Первый взгляд на динамический контроль доступа в Windows Server 2012
Введение
Еще в октябре я разместил в блоге Windows Security рекламу о появлении новых элементов управления безопасностью в Windows Server 2012 и, в частности, о функции динамического контроля доступа (DAC), которая помогает администраторам создать более централизованную модель безопасности для доступа к файлам и папкам. DAC является ключевым компонентом Active Directory 8. Его отличие состоит в том, что он автоматизирует маркировку конфиденциальных данных.
Мы все знаем, что автоматизация безопасности помогает устранить фактор человеческой ошибки, который может привести к неожиданным нарушениям безопасности, а огромный объем данных, хранящихся на современных корпоративных серверах, делает практически невозможным вручную определить конфиденциальность каждого отдельного файла и уровень безопасности. защиты, которая ему требуется. Однако автоматизированные процессы также не всегда могут перехватывать все конфиденциальные файлы. Вот почему Dynamic Access Control позволяет сочетать ручную и автоматическую маркировку, а также маркировку конфиденциальных данных на основе приложений.
DAC особенно полезен для управления данными, которые распределены по множеству файловых серверов и местоположений, что становится все более распространенным явлением с появлением облачных вычислений. С помощью DAC вы можете установить политики для управления доступом к файлам, которые применяются во всем домене ко всем файловым серверам. Это в дополнение к традиционным разрешениям NTFS и разрешениям общего доступа, которые мы использовали в течение многих лет, с централизованными политиками, имеющими приоритет. Это добавляет еще один уровень безопасности для данных.
Как это работает
DAC использует улучшенный аудит и проверку подлинности на уровне файлов Windows Server 2012 для маркировки файлов на основе таких критериев, как содержимое и создатель. Могут быть идентифицированы конкретные типы данных; например, номера социального страхования, номера банковских счетов или номера кредитных карт будут помечены как конфиденциальные. Администраторы также могут указать, что тегами должны быть отмечены все файлы определенного типа/расширения, или же тегами могут быть отмечены только документы, содержащие определенные ключевые слова. Маркировка и категоризация данных уже знакомы из Windows Server 2008, но Windows Server 2012 выводит их на новый уровень.
Идентификация и маркировка данных — это первый шаг. Вы можете указать, чтобы все данные, относящиеся к персоналу, были помечены тегом «Персонал», чтобы финансовые данные были помечены тегом «Финансы» и т. д. После этого центральные политики могут ограничивать доступ к этим файлам на основе различных критериев. Можно ограничить определенных пользователей или всех пользователей в определенной группе или отделе. Например, вы можете указать, что только пользователи, принадлежащие к группе «Финансы» и имеющие соответствующие разрешения NTFS и общего доступа, смогут получить доступ к файлам с тегами «Финансы». Доступ также может быть ограничен на основе устройств, а не пользователей.
Элементы управления доступом на основе утверждений также могут работать в сочетании с другими технологиями Microsoft, такими как службы управления правами (RMS). Документы Office с тегами могут быть защищены с помощью службы управления правами, поэтому после того, как они будут переданы другим пользователям, вы по-прежнему сможете управлять тем, что с ними могут делать другие. DAC защищает документы, пока они находятся на сервере Windows 8, а RMS защищает их, когда они отправляются за пределы организации.
Наконец, политики аудита можно также применять ко всем серверам в вашей организации, которые работают с тегами файлов и утверждениями пользователей и устройств.
Ставка ваших претензий
DAC основан на новой (по отношению к модели проверки подлинности основного сервера Microsoft) концепции управления доступом на основе утверждений, представленной Самуэлем Девасахаямом и Ниром Бен Цви на конференции BUILD 2011. Возможно, вы уже знакомы с аутентификацией на основе утверждений, которая использовалась в Интернет-безопасность появилась довольно давно и была реализована несколько лет назад в SharePoint 2010, построенном на основе Windows Identity Foundation (WIF) и служб федерации Active Directory.
Проверка подлинности на основе утверждений зависит от надежного поставщика удостоверений. Поставщик удостоверений аутентифицирует пользователя, а не каждое приложение. Поставщик удостоверений выдает пользователю маркер, который затем пользователь предоставляет приложению в качестве подтверждения личности. Идентификация основана на наборе информации, которая в совокупности идентифицирует конкретный объект (например, пользователя или компьютер). Каждая часть информации называется претензией. Эти утверждения содержатся в токене. Токен в целом имеет цифровую подпись поставщика удостоверений для проверки подлинности содержащейся в нем информации.
Windows Server 2012 превращает утверждения в атрибуты Active Directory. Эти утверждения можно назначать пользователям или устройствам с помощью центра администрирования Active Directory (ADAC). Поставщиком удостоверений является служба маркеров безопасности (STS). Утверждения хранятся в билете Kerberos вместе с идентификатором безопасности пользователя (SID) и членством в группах.
После того как данные идентифицированы и помечены — автоматически, вручную или приложением — и выпущены токены утверждений, вступают в действие созданные вами централизованные политики.
Политики централизованного доступа
Большим преимуществом централизованных политик доступа DAC является гибкость, позволяющая определять условия гораздо более детально. Вы можете создавать политики для применения к каждой из классификаций, на которые разделены ваши файлы. Эти политики могут основываться на утверждениях пользователей и устройств и тегах файлов. Вы можете использовать регулярные выражения, чтобы значительно упростить процесс, например, указать, что пользователи должны принадлежать к двум определенным группам, чтобы получить доступ к файлу, используя выражение AND. NTFS в Windows Server 2012 пришлось изменить, чтобы это работало с ACL файловой системы. Это огромное изменение файловой системы Windows и модели управления доступом. Это должно облегчить некоторые проблемы, связанные с наличием слишком большого количества групп безопасности, и путаницу, возникающую в результате наличия пользователей в нескольких группах.
Недостатком является то, что из-за изменений в коде, которые были необходимы, чтобы заставить это работать, это означает, что централизованные политики доступа могут применяться только к файлам, которые находятся на серверах Windows 8. Теги управления доступом по-прежнему сохраняются, когда файлы находятся на серверах, отличных от Windows 8, но политика больше не применяется.
ЦАП и PowerShell
Все мы знаем, что Microsoft сделала упор на PowerShell как на предпочтительный метод управления Windows Server в будущем, и, следовательно, количество команд PowerShell было увеличено. Многие из новых командлетов относятся к динамическому контролю доступа. Некоторые из них включают:
Add-ADCentralAccessPolicyMember
Add-ADResourcePropertyListMember
Clear-ADClaimTransformLink
Get-ADCentralAccessPolicy
Get-ADCentralAccessRule
Get-АДклаимтрансформполици
Get-ADClaimType
New-ADCentralAccessPolicy
New-ADCentralAccessRule
New-ADClaimTransformPolicy
New-ADClaimType
Наряду с командлетами Remove- и Set-.
Резюме
Динамический контроль доступа потенциально является одним из самых мощных новых инструментов, которые администраторы Windows Server 2012 и специалисты по безопасности смогут использовать в сетях на базе Windows — как в традиционных центрах обработки данных, так и в публичном и частном облаке — чтобы приблизить безопасность к данным, которые она направлена на защиту. По мере того, как важность периметров начинает исчезать, а акцент смещается на защиту конкретных активов, усиление безопасности на уровне файлов станет важным компонентом общей стратегии безопасности для организаций, которые должны сохранять конфиденциальность конфиденциальных данных. Хотя это имеет смысл с точки зрения бизнеса для всех организаций, для многих это больше не является необязательным из-за увеличения государственных и отраслевых нормативных требований, которые требуют возможности показать, что вы внедрили высокий уровень безопасности для клиентской информации, определенных типов записей ( такие как медицинские или финансовые записи) и другие указанные типы данных.
Модель на основе утверждений, реализованная с помощью DAC, добавляет еще один уровень защиты, который не усложняет работу ИТ-администратора, а на самом деле упрощает закрытие лазеек и понимание того, кто имеет доступ к чему, и внесение исправлений там, где это необходимо.
Чтобы узнать больше о том, как управление доступом на основе утверждений можно использовать в «реальном мире» для повышения соответствия требованиям и ужесточения управления информацией, обязательно ознакомьтесь с презентацией BUILD 2011 по этому вопросу, которую вы найдете здесь.