Аутентификация, авторизация и аудит

Аутентификация, авторизация и аудит, широко известные как ААА показаны на рисунке 7.2. Это те принципы, которые позволяют нам практически осуществлять защиту данных. Это средства, с помощью которых мы можем контролировать и отслеживать, как и кто обращается к нашим данным, таким образом позволяя нам обеспечить соблюдение политики, которые мы создали для сохранения данных в безопасности. Аутентификация является средством, с помощью которого мы проверяем личность индивида или системы, с помощью представленных наборов учетных данных. Очень частой реализацией схемы аутентификации является сочетание логина и пароля. В данном конкретном случае логин пользователя уникален и проверяется паролем, выданным пользователю. Общей реализацией аутентификации, используемой Министерством обороны США (МО) являются общие карты доступа (ОКД). ОКД, которые иногда еще называют CAC-картами, имеют области хранения, которые могут быть использованы для хранения учетных данных, таких как сертификаты, и может также использоваться с дополнительными формами аутентификации, такие как персональный идентификационный номер (PIN). Также сейчас часто используются другие аппаратные средства идентификации, один из наиболее известных — RSA SecureID.

Рисунок 7.2 — ААА.

Одним из главных ключей к будущему аутентификации является использование биометрических идентификаторов, таких как отпечатки пальцев, снимков радужной оболочки глаза, а также других средств, основанных на физических характеристиках. Такие идентификаторы всегда находятся у владельца, портативны, их трудно подделать, учитывая должным образом разработанные системы аутентификации.

Как только мы прошли проверку подлинности идентификатора, мы можем проверить, какие виды деятельности этому конкретному идентификатору позволено осуществлять. Такое действие известно как авторизация. Мы видим простой пример авторизации в различных уровнях функциональных возможностей учетной записи, которые определены во многих операционных системах. Если корневой или администраторский аккаунт может иметь разрешение создавать дополнительные учетные записи в системе, обычный пользователь, скорее всего, не сможет это сделать. В войсках эти полномочия обычно привязаны к командиру подразделения, который является последней инстанцией.

Аудит дает нам возможность отслеживать, какие мероприятия были проведены в данной системе или среде. В то время как аутентификация и авторизация позволяет нам контролировать и устанавливать ограничения на доступ пользователей к нашим активам, мы также должны вести учет того, что делают эти авторизованные пользователи. Это позволяет нам сбалансировать систему и сетевые нагрузки должным образом, а также вести наблюдение за санкционированной, но неуместной или нежелательной деятельностью. Поскольку злоумышленники продолжают разрабатывать дополнительные возможности, а сети все чаще основываются на облачных и мобильных технологиях, становится необходимо выделять ресурсы для обнаружения место, в котором они получают доступ.

Примечание

Принцип минимальных привилегий утверждает, что для любого заданного слоя в вычислительной среде, например, человека, процесса или системы, этот слой получает только минимальный уровень привилегий, которые необходимы для того, чтобы работать должным образом. Следование этому принципу нивелирует многие из распространенных проблем безопасности, с которыми мы могли бы столкнуться, многие из которых возникают из-за злоупотребления неуместно много позволяющими системами или приложениями.