Введение в архитектуру кибербезопасности 0:00 Серия видеороликов о фундаментальных концепциях архитектуры кибербезопасности. Фокус на идентификации и управлении доступом IAM. Идентификация как новый периметр безопасности.
Основные компоненты IAM 0:36 Четыре «А»: администрирование, аутентификация, авторизация, аудит. Концептуальная архитектура высокого уровня.
Базовый уровень архитектуры 1:08 Хранение и синхронизация данных пользователей. Определение групп пользователей: сотрудники, поставщики, клиенты.
Типы пользователей и их потребности 1:59 Разделение сотрудников на администраторов, производственников, продавцов. Примеры потребностей пользователей: доступ к системам управления персоналом, электронной почте, CRM, финансовой системе.
Роль каталогов в IAM 3:28 Каталог как место хранения информации о пользователях. Необходимость базы данных, схемы и протокола для взаимодействия с каталогом. Протокол LDAP и Active Directory.
Синхронизация каталогов 5:06 Идеальная ситуация: один корпоративный каталог. Реальная ситуация: несколько каталогов в организации. Методы синхронизации: виртуальный каталог, метадиректория.
Администрирование и управление идентификацией 7:12 Создание, удаление, обновление учётных записей. Управление идентификацией и ролями. Распределение ИТ-ролей на основе бизнес-ролей пользователей.
Пример распределения ролей 8:54 Ввод пользователя в базу данных отдела кадров. Преобразование должностной роли в ИТ-роль. Назначение прав доступа на основе роли пользователя.
Процедура утверждения 9:57 Проверка активности пользователя в базе данных отдела кадров. Назначение учётной записи электронной почты сотрудникам. Подключение системы управления идентификационными данными к каталогу.
Создание учётной записи 10:53 Информация пользователя сохраняется в каталоге, что даёт соответствующие права доступа. Процесс утверждения учётной записи может быть сложным и требовать одобрения нескольких человек. После получения всех документов начинается создание учётной записи.
Расширение доступа 11:32 Сотрудник может запросить дополнительные права доступа через графический интерфейс. Запрос отражается в системе и проходит обычный процесс утверждения. Одобрение запроса предоставляет пользователю запрошенные права доступа.
Удаление доступа 12:51 При увольнении сотрудника система должна эффективно удалять его права доступа. Система управления идентификацией знает все учётные записи пользователя и отправляет запрос на их удаление. Удаление прав доступа происходит без необходимости утверждения запроса.
Аутентификация 14:31 Аутентификация определяет личность пользователя на основе знаний, наличия устройства или биометрических данных. Многофакторная аутентификация использует несколько факторов для повышения безопасности. Тенденция к аутентификации без пароля снижает риск утечки данных.
Единый вход 18:09 Единый вход упрощает доступ к нескольким системам, требуя только один пароль или используя многофакторную аутентификацию. Система единого входа предоставляет учётные данные для каждой системы, повышая безопасность и удобство для пользователя. Многофакторная аутентификация усложняет кражу пароля, делая доступ менее уязвимым.
Авторизация 20:30 Авторизация определяет, что пользователю разрешено делать. Технологии авторизации, основанные на риске, адаптивный доступ учитывают обстоятельства и характеристики пользователя. Пример: ограничение доступа из неизвестного места для снижения риска транзакций.
Управление доступом на основе риска 21:06 Риск оценивается по типу запроса: проверка баланса менее рискованна, чем перевод денег. Вводятся ограничения на сумму и частоту переводов для повышения безопасности. Используется сложный алгоритм авторизации для оценки прав доступа.
Управление привилегированным доступом PAM 21:54 PAM управляет доступом пользователей с высоким уровнем привилегий. Эти пользователи имеют доступ к корневым уровням серверов и могут контролировать сеть. Необходима дополнительная проверка для подтверждения их надёжности.
Проблемы с общими паролями 22:48 Многие организации используют общие пароли для привилегированных пользователей, что создаёт риски. При уходе сотрудника сложно изменить пароли и переобучить новых сотрудников. Невозможно определить, кто совершил нарушение, если пароли общие.
Решение с помощью PAM 24:35 Система PAM требует входа через систему PAM, а не напрямую. Многофакторная аутентификация усиливает безопасность. Пароли меняются при каждом использовании, что предотвращает злоупотребления.
Аудит и анализ поведения пользователей 27:05 Аудит регистрирует все действия пользователей в журналах. Аналитика поведения пользователя UBA выявляет аномалии и нарушения. Машинное обучение помогает анализировать закономерности в действиях пользователей.
Интеграция с внешними системами 29:00 Возможность объединения с облачными провайдерами и системами бизнес-партнёров. Использование стандартных отраслевых протоколов для интеграции. Enterprise Identity Management EIM объединяет управление идентификацией персонала и потребителей.
Заключение 30:33 Архитектура IAM применима ко всем случаям управления идентификацией и доступом. В следующих видео серии будет рассмотрена безопасность конечных точек.
