- Вопрос или проблема
- Ответ или решение
- Понимание Step-up аутентификации с архитектурой NGAC/Policy Machine
- Введение
- Step-up аутентификация и сценарии разделения обязанностей
- Step-up аутентификация
- Разделение обязанностей (Separation of Duty)
- Традиционная модель ABAC и её ограничения
- NGAC и его особенности
- Ограничения и возможности NGAC
- Заключение
Вопрос или проблема
Примечание: Это не технический вопрос, а скорее попытка понять модель и её естественные ограничения.
Я думаю о сценариях повышения уровня авторизации и разделения обязанностей, где либо тот же человек, который инициировал операцию, должен подтвердить намерение с помощью многофакторной аутентификации, либо другой человек должен одобрить чувствительную операцию, инициированную кем-то другим.
В “традиционном” ABAC повышение уровня или одобрения могут быть реализованы с помощью обязательств: PDP отправляет PEP разрешения с обязательствами, такими как MFARequired или ExtraApproveRequired. Таким образом, PEP может взаимодействовать с пользователем для получения дополнительных доказательств аутентификации или отслеживать выполнение обязательства ExtraApproveRequired.
Если я правильно понимаю, в NGAC обязательства не предназначены для передачи PEP, поэтому нет естественного способа реализовать сценарии, которые я упомянул выше.
Я прав или есть способ обойти это?
Ответ или решение
Понимание Step-up аутентификации с архитектурой NGAC/Policy Machine
Введение
В условиях современного цифрового мира управление доступом и безопасность являются ключевыми аспектами защиты информации. Извините, если в предстоящем обсуждении это может выглядеть менее техническим, но это необходимо для понимания модели и её естественных ограничений. В данной статье мы подробно рассмотрим концепции Step-up аутентификации, разделения обязанностей и как эти элементы могут быть интегрированы в архитектуру NGAC (Next Generation Access Control) и Policy Machine.
Step-up аутентификация и сценарии разделения обязанностей
Step-up аутентификация
Step-up аутентификация представляет собой метод повышения уровня проверки подлинности пользователя в зависимости от риска или чувствительности выполняемой операции. Например, если пользователь начинает транзакцию, требующую доступа к конфиденциальной информации, ему может потребоваться пройти проверку с несколькими факторами аутентификации (MFA).
Разделение обязанностей (Separation of Duty)
Разделение обязанностей — это концепция, которая предполагает, что для выполнения определённых операций требуется участие более одного человека. Это помогает предотвратить злоупотребления и повышает уровень безопасности. В сценариях с разделением обязанностей может быть использовано два подхода:
- Одновременное подтверждение: х активирует операцию, и ему требуется подтвердить её через MFA.
- Необходимость одобрения другими пользователями: х инициирует операцию, но для её завершения требуется подтверждение от другого пользователя.
Традиционная модель ABAC и её ограничения
В традиционных системах борьбы с доступом, основанных на атрибутах (ABAC), такие возможности можно было бы реализовать через обязательства (obligations). Политики принимаются на уровне PDP (Policy Decision Point), и PEP (Policy Enforcement Point) получает разрешения с заданными обязательствами, такими как MFARequired или ExtraApproveRequired. Это позволяет PEP взаимодействовать с пользователями для получения дополнительных доказательств аутентификации или отслеживания выполнения обязательств.
NGAC и его особенности
В отличие от ABAC, NGAC представляет собой более продвинутую архитектуру, в которой концепция обязательств несколько изменена. Основная задача NGAC состоит в возможности гибкой конфигурации политик доступа на основе политики управления, которая основана на атрибутах, и привязывается к конкретным механизмам управления. Однако здесь существует ограничение — NGAC не предполагает отправку обязательств в PEP.
Ограничения и возможности NGAC
Вы правильно отметили, что в архитектуре NGAC не существует "естественного" пути для реализации сценариев, описанных выше. Однако есть некоторые способы обойти эту проблему:
-
Дополнительные уровни контроля: Можно создать дополнительные уровни управления, которые будут обрабатывать события, требующие повышенной аутентификации или одобрения. Например, PEP может быть интегрирован с системой, отслеживающей и инициирующей вызовы на основе контекста операций.
-
Использование триггеров и событий: Можно настроить систему на выдачу триггеров на основе специфических условий, таких как запуск чувствительной операции, что может инициировать проверки, как MFA, с помощью внешних инструментов аутентификации.
-
Интеграция с внешними системами: NGAC может быть интегрирован с внешними системами, выполняющими функции аутентификации и контроля, что позволит создать более сложные механизмы верификации и контроля, соответствующие требуемым сценариям.
Заключение
Хотя архитектура NGAC и Policy Machine имеет свои ограничения в поддержке сценариев Step-up аутентификации и разделения обязанностей, существуют способы их реализации через дополнительные компоненты и интеграции. Тем не менее, важно помнить, что внедрение подобной системы может потребовать дополнительных ресурсов и согласования бизнес процессов для достижения необходимого уровня безопасности и удобства использования. Это подчеркивает важность проекти мило управления доступом, который может быть оней на гибкости и масштабируемости для обслуживания современных требований безопасности.