Подъемная аутентификация с архитектурой NGAC/Policy Machine

Содержание

Вопрос или проблема
Ответ или решение
Понимание Step-up аутентификации с архитектурой NGAC/Policy Machine
Введение
Step-up аутентификация и сценарии разделения обязанностей
Step-up аутентификация
Разделение обязанностей (Separation of Duty)
Традиционная модель ABAC и её ограничения
NGAC и его особенности
Ограничения и возможности NGAC
Заключение

Вопрос или проблема

Примечание: Это не технический вопрос, а скорее попытка понять модель и её естественные ограничения.

Я думаю о сценариях повышения уровня авторизации и разделения обязанностей, где либо тот же человек, который инициировал операцию, должен подтвердить намерение с помощью многофакторной аутентификации, либо другой человек должен одобрить чувствительную операцию, инициированную кем-то другим.

В “традиционном” ABAC повышение уровня или одобрения могут быть реализованы с помощью обязательств: PDP отправляет PEP разрешения с обязательствами, такими как MFARequired или ExtraApproveRequired. Таким образом, PEP может взаимодействовать с пользователем для получения дополнительных доказательств аутентификации или отслеживать выполнение обязательства ExtraApproveRequired.

Если я правильно понимаю, в NGAC обязательства не предназначены для передачи PEP, поэтому нет естественного способа реализовать сценарии, которые я упомянул выше.

Я прав или есть способ обойти это?

Ответ или решение

Понимание Step-up аутентификации с архитектурой NGAC/Policy Machine

Введение

В условиях современного цифрового мира управление доступом и безопасность являются ключевыми аспектами защиты информации. Извините, если в предстоящем обсуждении это может выглядеть менее техническим, но это необходимо для понимания модели и её естественных ограничений. В данной статье мы подробно рассмотрим концепции Step-up аутентификации, разделения обязанностей и как эти элементы могут быть интегрированы в архитектуру NGAC (Next Generation Access Control) и Policy Machine.

Step-up аутентификация и сценарии разделения обязанностей

Step-up аутентификация

Step-up аутентификация представляет собой метод повышения уровня проверки подлинности пользователя в зависимости от риска или чувствительности выполняемой операции. Например, если пользователь начинает транзакцию, требующую доступа к конфиденциальной информации, ему может потребоваться пройти проверку с несколькими факторами аутентификации (MFA).

Разделение обязанностей (Separation of Duty)

Разделение обязанностей — это концепция, которая предполагает, что для выполнения определённых операций требуется участие более одного человека. Это помогает предотвратить злоупотребления и повышает уровень безопасности. В сценариях с разделением обязанностей может быть использовано два подхода:

Одновременное подтверждение: х активирует операцию, и ему требуется подтвердить её через MFA.
Необходимость одобрения другими пользователями: х инициирует операцию, но для её завершения требуется подтверждение от другого пользователя.

Традиционная модель ABAC и её ограничения

В традиционных системах борьбы с доступом, основанных на атрибутах (ABAC), такие возможности можно было бы реализовать через обязательства (obligations). Политики принимаются на уровне PDP (Policy Decision Point), и PEP (Policy Enforcement Point) получает разрешения с заданными обязательствами, такими как MFARequired или ExtraApproveRequired. Это позволяет PEP взаимодействовать с пользователями для получения дополнительных доказательств аутентификации или отслеживания выполнения обязательств.

NGAC и его особенности

В отличие от ABAC, NGAC представляет собой более продвинутую архитектуру, в которой концепция обязательств несколько изменена. Основная задача NGAC состоит в возможности гибкой конфигурации политик доступа на основе политики управления, которая основана на атрибутах, и привязывается к конкретным механизмам управления. Однако здесь существует ограничение — NGAC не предполагает отправку обязательств в PEP.

Ограничения и возможности NGAC

Вы правильно отметили, что в архитектуре NGAC не существует "естественного" пути для реализации сценариев, описанных выше. Однако есть некоторые способы обойти эту проблему:

Дополнительные уровни контроля: Можно создать дополнительные уровни управления, которые будут обрабатывать события, требующие повышенной аутентификации или одобрения. Например, PEP может быть интегрирован с системой, отслеживающей и инициирующей вызовы на основе контекста операций.
Использование триггеров и событий: Можно настроить систему на выдачу триггеров на основе специфических условий, таких как запуск чувствительной операции, что может инициировать проверки, как MFA, с помощью внешних инструментов аутентификации.
Интеграция с внешними системами: NGAC может быть интегрирован с внешними системами, выполняющими функции аутентификации и контроля, что позволит создать более сложные механизмы верификации и контроля, соответствующие требуемым сценариям.

Заключение

Хотя архитектура NGAC и Policy Machine имеет свои ограничения в поддержке сценариев Step-up аутентификации и разделения обязанностей, существуют способы их реализации через дополнительные компоненты и интеграции. Тем не менее, важно помнить, что внедрение подобной системы может потребовать дополнительных ресурсов и согласования бизнес процессов для достижения необходимого уровня безопасности и удобства использования. Это подчеркивает важность проекти мило управления доступом, который может быть оней на гибкости и масштабируемости для обслуживания современных требований безопасности.