21 августа, 2019, BIS Journal №3(34)/2019

Куда? Кому? Как?


Степанова Екатерина

Ведущий консультант ДИБ (АМТ-ГРУП)

Петлякова Анастасия

Консультант ДИБ (АМТ-ГРУП)

В вашей сети.

Регулярно в своей работе мы сталкиваемся с, казалось бы, таким простым, но таким важным процессом предоставления сетевого доступа. При незначительных масштабах компании управление доступом серьезных проблем не вызывает, но, когда число пользователей, систем и узлов исчисляется тысячами, расширяется «зоопарк» устройств, а топология сети становится слишком запутанной, процедура настройки сетевого взаимодействия занимает значительно больше усилий и времени, чем предполагалось. Это может привести к ситуации, когда на момент предоставления доступа потребности в нём уже нет, что неминуемо повысит уровень недовольства конечных пользователей и вполне вероятно окажет влияние на бизнес в целом.

Осознание проблемы и стремление найти её решение приводит к пониманию необходимости автоматизации процесса. На рисунке 1 приведена упрощенная модель процессов предоставления услуг, связанных с управлением сетевым доступом.

Рисунок 1. Укрупненная модель процессов предоставления услуг, связанных с управлением сетевым доступом

 

В настоящий момент на рынке представлено несколько решений, позволяющих автоматизировать процесс управления сетевым доступом. С некоторыми сценариями использования систем данного класса можно ознакомиться в статье М. Ксенофонтова «Что? Где? Куда? в вашей сети» (BIS Journal №2/2019).

Стоит отметить, что, как и в любом проекте по внедрению программного продукта, путь от идеи до успешного функционирования достаточно долог и тернист. Все прекрасно знают, какие стадии проходит такой проект:

  • предпроектное обследование и актуализация процессов;
  • составление технического задания;
  • внедрение системы и её сопровождение.

Однако специфика проекта по внедрению систем управления доступом такова, что нельзя недооценивать важность первого этапа: после изучения особенностей бизнес-процессов компании и проведения интервью с ключевыми сотрудниками заказчика необходимо выявить области для улучшения или формализации, а также идентифицировать справочники (например, CMDB) и правила, которыми руководствуются исполнители, и смежные процессы, в рамках которых предъявляются требования к рассматриваемому. Это позволит быть уверенным, что на выходе будет получен не стихийный процесс или автоматизированный хаос, а гибкое и качественное решение. Схема актуализации приведена на рисунке 2.

Рисунок 2. Актуализация процесса управления сетевым доступом

 

К примеру, если рассматривать процесс управления сетевым доступом более детально, то недостаточная проработка на одном из начальных этапов -  этапе оценки допустимости запроса и опасности маршрута прохождения трафика с учётом действующих в компании правил информационного взаимодействия сетевых сегментов и «лучших практик» - может привести к снижению уровня защищенности сети в целом, в то время как качественный анализ требует методической базы, учета большого числа параметров и, соответственно, может привести к задержке в предоставлении услуги.

К тому же, ввиду того, что предоставление доступа находится на стыке информационной безопасности (ИБ) и информационных технологий (ИТ), возникает необходимость разграничения ответственности между исполнителями, определения их функциональности и закрепления её в инструкциях для каждой бизнес-роли рассматриваемого процесса.

 

Что же даёт актуализация процесса управления сетевым доступом?

  • понимание сфер ответственности исполнителей;
  • структурированность и порядок в предоставлении сетевого доступа;
  • обеспечение прозрачности процесса и высокой скорости настройки сетевого доступа;
  • снижение рутинной нагрузки на специалистов.

 

После того, как процесс отлажен и автоматизирован, четко регламентировано, чем руководствоваться исполнителю, трудностей не возникает – минимизируется вероятность и количество ошибок и уязвимостей, а также появляется возможность, а главное – ресурсы для реализации процедур, повышающих безопасность и надежность сети, внедрение которых ранее было невозможно из-за трудоемкости ручного сбора и анализа  данных для обработки запроса на сетевой доступ.

Другим примером функции, которую позволяют осуществлять детальная проработка процесса предоставления доступа и применение систем управления доступом, является функция контроля сетевых доступов с точки зрения их избыточности и несоответствия бизнес-процессам компании – аудит настроек межсетевых экранов (МСЭ).

На рисунке 3 схематично изображена процедура устранения несоответствий в ходе проверки легитимности внесенных изменений в настройки МСЭ.

Рисунок 3. Устранение несоответствий фактических настроек и базы запросов на изменение

 

Проведение регулярного аудита вручную затруднительно ввиду ограниченности человеческих ресурсов, ведь аудитору ИБ необходимо сопоставлять изменения конфигураций МСЭ и базы запросов на изменение. С другой стороны, важность проведения систематических проверок заключается в том, что процессы контроля способствуют повышению уровня безопасности компании. И только внедрив соответствующее потребностям средство автоматизации, будь то Algosec, Tufin или Skybox, можно системно и качественно решить задачу аудита сетевого доступа.

Подробное описание данного процесса, подготовка методики устранения несоответствий, разграничение зон ответственности позволяют работать качественно, быстро и безопасно.

Таким образом, для полноценного функционирования систем управления сетевым доступом их внедрение должно сопровождаться интеграцией в другие системы компании не только в технической части, но и в процессной. Такой комплексный подход позволит реализовать гибкие сценарии работы и более зрело решать возникающие проблемы, снизит нагрузку на ИТ- и ИБ-специалистов компании и даст прогнозируемые сроки для решения задач, а также уверенность в успешном результате проекта.

 

Смотрите также

Что? Где? Куда?

13 июня, 2019
Подпишись на новости!
Подписаться