Корпоративные межсетевые экраны - ролевое управление доступом

Корпоративные межсетевые экраны - ролевое управление доступом

До сих пор в рекламе многих производителей межсетевых экранов (МСЭ) делается упор на моменты, которые уже давно стали стандартом де-факто и неотъемлемой частью любого МСЭ, представленного на рынке. Например, централизованное управление, инспекция разных сетевых и прикладных протоколов, поддержка NAT, интеграция с различными серверами аутентификации, фильтрация URL и т.д. Без этих свойств корпоративный МСЭ мало кому нужен. Зато остальные важные факторы, которые очень важны современному потребителю, обычно замалчиваются или утаиваются.

В первую очередь, корпоративному пользователю важна возможность одновременного доступа к консоли управления МСЭ разных администраторов. Ведь нередки ситуации, когда за разные МСЭ на разных площадках отвечают разные администраторы. При этом, внедрив систему централизованного управления ими, мы получаем единую точку входа, контроля и управления. И логично представить, что в один момент времени к этой центральной консоли могут получить доступ разные администраторы для управления своими участками защитной инфраструктуры. Не каждый производитель предлагает такую возможность. Развитием этой функции является ролевое управление доступом, когда разные администраторы носят разные "личины" - один отвечает за управление всеми межсетевыми экранами, например, в городе Когалым; другой может только проверять правила фильтрации, но не может их изменять, и т.д. Если привязывать эти настройки к конкретному пользователю, то с его увольнением, переходом на новую должность или временным отсутствием мы встаем перед проблемой повторного включения этих настроек для другого пользователя (а потом надо не забыть их отключить). Ролевое же управление лишено такого недостатка, так как мы создаем нужное нам количество ролей, а потом просто связываем пользователя с конкретной ролью, что выполняется всего в один-два клика мыши.

В корпоративном окружении есть возможность работы с одной консоли с разными политиками безопасности. Например, для МСЭ в Лангепасе должны быть одни правила и настройки, для московского МСЭ - вторые, для тверского - третьи и т.д. Держать для каждой политики свою консоль - не только сложно, но и довольно дорого. Гораздо проще выбрать МСЭ, система управления которого позволяет оперировать разными политиками безопасности. При этом даже увеличение числа управляемых точек не должно приводить к дополнительным финансовым затратам.

Источник: статья бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого "Корпоративные межсетевые экраны: из века XX в XXI", полный текст которой будет опубликован в №4 журнала "Information Security/Информационная безопасность".
 
По вопросам редакционного сотрудничества (написания или комментирования статей) обращайтесь к Марии Калугиной (kalugina@groteck.ru) по тел. (495) 609 3231
По вопросам размещения материалов в журнале обращайтесь к Оксане Царенко (marunina@groteck.ru) по тел. (495) 609 3231