Prieigos kontrolės sprendimų evoliucija

Prieigos kontrolės sprendimų evoliucija

2016-04-04

Organizacijų veiklos ir procesų skaitmeninimo mastas kartu su visos žmonijos pažanga įgavo neįtikėtiną pagreitį. IT sistemų, aplikacijų ir vartotojų įrenginių tik daugėja. Akivaizdu, kad jų vis daugės ir dėl daiktų interneto fenomeno. Viskas būtų puiku, jei ne su tuo susijusios problemos.

Užsukime į modernią privačią gydymo įstaigą. Joje dirba skirtingų profesijų specialistai – gydytojai, slaugai, ūkvedžiai, administratoriai, valytojai, finansininkai, apsaugininkai ir kt. Jie naudojasi įvairiomis aplikacijomis bei sistemomis: el. paštu, duomenų talpykla, ligonių istorijų registru, e. sveikatos ir finansų apskaitos sistemomis, vaizdo stebėjimu ir įrašymu, vaizdo konferencijose bendrauja su savo kolegomis Lietuvoje ir užsienyje, kartu aktyviai dalyvauja savo gydymo įstaigos bendruomenės gyvenime, turi erdvę dalytis nuotraukomis ir įspūdžiais. Dalis šių sistemų yra bendrojo naudojimo, jose laikoma konfidenciali informacija, skirta tik siauram specialistų ratui. Be to, visi darbuotojai nori naudotis šiomis sistemomis iš kelių įrenginių: stacionaraus kompiuterio, planšetiniu kompiuteriu ir, aišku, išmaniuoju telefonu. Taip pat dalis jų į darbą atsineša asmeninius įrenginius. Gydytojas, bendraudamas su pacientu, siunčia išmaniuoju telefonu darytą nuotrauką savo kolegai kitame mieste. Atėjęs gydytis pacientas nori prisijungti prie belaidžio ryšio ir naršyti laukdamas eilėje arba, pavyzdžiui, prisijungti prie vizitų rezervacijos sistemos. Modernų magnetinio rezonanso įrenginį prižiūrinti įmonė informaciją surenka nuotoliniu būdu. O ligoninės vadovas jau planuoja diegti išmanųjį apšvietimą bei šildymo sistemas.

Viskas būtų idealu, tačiau prieigos teisių sąrašas virsta sunkiai išsprendžiamu galvosūkiu. Vartotojų valdomuose įrenginiuose dėl IT raštingumo stokos įsiveisia ištisi zoologijos sodai, ką jau kalbėti apie asmeninius įrenginius. Auga trečiųjų šalių sistemų aptarnaujančio personalo skaičius. Tinkle atsiranda didelis kiekis naujų objektų – išmaniųjų lempučių, termostatų, medicinos įrenginių, kurie gali būti pažeidžiami iš išorės. Kaip nepasimesti šiame chaose?

Atsakymas į šį galvosūkį – vartotojų prieigos kontrolės sprendimai. Dar prieš 8 metus prieigos kontrolės tema buvo išties sudėtinga ir brangi. Daugumai Network Access Control (liet. tinklo prieigos kontrolės) sprendimų reikėdavo kelių komponentų: valdiklių, integruotų su vartotojų direktorija, specialių įrenginių (angl. enforcement points) tose tinklo vietose, kur norima valdyti vartotojų prieigą, programinės įrangos vartotojų kompiuteriuose. Kartu tokius sprendimus ribojo infrastruktūros elementų gamintojai bei taikomos technologijos. Gana neseniai situacija pasikeitė iš esmės. Tiek Cisco su ISE (Identity Service Engine), tiek Hewlett-Packard su Clearpass sprendimu į šį klausimą pažiūrėjo paprasčiau. Jie sugebėjo panaudoti standartines, plačiai paplitusias technologijas: IEEE 802.1X autentifikavimo protokolą, RADIUS serverius, vartotojų direktorijas, įprastas ugniasienes bei nuotolinės prieigos sprendimus. Abu gamintojai pateko į Gartner prieigos valdymo lyderių kvadratą. Atrodo, kad jų idėja ir jos įgyvendinimas pataikė tiesiai į dešimtuką.

Be to, tinklo prieigos kontrolės sprendimai gerokai atpigo, jie evoliucionavo ir išaugo savo pavadinimą – tapo tapatybių bei politikų valdymo sprendimais. Trumpai apžvelkime, kokias galimybes jie suteikia:

1.

Vartotojų prieigos valdymas laidiniuose, belaidžiuose ir nuotoliniuose tinkluose pagal dinamiškai valdomas taisykles. Tereikia sukurti vartotojų grupes, grupėms priskirti prieigos teises ir į grupes „sukelti“ vartotojus. Tinklo prieigos kontrolė jau veikia. Reikia pakoreguoti taisykles? „Click, click“ – problema išspręsta.

2.

Svečių prieigos valdymas.Viskas paprasta, jeigu svečiams norima suteikti galimybę naršyti. O jei jiems reikia suteikti prieigą prie vidinių įmonės resursų? ISE ir Clearpass suteikia tokią galimybę. Tokias taisykles netgi gali kurti ne tik IT administratoriai, bet ir paprasti darbuotojai, kurie savo svečiams kuria vienkartinius prisijungimo slaptažodžius.

3.

Trečiųjų šalių ir tiekėjų valdymas. Jeigu organizacijos sistemas prižiūri trečiosios šalys, kyla natūralus klausimas, kaip suteikti jiems prieigą tik prie tų sistemų, kurias jie prižiūri? Galima šias sistemas išskirti į atskirus potinklius, kurti VPN ACL taisykles. Kiekvieną kartą jas galima redaguoti ilgai barškinant klaviatūra ir stengiantis nepadaryti klaidų. Bet yra ir paprastesnis kelias!

4.

Sunku net įsivaizduoti, ką vartotojai veikia su savo asmeniniais arba darbiniais įrenginiais. Neretai IT specialistai pralaimi nelygioje kovoje su kolegų fantazija. Organizacijos tinkle atsiranda įrenginiai, apaugę įvairiausiais „gyvūnėliais“, nelegalia programine įranga. Tiek ISE, tiek Clearpass išsprendžia šią problemą vartotojo autentifikavimo metu tikrindami įrenginius: operacinės sistemos atnaujinimo būseną, tvarkyklių bei programinės įrangos sąrašus, antivirusinės sistemos būklę. Vartotojas, atitikęs kriterijus, gauna įprastas prieigos teises, jeigu ne – galima jo neprileisti prie tinklo arba leisti naršyti, pateikus atitinkamą įspėjimą (o gal ir vardinį kvietimą „ant kilimėlio“).

5.

Bring Your Own Device (BYOD) – šiuo terminu ir keturių raidžių abreviatūra IT gamintojai jau spėjo visiems išūžti galvas, tai tapo savotišku keiksmažodžiu. Ne veltui – vartotojai nori naudotis savo asmeniniais įrenginiais, todėl, suteikus jiems tokią galimybę, galima padidinti darbo našumą bei darbuotojų pasitenkinimą. Tačiau kaip suvaldyti šiuos įrenginius? Abu minėti sprendimai leidžia inventorizuoti vartotojų įrenginius ir jiems priskirti atitinkamas teises – lygiai taip pat paprastai kaip ir darbiniams.

Prieigos kontrolės sprendimų evoliucija pasiekė lūžio tašką, kai jie tapo prieinami visoms organizacijoms. Tereikia nedidelės investicijos, paprasto įgyvendinimo. Ir su vartotojiškai lengvu valdymu tampa įmanoma išspręsti daug problemų, amžinai nuodijančių IT skyriaus gyvenimą. Dar geriau ir efektyviau išnaudoti turimą infrastruktūrą, užtikrinti aukštesnį saugumo lygį, organizacijos veiklos tęstinumą bei ramų IT vadovų miegą.