Мы небольшая компания с доменом 2008R2, на котором у нас есть файловый сервер с несколькими общими томами. У нас есть несколько ИТ-специалистов в роли администраторов домена, потому что мы все на связи круглосуточно. Однако в последнее время стало проблемой политики компании, что существуют определенные папки или файлы (данные о зарплате, обзоры производительности, бухгалтерская информация), которые должны быть конфиденциальными, в том числе от ИТ-персонала. Сюда также входят данные о резервных копиях (на магнитной ленте и на диске).
То, что с нами произошло до сих пор:
* EFS - но нам нужно будет настроить PKI, что немного избыточно для размера нашей компании
* TrueCrypt - но это убивает одновременный доступ и возможность поиска
* Удалите администраторов домена из списков ACL - но это очень легко (одним щелчком мыши) обойти
* Отказ от использования группы администраторов домена и более явное делегирование разрешений - но опять же, это немного перебор, и мы хотим уменьшить потребность в общих учетных записях (например, MYDOMAIN \ Administrator), насколько это возможно, по причинам аудита
Я уверен, что это не новая проблема, и мне любопытно, как другие люди с такими требованиями справились с ней? Есть ли варианты, которые мы еще не рассмотрели?
Спасибо!
Я видел это двумя способами:
Конечно, у обоих есть свои проблемы. Первый метод - это то, что я избрал на двух предыдущих работах в крупных организациях. Рассуждения были в основном:
Доступ и Авторизация это разные вещи. Если они получают доступ к этим данным без авторизации, у них большие проблемы. Также это люди, у которых уже есть доступ к огромным объемам данных, для которых они не уполномоченный, так что для них это не новая проблема. Поэтому мы будем доверять им, чтобы они не вмешивались и относились к этому профессионально.
Это одна из причин, по которой люди на нашей работе, как правило, подвергаются проверке биографических данных.
Это стало очевидным, когда кто-то из самого отдела кадров начал процесс работы, и ИТ-персонал был вызван, чтобы настроить разрешения, чтобы заблокировать этого пользователя от мест расположения файлов, где были задокументированы действия. Несмотря на то, что такое разбирательство является конфиденциальным от него, мы были специально приглашены, чтобы настроить правильные исключения.
Это был случай явного конфликта интересов
Второй вариант обычно используют отделы без консультации с ИТ. 10 лет назад это стремление к защите данных от всевидящего ока предполагаемого BOFH заставляло людей размещать критически важные данные на дисках своих рабочих станций и совместно использовать каталоги между собой в отделе. В наши дни это может быть что-то столь же простое, как общая папка DropBox, Microsoft SkyDrive или что-то еще в этом роде (мммм, кража данных компании непроверенным третьим лицам).
Но если руководство увидело проблему и поговорило со всеми об этом, каждый случай, с которым я был связан или близок, сводился к следующему: «Мы доверяем этим людям не просто так, просто убедитесь, что они полностью осведомлены о политиках доступа. и двигайся дальше ".
Во-первых, вы должны доверять своим администраторам. Если вы этого не сделаете, у них не должно быть этой работы или этих привилегий. Компания доверяет финансовому персоналу или сотруднику отдела кадров, имеющему доступ к этим данным, так почему бы не ИТ-персоналу? Напомните им, что администраторы имеют возможность каждый день уничтожать производственную среду, но не хотят этого делать. Важно, чтобы руководство четко понимало эту проблему.
Затем, как говорит @ sysadmin1138, напомните администраторам, что доступ НЕ равен разрешению.
Тем не менее, мы не предоставляем администраторам домена доступ к общим файловым ресурсам по умолчанию. Они удаляются и вместо них используются три группы ACL (чтение, запись, администрирование) для каждой разделяет разрешения NTFS. По умолчанию никто не входит в группу администраторов ACL, и членство в этих группах отслеживается.
Да, администраторы домена могут владеть этими файлами, но это оставляет след. Аудит важен. Рональд Рейган назвал это «доверяй, но проверяй». Люди должны знать, что вы проверяете.
Наконец, начните удалять людей из администраторов домена. Сегодня разрешения AD слишком легко детализировать. нет причин не делать этого. Предоставьте людям административный доступ к серверам или службам, которыми они управляют, а не ко всему.
У меня есть пять потенциальных решений, четыре из которых технические.
(1) Создайте лес AD и другой домен, специфичный для привилегированной информации. При необходимости повторите, чтобы охватить конкретные сообщества, представляющие интерес. Это добавит новую роль над администраторами домена - администраторами предприятия, которые могут быть дополнительно разделены и даже подразделены.
Плюсы:
Минусы:
(2) Создайте автономный сервер без доверительных отношений, кроме отдельных пользователей.
Плюсы:
Минусы:
(3) Приобретите продукты одного из различных типов сетевых хранилищ, например Cyber-Ark. Эти продукты специально разработаны для обсуждаемого вами варианта использования.
Плюсы:
Минусы:
(4) Поместите всю информацию в базы данных, затем используйте надежное шифрование для шифрования всего содержимого базы данных или используйте продукт для полного шифрования диска, чтобы лучше контролировать доступ к файловой системе вместе с (1) и / или (2) выше.. Дополните это политикой, запрещающей удаление содержимого базы данных открытым текстом и требующей, чтобы отчеты оставались в базе данных. Продукт шифрования может включать в себя надежные модули шифрования, такие как FIPS 140-2, а также может быть физическим устройством, например, аппаратным модулем безопасности (HSM).
Плюсы:
Минусы:
(5) Компенсация за контроль безопасности - усиление контроля безопасности персонала например, добавление страховки от несанкционированного доступа к информации, добавление определенных требований для двух человек (может быть выполнено разными способами), другой роли (администратор безопасности) или дополнительной проверки фона. Более креативные варианты включают в себя золотой парашют, который сработает после ухода из компании без утечки информации через год после отставки / увольнения, или большее внимание, уделяемое тому, чтобы администраторы были счастливы в целом с помощью некоторых специальных льгот, связанных с ними. кадровые потребности.
Плюсы:
Минусы:
Как только кто-то получает права администратора, все ставки в плане безопасности отменены. Именно поэтому администраторам необходим такой высокий уровень доверия - всегда есть способы обойти любые блоки, которые можно установить.
Все, что вы действительно можете сделать, это разделить обязанности и создать систему сдержек и противовесов.
Например, вы можете использовать вторичную систему ведения журнала (такую как Splunk или сервер системного журнала Linux), к которой только ваш президент / кто-либо имеет доступ, и настраивать аудит файлов для ваших безопасных каталогов.
Удалите администраторов из списков ACL и отправьте изменения в ACL серверу журналов. Это не остановит событие, но у вас будет точный журнал о том, кто когда и как изменил разрешения.
Чем больше этих блоков вы установите, тем больше вероятность, что кто-то наткнется на один из них.
Вы должны знать, что человек с таким уровнем привилегий может получить доступ к данным в общих файловых ресурсах Windows независимо от разрешений безопасности файлов / папок. Это связано с привилегиями, которые могут быть предоставлены в Windows, когда доступно право «Резервное копирование файлов и каталогов».
Имея это право, кто-то может просто сделать резервную копию файлов и восстановить их в другом месте. И за дополнительную плату они могут выполнять это как запланированную задачу, выполняемую как система, так что это будет менее чем очевидно во время аудита. Если бы это был не вариант, они могли бы иметь доступ к системе резервного копирования и восстанавливать данные оттуда в место, которое не может быть проверено.
Без EFS вы не сможете полагаться на файловую систему, чтобы гарантировать конфиденциальность, разрешения, аудит и т. Д.
Вариант SkyDrive, который sysadmin1138 мне понравился для документов. Количество действительно конфиденциальных документов обычно невелико, и SkyDrive предоставляет вам 7 ГБ бесплатно (максимум 2 ГБ файла). Для системы учета эти данные должны быть защищены в реальной базе данных с помощью некоторого уровня шифрования и аутентификации, которые не позволили бы доступ администратору Windows.