воскресенье, 29 января 2012 г.

Управление правами доступа в QualysGuard

Выбор и правильная настройка прав управления любой системой защиты (да и обработки информации) вопрос очень важный, к нему стоит подходить со всей ответственностью. Однако, стоит 1 раз четко определить для себя основные правила (стандарты) настройки прав пользователей и ролей, а также процедуры управления правами доступа, как задачи управления системой станут простыми и процессы прозрачными и понятными для исполнителей.

В данном посте я расскажу про возможные варианты настройки прав доступа к QualysGuard и их особенности.


1. Принципы разделения прав доступа
Важно понимать 2 основных принципа разделения прав доступа в QualysGuard:

  • Разделение по доступным активам. По сути надо понимать, с какими активами (хостами) будет работать  (инвентаризация, сканирование, построение отчетов, устранение уязвимостей) пользователь. Тут можно разделять доступ по конкретным площадкам, например, при распределенной ИТ-инфраструктуре администраторы офиса А не должны видеть активы офиса Б, и/или по функциональным обязанностям, например, администраторам операционных систем серверов и рабочих станций незачем знать про уязвимости в сетевом оборудовании, за которое отвечают другие люди.
  • Разделение по задачам управления. Тут может быть разделение как по модулям QualysGuard (VM, PC, WAS, PCI) или непосредственно по функциональным задачам. Так, например, можно настроить чтобы сканирование проводили безопасники, ИТ-шники видели только задачи, которые им необходимо выполнить для устранения уязвимостей/несоответствий, а аудиторы могли бы только наблюдать за всем этим. 
2. Управление пользователями
Создание и редактирование пользователей системы доступно во вкладке Users.


1) Для нового пользователя необходимо указать основную информацию (General Information): Имя и Фамилию, должность, телефон, адрес эл.почты. Адрес компании и язык ставится автоматически, но это можно поменять. Заполнять поле Факс не обязательно.

2) Для пользователя выбирается роль (см.ниже) и "привязка" к бизнес единице (обычно берется определенный офис компании или группа офисов).

3) Далее настраиваются дополнительные разрешения для пользователя (Permissions):
  • Add assets
  • Create option profiles
  • Purge host information/history
  • Creat/edit remediation policy
  • Create/edit autentication recirds/vaults
  • Manage compliance
    • Accept/Reject expections
  • Manage web application
    • Create web applications
  • Create/edit virtual host 

4) В конце можно настроить дополнительные опции (Options): 
  • Различные виды уведомлений:
    • Latest Controls
    • Latest Vulnerabilities
    • Scan Complete Notification
    • Scan Summary Notification (vulnerability scan only)
    • Map Notifications
    • Report Notifications
    • Exeption Notification
    • Other Notification
  • Возможность использования VeriSign Identity Protection (VIP), сервис двухфакторной аутентификации
Первоначально имеет смысл настроить уведомления только о необходимых событиях, так как Qualys может частично "заспамить" почту ненужной информацией.


3. Стандартный перечень ролей в QualysGuard
На данный момент в QualysGuard предусмотрены следующие общие роли:
  • Manager. Роль с максимальными правами. По сути менеджер является главной ролью в системе, он может создавать новых пользователей, получать результаты о все сканированиях и работе пользователей, использовать все модули системы. 
  • Unit manager. По сути менеджер, но только для определенной группы активов.
  • Scanner. Данная роль может производить и получать результаты сканирования для доступных ему активов. 
  • Reader. Получает права чтения результатов сканирования для доступных ему активов.
  • Contact. Роль с минимальными правами.
  • Auditor. Роль доступна для модуля PC.
Иерархия ролей:

И еще 1 картинка:


Manager:
  • Имеет доступ к информации обо всех активах
  • Управляет пользователями и активами
  • Управляет подпиской QualysGuard
  • Типичная должность/статус: CSO; Начальник департамента ИБ
Unit manager:
  • Имеет доступ к информации обо всех активах своей зоны ответственности/группы (Unit)
  • Управляет пользователями и активами  своей зоны ответственности/группы
  • Типичная должность/статус: Начальник отдела ИБ филиала
Scanner:  
  • Базовая роль, позволяющая производить сканирование разрешенных активов и получать результаты
  • Типичная должность/статус: Администратор ИБ
Reader:
  • Права только на чтение отчетов и выполнение возложенных задач по устранению уязвимостей
  • Типичная должность/статус: Начальник департамента ИТ, Аудитор, Внешний консультант, Администратор ИТ.
Contact:
  • Не имеет доступа к интерфейсу управления QualysGuard 
  • Получает на эл.почту информацию о проведенных сканированиях (в том числе и маппинг сети).
  • Типичная должность/статус: Аудитор, Администратор ИТ, Сотрудник тех.поддержки
Auditor:
  • Управляет политиками PC и всеми соответствующими отчетами
  • Имеет доступ к информации о соответствии требованиям ИБ для всех активов в подписке
  • Типичная должность/статус: Внутренний аудитор; внешний аудитор/консультант

5. Подтверждение пользователя
После создания нового пользователя ему на указанный адрес эл.почты приходит письмо с одноразовой ссылкой и паролем. Пользователь должен перейти по ссылке, ввести пароль, проверить и дополнить информацию о себе.

6. Удаление пользователя
Manager и Unit Manager могут удалять пользователей выбором роли и нажатием на клавишу Actions->Delete. При этом можно удалить все связанные с данным пользователем задачи, результаты сканирования, группы активов, шаблоны отчетов и политик, или же передать их другому пользователю.


7. Общие рекомендации
  • Принцип "минимального необходимых прав доступа" всегда актуален.
  • Рекомендуется создавать дополнительного (резервного) пользователями с максимальными правами доступа (менеджер). Это желательно сделать для того, чтобы в случае утери пароля, можно было бы всегда восстановить доступ ко всем результатам работ (как вы знаете, что в случае утраты этого пароля-мастер ключа уже не возможно восстановить доступ ко всей информации в QualysGuard, так как она шифруется). Логин и пароль этого пользователя необходимо хранить в защищенном месте (тут даже подойдет распечатанный листок в сейфе).
  • Для каждого пользователя создавайте свой уникальный аккаунт или несколько. Не рекомендуется создавать учетные записи совместного использования даже для ролей с минимальным доступом.
  • Регулярно пересматривайте права доступа. Неактивные учетные записи удаляйте/блокируйте. Хотя, по умолчанию, QualysGuardи так это делает...
  • Желательно документировать корпоративный стандарт по настройке ролей. Особенно это актуально для больших компаний, в которых с QualysGuard работают много пользователей. Пример тут.
  • Желательно разработать инструкцию для каждой роли.
  • Использование двухфакторной аутентификации повышает безопасность. В Qualys есть возможность использовать соответстующий сервис (см. в п.4).


Комментариев нет:

Отправить комментарий