Портал №1 по управлению цифровыми
и информационными технологиями

CMDB как инструмент учёта прав доступа

Ярослав спрашивает авторов и читателей портала:


Просьба посоветовать хорошие практики по учету прав доступа к информационным системам (бизнес-сервисам).

Цель: учесть возможные права доступа к каждой системе и выданные права доступа каждого пользователя к каждой системе. Использовать это в заявках на запрос, изменение, отключение прав, для отчетности и аудита прав.

Сейчас это представляется мне так: для каждого права доступа к системе создается отдельный класс  CI в CMDB. К CI "Информационная система" привязываются все CI "Право доступа…", имеющие к ней отношение. Пользователи привязываются к CI "Право доступа…", в соответствии с выданными им в реальности правами.

Есть ли какой-то другой подход к решению такой задачи?

Заранее благодарю!

«VAP: Управление изменениями и конфигурациями в ИТ»
Повысить долю успешных изменений, снизить риски, знать всё про конфигурации

Комментариев: 10

  • Есть ли какой-то другой подход к решению такой задачи?

    Есть, и более оптимальный – IDM-решение. Они специально для этого созданы и умеют это делать гораздо лучше, чем CMDB общего назначения.

  • Nargiza Suleymanova

    Пожалуй, я не буду оригинальной и просто посоветую изучить процесс Access Management. Там как раз описаны лучшие практики управления доступами. От себя добавлю, что можно этот процесс и без CMDB выстраивать.

    Если автор вопроса даст исходные данные, то можно будет конкретные советы дать по организации процесса.

  • Учитывать права доступа в CMDB, конечно, можно.

    На мой взгляд две самые неприятные проблемы будут такими:

    1. Права, учитываемые вручную, разойдутся с действительностью ещё быстрее, чем прочая информация в CMDB. То есть получится хранить в CMDB некую идеальную картину, baseline, но никак не реальную.

    2. Права доступа захочется не только учитывать, но раздавать/отзывать/аудировать/контролировать. А в этом CMDB как инструмент учёта уже не сильно поможет.

    Так что я согласен с Дмитрием, лучше смотреть в сторону специализированных IDM-решений.

  • Бекетов Вадим

    Привожу пример, как было сделано на двух комапниях с разветвленной филальной сетью.

    В старшей  версии продукта "Корп" есть подсистема, в которой реализован процесс управления доступом, и ведется матрица доступа, но в данном примере этой подсистемы не было, использовалась более доступная версия.

       Конечно, использовать специализаированную систему IDM это идеальный вариант, согласен с Романом.  Но иногда есть ограничения, не позволяющие это сделать. Возможно тогда этьот пример будет полезным.

    В даном примере использовалась версия ,в которой нет отдельного процесса Управления доступом, поэтому в справочнике CI были созданы обьекты – информационные ресурсы. В свойствах  этих обьектов, указывалось, кто является согласующим. 

    В бизнес-процесс запроса было встроено правило ( это типовые возможности, которые есть у всех профессиональных продуктов и их можно использовать), которые направляли заявку тем, кто был указан владельцем и согласующим ресурса.

    Если права можно было назначить или отозвать  автоматически с помощью скрипта, то этот скрипт встраивался в маршрут на этап выполнения, после получения согласования

     В отчете можно было уже смотреть кому и когда даны права на ресурс.

     

     

  • Ярослав Максименко

    Добрый день!

    Спасибо за оперативный отклик. 

    Дмитрий, да, идея IDM ясна, но внедрение такой системы не дешевое и не быстрое. Как вариант – привести все системы к SSO, но это тоже не сразу и не для всех систем. Поэтому и рассматриваю вариант учета выданных прав, как написал Вадим – матрицы доступа. 

    Согласен с Олегом, по сути реализую не управление правами, а учет. Приняли на работу сотрудника – выдали по заявке роли и/или права, учли. Увольняется – посмотрели, что было выдано – заблокировали. Конечно, защиты от расхождения с реальностью никакой, кроме запрета на работу с правами доступа без  поданных на это заявок. Ну и аудитов.

    По поводу Acess Management как процесса – в принципе в нем все ясно, но он не реализован в конкретной системе ITSM Service Now (да и вообще не видел такой реализации из коробки в системах ITSM). И даже понимаю почему – для этого есть IDM. Вот и приходится реализовывать его самому на уровне заявок и учета в CMDB.

    Вадим, по скриптам идея хорошая, для типовых доступов, управляемых через AD, легко сделаем. 

     

     

      

     

    • Ярослав, наверное, от числа объектов, к которым предоставляется/учитывается доступ, зависит как быстро информация в CMDB разойдётся с действительностью. А число объектов можно условно отразить через число автоматизированных рабочих мест.

      Думаю, что когда рабочих мест несколько сотен, вполне можно попробовать обойтись без IDM. А вот когда их (условно) за тысячу – будет, конечно, сложновато.

      • Ярослав Максименко

        Олег, число объектов – скорее число пользователей. ОК, спасибо, поизучаю и IDM.

  • Андрей

    Поддержу Дмитрия по поводу IDM, поскольку для раззных моделей процессов лучше испольовать инструменты, построенные для этих моделей. Если речь идет только об учете того, кому и какие права дали, то тут любая база данных подойдет, не только CMDB. На самом деле , учет выданных прав – только часть задачи. Общая концепция такая: есть бизнесс процессы, их выполняют сотрудники, которым назначены соответствующие роли. Для исполнения задач в рамках процесса у исполнителя роли, т.е. у самой роли,  должны быть соответствующие права в ИТ системах. Далее происходит следующее – сотрудника назначают на исполнение роли и вместе с ролью он получает соответствующий списк прав. При согласовании назначения роли задача согласующего от службы безопасности состоит в том, чтобы предотвратить конфликт ролей. На пример, роль заведения счетов в систему не может быть присвоена исполнителю одновременно с ролью опаты счетов. Если не использовать процессный подход и ролевой принцип назначения прав, то задачу конфликта ролей решить практически не возможно.


Добавить комментарий для Nargiza SuleymanovaОтменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM