     

     

    1. Дмитрий Исайченко

      Да, у нас тоже есть похожие примеры реализации. Но нужно признать, что все же это довольно ограниченный вариант с точки зрения именно управления правами. Если нужен только учет — возможно, но довольно трудоемко (в частности, проведение аудитов).

  4. Ярослав Максименко

    Добрый день!

    Спасибо за оперативный отклик. 

    Дмитрий, да, идея IDM ясна, но внедрение такой системы не дешевое и не быстрое. Как вариант — привести все системы к SSO, но это тоже не сразу и не для всех систем. Поэтому и рассматриваю вариант учета выданных прав, как написал Вадим — матрицы доступа. 

    Согласен с Олегом, по сути реализую не управление правами, а учет. Приняли на работу сотрудника — выдали по заявке роли и/или права, учли. Увольняется — посмотрели, что было выдано — заблокировали. Конечно, защиты от расхождения с реальностью никакой, кроме запрета на работу с правами доступа без  поданных на это заявок. Ну и аудитов.

    По поводу Acess Management как процесса — в принципе в нем все ясно, но он не реализован в конкретной системе ITSM Service Now (да и вообще не видел такой реализации из коробки в системах ITSM). И даже понимаю почему — для этого есть IDM. Вот и приходится реализовывать его самому на уровне заявок и учета в CMDB.

    Вадим, по скриптам идея хорошая, для типовых доступов, управляемых через AD, легко сделаем. 

     

     

      

     

    1. Олег Скрынник

      Ярослав, наверное, от числа объектов, к которым предоставляется/учитывается доступ, зависит как быстро информация в CMDB разойдётся с действительностью. А число объектов можно условно отразить через число автоматизированных рабочих мест.

      Думаю, что когда рабочих мест несколько сотен, вполне можно попробовать обойтись без IDM. А вот когда их (условно) за тысячу — будет, конечно, сложновато.

  5. Андрей

    Поддержу Дмитрия по поводу IDM, поскольку для раззных моделей процессов лучше испольовать инструменты, построенные для этих моделей. Если речь идет только об учете того, кому и какие права дали, то тут любая база данных подойдет, не только CMDB. На самом деле , учет выданных прав — только часть задачи. Общая концепция такая: есть бизнесс процессы, их выполняют сотрудники, которым назначены соответствующие роли. Для исполнения задач в рамках процесса у исполнителя роли, т.е. у самой роли,  должны быть соответствующие права в ИТ системах. Далее происходит следующее — сотрудника назначают на исполнение роли и вместе с ролью он получает соответствующий списк прав. При согласовании назначения роли задача согласующего от службы безопасности состоит в том, чтобы предотвратить конфликт ролей. На пример, роль заведения счетов в систему не может быть присвоена исполнителю одновременно с ролью опаты счетов. Если не использовать процессный подход и ролевой принцип назначения прав, то задачу конфликта ролей решить практически не возможно.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Empty