Cisco CyberOps Associate - Kontrola dostępu
2. Triada CIA składa się z trzech komponentów bezpieczeństwa informacji:
- Poufność - Tylko upoważnione osoby, podmioty lub procesy mogą uzyskać dostęp do wrażliwych informacji.
- Integralność – Odnosi się to do ochrony danych przed nieautoryzowaną zmianą.
- Dostępność - Upoważnieni użytkownicy muszą mieć nieprzerwany dostęp do zasobów sieciowych i danych, których wymagają.
3. Dane sieciowe mogą być szyfrowane (uczynione nieczytelnymi dla nieautoryzowanych użytkowników) za pomocą różnych aplikacji kryptograficznych. Rozmowa między dwoma użytkownikami telefonów IP może być szyfrowana. Pliki na komputerze mogą być również szyfrowane. To tylko kilka przykładów. Kryptografia może być używana prawie wszędzie tam, gdzie występuje komunikacja danych. W rzeczywistości trendem jest szyfrowanie wszystkich komunikatów.
4. Zero trust to kompleksowe podejście do zabezpieczania wszystkich dostępów w sieciach, aplikacjach i środowiskach. Ten podejście pomaga zabezpieczyć dostęp od użytkowników, urządzeń końcowych użytkowników, API, IoT, mikrousług, kontenerów i więcej. Chroni pracowników, obciążenia robocze i miejsce pracy organizacji. Zasada podejścia zero trust to „nigdy nie ufaj, zawsze weryfikuj”. Należy zakładać zero zaufania za każdym razem, gdy ktoś lub coś żąda dostępu do zasobów. Ramy bezpieczeństwa zero trust pomagają zapobiegać nieautoryzowanemu dostępowi, zawierać naruszenia i zmniejszać ryzyko ruchu bocznego atakującego w sieci.
5. Tradycyjnie, granica sieci, czyli krawędź, była granicą między wewnątrz a na zewnątrz, czyli zaufanym i niezaufanym. W podejściu Zero trust, każde miejsce, w którym wymagana jest decyzja o kontroli dostępu, powinno być uważane za granicę. Oznacza to, że choć użytkownik lub inny podmiot mógł wcześniej pomyślnie przejść kontrolę dostępu, nie są oni uznawani za zaufanych do dostępu do innego obszaru lub zasobu, dopóki nie zostaną uwierzytelnieni. W niektórych przypadkach użytkownicy mogą być zobowiązani do wielokrotnego uwierzytelnienia na różne sposoby, aby uzyskać dostęp do różnych warstw sieci.
Trzy filary zero trust to siła robocza, obciążenia robocze i miejsce pracy.
Ten filar składa się z osób (np. pracowników, kontraktorów, partnerów i dostawców), które korzystają z aplikacji pracy, używając swoich osobistych lub zarządzanych przez firmę urządzeń. Ten filar zapewnia, że tylko właściwi użytkownicy i bezpieczne urządzenia mogą uzyskać dostęp do aplikacji, niezależnie od lokalizacji. Ten filar dotyczy aplikacji, które działają w chmurze, w centrach danych i innych wirtualizowanych środowiskach, które współdziałają ze sobą. Skupia się na bezpiecznym dostępie, gdy API, mikrousługa lub kontener uzyskuje dostęp do bazy danych w ramach aplikacji. Ten filar skupia się na bezpiecznym dostępie dla wszystkich urządzeń, w tym na rzeczach internetowych (IoT), które łączą się z sieciami przedsiębiorstw, takimi jak punkty końcowe użytkowników, serwery fizyczne i wirtualne, drukarki, kamery, systemy HVAC, kioski, pompy infuzyjne, systemy kontroli przemysłowej i więcej.
6. Organizacja musi wdrożyć odpowiednie kontrole dostępu, aby chronić swoje zasoby sieciowe, zasoby systemów informacyjnych i informacje.
| Modele kontroli dostępu | Opis |
|---|---|
| Dyskrecjonalna kontrola dostępu (DAC) | Jest to najmniej restrykcyjny model, który pozwala użytkownikom kontrolować dostęp do ich danych jako właścicielom tych danych. DAC może używać list ACL lub innych metod do określania, którzy użytkownicy lub grupy użytkowników mają dostęp do informacji. |
| Obowiązkowa kontrola dostępu (MAC) | Stosuje najbardziej rygorystyczną kontrolę dostępu i jest zwykle używana w aplikacjach wojskowych lub krytycznych dla misji. Przypisuje etykiety poziomu bezpieczeństwa do informacji i umożliwia dostęp użytkownikom na podstawie ich uprawnień do poziomu bezpieczeństwa. |
| Kontrola dostępu oparta na rolach (RBAC) | Decyzje dotyczące dostępu są oparte na rolach i obowiązkach jednostki w organizacji. Różnym rolom przypisuje się uprawnienia bezpieczeństwa, a jednostki są przypisywane do profilu RBAC dla roli. Role mogą obejmować różne stanowiska, klasyfikacje pracy lub grupy klasyfikacji pracy. Jest również znana jako rodzaj kontroli dostępu niedyskrecjonalnej. |
| Kontrola dostępu oparta na atrybutach (ABAC) | ABAC pozwala na dostęp na podstawie atrybutów obiektu (zasobu) do którego ma być uzyskany dostęp, podmiotu (użytkownika) uzyskującego dostęp do zasobu i czynników środowiskowych dotyczących sposobu dostępu do obiektu, takich jak pora dnia. |
| Kontrola dostępu oparta na regułach (RBAC) | Personel bezpieczeństwa sieciowego określa zestawy reguł dotyczących warunków związanych z dostępem do danych lub systemów. Te reguły mogą określać dozwolone lub zabronione adresy IP, lub określone protokoły i inne warunki. Jest również znana jako RBAC oparte na regułach. |
| Kontrola dostępu oparta na czasie (TAC) | TAC pozwala na dostęp do zasobów sieciowych na podstawie czasu i dnia. |
8. Sieć musi być zaprojektowana tak, aby kontrolować, kto ma prawo do niej podłączenia i co mogą robić, gdy są podłączeni. Te wymagania projektowe są określone w polityce bezpieczeństwa sieci. Polityka określa, jak administratorzy sieci, użytkownicy korporacyjni, użytkownicy zdalni, partnerzy biznesowi i klienci uzyskują dostęp do zasobów sieciowych. Polityka bezpieczeństwa sieci może również nakazywać wdrożenie systemu księgowego, który śledzi, kto zalogował się i kiedy oraz co robił podczas logowania. Niektóre przepisy dotyczące zgodności mogą określać, że dostęp musi być rejestrowany, a logi przechowywane przez określony czas.
| Komponent AAA | Opis |
|---|---|
| Uwierzytelnianie | Użytkownicy i administratorzy muszą udowodnić, że są tym, za kogo się podają. Uwierzytelnianie można ustalić za pomocą kombinacji nazwy użytkownika i hasła, pytań kontrolnych i odpowiedzi, kart tokenów i innych metod. Uwierzytelnianie AAA zapewnia scentralizowany sposób kontroli dostępu do sieci. |
| Autoryzacja | Po uwierzytelnieniu użytkownika, usługi autoryzacji określają, do których zasobów użytkownik może uzyskać dostęp i jakie operacje jest dozwolone wykonywać. Przykładem jest „Użytkownik ‘student’ może uzyskać dostęp do serwera hosta XYZ tylko za pomocą SSH.” |
| Rozliczanie | Rozliczanie rejestruje, co robi użytkownik, w tym co jest dostępne, ile czasu zasób jest dostępny i jakie zmiany zostały wprowadzone. Rozliczanie śledzi, jak wykorzystywane są zasoby sieciowe. Przykładem jest “Użytkownik ‘student’ uzyskał dostęp do serwera hosta XYZ za pomocą SSH przez 15 minut.” |
- Klient nawiązuje połączenie z routerem.
- Router AAA prosi użytkownika o podanie nazwy użytkownika i hasła. Router uwierzytelnia nazwę użytkownika i hasło za pomocą lokalnej bazy danych, a użytkownikowi udostępnia się dostęp do sieci na podstawie informacji w lokalnej bazie danych.
- Centralizowane AAA jest bardziej skalowalne i zarządzalne niż lokalne uwierzytelnianie AAA, dlatego jest preferowaną implementacją AAA.
| TACACS+ | RADIUS | |
|---|---|---|
| Funkcjonalność | Rozdziela funkcje uwierzytelniania, autoryzacji i rozliczania zgodnie z architekturą AAA. Pozwala to na modularność implementacji serwera zabezpieczeń. | Łączy uwierzytelnianie i autoryzację, ale rozdziela rozliczanie, co pozwala na mniejszą elastyczność w implementacji niż TACACS+ |
| Standard | Głównie obsługiwany przez Cisco | Standard otwarty/RFC |
| Transport | Port TCP 49 | Porty UDP 1812 i 1813, lub 1645 i 1646 |
| Protokół CHAP | Dwukierunkowe wyzwanie i odpowiedź, jak w protokole Challenge Handshake Authentication Protocol (CHAP) | Jednokierunkowe wyzwanie i odpowiedź od serwera zabezpieczeń RADIUS do klienta RADIUS |
| Poufność | Szyfruje całe ciało pakietu, ale pozostawia standardowy nagłówek TACACS+. | Szyfruje tylko hasło w pakiecie żądania dostępu od klienta do serwera. Reszta pakietu jest nieszyfrowana, pozostawiając nazwę użytkownika, autoryzowane usługi i rozliczenia niechronione. |
| Dostosowanie | Zapewnia autoryzację poleceń routera na podstawie użytkownika lub grupy | Nie ma opcji autoryzacji poleceń routera na podstawie użytkownika lub grupy |
| Rozliczanie | Ograniczone | Obszerne |
Rozliczanie AAA zbiera i raportuje dane o użyciu w logach AAA. Te logi są przydatne do audytu bezpieczeństwa. Zebrane dane mogą obejmować czasy rozpoczęcia i zakończenia połączenia, wykonane polecenia, liczbę pakietów i liczbę bajtów.
Jednym z powszechnie stosowanych zastosowań rozliczania jest połączenie go z uwierzytelnianiem AAA. Pomaga to w zarządzaniu dostępem do urządzeń sieciowych przez personel administracyjny sieci. Rozliczanie zapewnia większe bezpieczeństwo niż tylko uwierzytelnianie. Serwery AAA prowadzą szczegółowy dziennik tego, co dokładnie robi uwierzytelniony użytkownik na urządzeniu, jak pokazano na rysunku. Obejmuje to wszystkie polecenia EXEC i konfiguracyjne wydane przez użytkownika. Dziennik zawiera liczne pola danych, w tym nazwę użytkownika, datę i czas oraz rzeczywiste polecenie, które zostało wprowadzone przez użytkownika. Te informacje są przydatne podczas rozwiązywania problemów z urządzeniami. Dostarczają one również dowodów przeciwko osobom, które wykonują działania złośliwe.
Gdy użytkownik zostanie uwierzytelniony, proces rozliczania AAA generuje wiadomość startową, aby rozpocząć proces rozliczania. Gdy użytkownik kończy, rejestrowana jest wiadomość stop i proces rozliczania kończy się.
| Typ informacji rozliczeniowej | Opis |
|---|---|
| Rozliczanie sieciowe | Rozliczanie sieciowe gromadzi informacje dla wszystkich sesji Point-to-Point Protocol (PPP), w tym liczbę pakietów i bajtów. |
| Rozliczanie połączeń | Rozliczanie połączeń gromadzi informacje o wszystkich połączeniach wychodzących, które są realizowane przez klienta AAA, takie jak przez SSH. |
| Rozliczanie EXEC | Rozliczanie EXEC gromadzi informacje o sesjach terminalowych użytkownika EXEC (powłokach użytkownika) na serwerze dostępu do sieci, w tym nazwę użytkownika, datę, czasy rozpoczęcia i zakończenia oraz adres IP serwera dostępu. |
| Rozliczanie systemowe | Rozliczanie systemowe gromadzi informacje o wszystkich zdarzeniach na poziomie systemu (na przykład, kiedy system uruchamia się ponownie lub kiedy rozliczanie jest włączane lub wyłączane). |
| Rozliczanie poleceń | Rozliczanie poleceń gromadzi informacje o poleceniach powłoki EXEC dla określonego poziomu uprawnień, a także datę i czas wykonania każdego polecenia oraz użytkownika, który je wykonał. |
| Rozliczanie zasobów | Implementacja AAA przez Cisco gromadzi wsparcie dla rekordów „start” i „stop” dla połączeń, które przeszły uwierzytelnianie użytkownika. Obsługiwane jest również dodatkowe funkcje generowania rekordów „stop” dla połączeń, które nie przeszły uwierzytelnienia jako część uwierzytelniania użytkownika. Takie rekordy są niezbędne dla użytkowników, którzy korzystają z rekordów rozliczeniowych do zarządzania i monitorowania swoich sieci. |