Article Options
Biztonsági Termékek és Szolgáltatások
Fedezze fel az IT Biztonsági Termékek és Szolgáltatások Magyarország Blogot, mely a biztonsági termékekkel és szolgáltatásokkal kapcsolatos tanácsokkal és technológiai trendek elemzésével hív aktív párbeszédre.

Magas jogosultságú fiókok (3 .rész) - Csörgő Zoltán

krasznay| February 2, 2011 - last edited February 10, 2011
Post a Comment
0

Az előző bejegyzésben a magas jogosultságú accountokkal kapcsolatos általános irányelveket ismertük meg, a következőkben pedig konkrétabban kitérünk a biztonsági szabályokra és a betartás módjára.


A hozzáférések kezelésének szabályozása

  • Szabályzatba kell foglalni  minden, valamely informatikai erőforráshoz hozzáférést biztosító account kezelésének módját. A szabályzatnak összhangban kell lennie a szervezet biztonsági szabályzatával. Le kell írni a kiemelt jogosultságú accountokkal kapcsolatos feladatokat, mint létrehozás, módosítás, törlés, ellenőrzés és időszakos felülvizsgálat, valamint a folyamatokhoz kapcsolódó feladatok, felelősök, jóváhagyók stb. Pontos írásbeli szabályozás nélkül nem várhatjuk el, hogy egy rendszer üzemeltetői olyan, számukra extra feladatokat végezzenek, mint például egy új szerviz-account létrehozásának megfelelő dokumentálása.

Post it note password.jpgFelhasználók regisztrálása

  • Minden felhasználó kapjon egyedi azonosítót. Kiemelném, hogy csoportok feljogosítása erősen ellenjavallt, ha mégis elkerülhetetlen, akkor azt a létrehozás okával együtt dokumentálni szükséges, hogy a felülvizsgálatok során ellenőrizhető legyen, vajon még mindig indokolt-e a csoport használata.
  • A többek által használt kiemelt jogosultságú account ilyen szempontból csoportnak számít, hiszen nem köthető egy felhasználóhoz. Az ilyen accountok mindennapi használatát kerülni kell, lehetőleg az üzemeltetőknek is személyükhöz kötött accountokkal kell végezniük mindennapi feladataikat.


Feljogosítás

  • Az accountok feljogosítására csak az igényelt hozzáférések szabályzat szerinti jóváhagyása után kerülhet sor. Vagyis bármennyire is szükséges valamilyen még meg nem szerzett jogosultság egy üzemeltető számára, annak biztosítására csak jóváhagyás után nyílhat lehetőség. Persze lehet vitatni ennek az elvárásnak az életszerűségét.


Felülvizsgálat

  • Mint minden kiadott felhasználói jogosultságot, a kiemelt felhasználók jogosultságait is időről időre felül kell vizsgálni, sőt ezeket gyakrabban, mint az általános felhasználói jogosultságokat. Mindemellett az üzemeltetők felelősségi körében beállt változásoknak megfelelően, adott változást követően szintén meg kell tenni a, már nem szükséges jogosultságok visszavonását. Egyébként érdemes belegondolni, hogy pozícióváltást követően milyen arányban állnak az új jogosultsági igények és a visszavonási kérelmek a gyakorlatban.


Jelszókezelés

  • A legkritikusabb területek egyike, mert hát amit két ember tud, az már nem titok. Alapvető elvárás mégis, hogy azon csoporton kívül, akinek joga van (jóváhagyott módon) ismerni adott account jelszavát, más azt ne ismerhesse meg.


A jelszó legyen elég bonyolult!

  • Rendszeresen frissítsük a jelszavakat, főleg olyankor amikor azt ismerők közül valakinek megváltozik a jogosultsági köre. Továbbá a gyári jelszavakat mindig változtassuk meg, mivel ezeket sok illetéktelen személy is ismerheti (pl. egy-egy router alap jelszava).
  • Jelszót csak biztonságosan tárolhatunk. Bizonyos jelszavakat viszont hosszasan tárolnunk is kell (pl.: egyes szervizek jelszavai), és vannak olyan jelszavak is, amelyeket senki sem ismerhet, mégis bizonyos körülmények között használnunk kell (mint például a vészhelyzeti accountok jelszavai). Ezeket az igényeket különböző procedúrák meghatározásával és lefolytatásával biztosíthatjuk.


Naplózás

  • Amit megakadályozni nem tudunk, azt legalább lássuk. Vagyis minden kiemelt jogosultságot igénylő művelet kerüljön naplózásra úgy, hogy a bejegyzések a forrástól távol, a forrásrendszer adminisztrátorai számára meg nem változtatható módon tárolódjanak.
  • Amint talán látszik, a fenti kontrollok jó része az események személyhez köthetőségét igyekszik biztosítani. Ennek egyszerű a magyarázata, mégpedig a számon kérhetőség (accountability) biztosítása. Abban az esetben ugyanis, ha valaki akár szándékosan, akár véletlenül kárt okoz, fontossá válik, hogy:
  1. nagy biztonsággal meg tudjuk határozni, mi történt - azért, hogy ne fordulhasson elő ismét ilyen eset.
  2. nagy biztonsággal meg tudjuk  állapítani, ki hibázott - azért, hogy el tudjuk dönteni, mi volt az eset oka, és ennek megfelelően felelősségre vonhassuk a felelőst.
  • A biztonsági esemény hátterének felderítése, vagy a felelősségre vonás elmaradása ugyanis ugyanolyan hatással van a biztonsági morálra, mintha nem tudtuk volna kideríteni, mi történt, vagy ki a felelős az esetért. Abban az esetben, ha végül nem kerül sor valamiféle felelősségre vonásra, nincs mit mérlegre tenni, amikor egy szabály megsértésének következményeit mérlegeli valaki, vagyis szinte teljesen elvész a biztonsági rendszerek visszatartó ereje - többek között ezért is nagyon fontos a biztonsági események felderítése.

 

  • Az itt felsorolt elvárásoknak való megfelelés meglehetősen komoly erőfeszítéseket igényel, de azt gondolom, hogy számos megfontolandó szabályt találunk a szabványainkban. Legközelebb arról fogok írni, hogy milyen megoldásokban gondolkodhatunk.

 

Tags: account| admin| adminisztrátor| fiók| hpa| View All (7)
Leave a Comment

We encourage you to share your comments on this post. Comments are moderated and will be reviewed
and posted as promptly as possible during regular business hours

To ensure your comment is published, be sure to follow the community guidelines.
Be sure to enter a unique name. You can't reuse a name that's already in use.
Be sure to enter a unique email address. You can't reuse an email address that's already in use.
Type the characters you see in the picture above.Type the words you hear.
 
Search
turn on suggestions Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.

About Channel HP Subscribe

Connect with technologists and business leaders from across HP and around the world. Channel HP brings you blogs about a variety of subjects, written by the people at HP. Please read our community guidelines here and legal information here.

Follow Us