Zapewnienie nadzoru nad danymi dzięki kontroli dostępu opartej na rolach

Chroń swoje hasła za pomocą kontroli dostępu opartej na rolach i zabezpieczeń typu „zero-trust”

Zasada najmniejszych uprawnień

Organizacje często stają przed wyzwaniem zapewnienia swoim pracownikom poświadczeń i dostępu wymaganych do skutecznego wykonywania obowiązków, a jednocześnie wykluczenia dostępu do innych poufnych informacji.

Zasada najmniejszych uprawnień polega na ograniczeniu przez administratora poziomów dostępu i uprawnień do minimum wymaganego do wykonywania obowiązków zawodowych. Zasada ta zapewnia, że pracownicy mają dostęp tylko do tego, co jest im niezbędne – bez przyznawania im pełnego dostępu do całej sieci organizacji.

Zasada najmniejszych uprawnień redukuje powierzchnię ataku poprzez wyeliminowanie niepotrzebnych uprawnień, które mogłyby zostać wykorzystane przez złośliwego pracownika wewnętrznego lub osobę z zewnątrz, która jest w stanie naruszyć poświadczenia danego pracownika. Jeśli nie zostaną wdrożone odpowiednie mechanizmy zarządzania uprawnieniami i bezpieczeństwa, bezpieczeństwo organizacji będzie zagrożone.

Kontrola poziomy dostępu organizacji dzięki węzłom, rolom i zespołom

Możliwość zapewnienia wszystkim użytkownikom dostępu o najniższym poziomie uprawnień jest kluczową cechą menedżera haseł w przedsiębiorstwie. Keeper daje administratorom możliwość precyzyjnego dostrojenia poziomów dostępu do krytycznych danych i poświadczeń w organizacji, od zespołów i grup do poziomu pojedynczego użytkownika.

Ta kluczowa funkcja działa bezproblemowo z doskonałą architekturą Keeper, składającą się z węzłów, ról i zespołów.

Węzły

Węzły to sposób organizacji użytkowników i podzielenia ich na różne grupy, podobnie jak w Active Directory. Jest to podstawowy element architektury Keeper. Administrator może tworzyć węzły powiązane z lokalizacją, działami lub jakąkolwiek inną strukturą. Nazwa najwyższego węzła, czyli węzła głównego, to domyślnie nazwa organizacji. Wszystkie inne węzły można tworzyć pod węzłem głównym.

Jedną z zalet zdefiniowania wielu węzłów jest wsparcie koncepcji administracji delegowanej. Delegowanemu administratorowi można przyznać niektóre lub wszystkie uprawnienia administracyjne, ale tylko w odniesieniu do odpowiedniego węzła lub węzłów podrzędnych. Taka delegowana administracja umożliwia różnym osobom w organizacji sprawowanie kontroli zarządczej nad podzbiorami zespołów, użytkowników, ról i folderów współdzielonych.

Role

Role definiują uprawnienia, kontrolują, które funkcje i ustawienia zabezpieczeń mają zastosowanie do określonych użytkowników, oraz zarządzają funkcjami administracyjnymi. Użytkownicy mogą być przydzielani do odpowiednich węzłów, a ich role konfigurowane zgodnie z konkretnymi potrzebami firmy.

Role składają się z zasad egzekwowania i kontrolują, w jaki sposób użytkownicy mogą uzyskiwać dostęp do sejfu Keeper na swoich urządzeniach. Można utworzyć dowolną liczbę zasad ról, a następnie stosować je do jednego lub wielu użytkowników.

Zespoły

Zespoły służą do współdzielenia kont uprzywilejowanych i folderów udostępnianych między grupami użytkowników w sejfie Keeper. Zespoły mogą również służyć do łatwego przypisywania ról do całych grup użytkowników w celu zapewnienia spójności zasad egzekwowania.

Ponieważ model bezpieczeństwa Keeper oparty jest na dostępie z najmniejszymi uprawnieniami, wdrażamy zasady najmniejszych uprawnień, więc gdy użytkownik jest członkiem wielu ról, jego domyślne zasady są najbardziej restrykcyjne.

Spełnienie potrzeb kontroli wewnętrznej dzięki zasadom egzekwowania opartym na rolach

Keeper zapewnia organizacji precyzyjną kontrolę i wgląd w to, do jakich informacji użytkownicy mogą uzyskać dostęp, oraz umożliwia zarządzanie nimi z poziomu platformy, dzięki zastosowaniu konfigurowalnych mechanizmów kontroli dostępu opartego na rolach (RBAC). Dzięki elastycznemu mechanizmowi zasad ról można ustalić ograniczenia i dostęp w oparciu o profil ryzyka poszczególnych użytkowników.

Na przykład administratorzy IT mogą nie mieć dostępu do swojego sejfu poza siecią biurową. Z kolei asystenci administracyjni mogą mieć możliwość wdrażania nowych użytkowników, zarządzania zespołami i wykonywania raportów. Cały proces jest w pełni konfigurowalny za pomocą przyjaznego dla użytkownika interfejsu.

Z poziomu konsoli administratorzy mają dostęp do rozbudowanego zbioru zasad egzekwowania, które kontrolują sposób dostępu użytkowników do sejfu i interakcji z nim oraz funkcje, z których mogą korzystać.

Funkcje:

Zasady dotyczące złożoności haseł i biometria
Uwierzytelnianie wieloskładnikowe, wygasanie tokenów i ograniczanie urządzeń
Ograniczenia dostępu offline
Zezwalanie na tworzenie list adresów IP, udostępnianie i ograniczenia eksportu danych
Przeniesienia kont (scenariusze odejścia pracownika z firmy i dostępu awaryjnego)
Uprawnienia administracyjne

Architektura węzłów Keeper skaluje się do organizacji dowolnej wielkości

Pełne wykorzystanie możliwości i elastyczności opartej na rolach kontroli dostępu Keeper wymaga zrozumienia struktury organizacyjnej, która jest implementowania podczas wdrażania rozwiązania Keeper w organizacji.

Krajobraz bezpieczeństwa biznesowego stale się rozwija, wymagając łatwości użycia i elastycznych zabezpieczeń wewnętrznych. Rozwiązanie Keeper zostało zaprojektowane tak, aby można było je dostosować do organizacji dowolnej wielkości. Funkcje takie jak uprawnienia oparte na rolach, współdzielenie zespołu, audyt działów i delegowana administracja wspierają firmę w jej rozwoju i ewolucji. Gdy pracownicy podejmują nowe obowiązki lub zmieniają stanowiska, Keeper aktualizuje ich role poprzez usługę Active Directory, zapewniając, że członkowie zespołu zawsze mają właściwe uprawnienia.

Eliminowanie ryzyka utraty krytycznych danych w przypadku odejścia pracowników z organizacji

Funkcja przenoszenia kont Keeper typu „zero-knowledge” daje klientom korporacyjnym pewność, że pracownik nigdy nie odejdzie z krytycznymi danymi, gdy opuści organizację.

Korzystając z bezpiecznej funkcji przeniesienia konta Keeper, można zablokować sejf użytkownika, a następnie przekazać go innemu użytkownikowi w organizacji. Proces przenoszenia kont odbywa się całkowicie według zasady „zero-knowledge”, a odpowiedzialność za przenoszenie kont może być ograniczona na podstawie utworzonych ról.

Na przykład administratorzy IT mogą zapewnić, że tylko menedżer ds. inżynierii może przenieść sejf inżyniera, a menedżer ds. marketingu może przenieść sejf koordynatora ds. marketingu.

Zasoby

Blogi

Analiza przypadku

Często zadawane pytania (FAQ)

Czym jest kontrola dostępu oparta na rolach (RBAC)?

Kontrola dostępu oparta na rolach, nazywana również zabezpieczeniami opartymi na rolach, to model kontroli dostępu, w którym rola użytkownika w organizacji określa, do jakich zasobów sieciowych ma on dostęp. Celem RBAC jest zapewnienie, że użytkownicy nie mogą uzyskać dostępu do systemów i danych, które nie są związane z ich stanowiskiem, co zwiększa zachowanie zgodności z przepisami i zapobiega wyciekom danych, a w przypadku, gdy poświadczenia użytkownika zostaną naruszone, osoba atakująca będzie mieć ograniczone możliwości poruszania się poziomo wewnątrz sieci.

Czym jest zarządzanie dostępem uprzywilejowanym?

Zarządzanie dostępem uprzywilejowanym (PAM) odnosi się do narzędzi i technologii używanych przez organizacje w celu zabezpieczenia i monitorowania dostępu do najważniejszych informacji i zasobów, takich jak lokalne i domenowe konta administracyjne oraz kontroli tych kont. PAM pomaga organizacjom chronić się przed cyberatakami, ponieważ zapobiega nieautoryzowanemu, uprzywilejowanemu dostępowi do kont.

RBAC a ABAC

Główną różnicą między kontrolą dostępu opartą na rolach (RBAC) a kontrolą dostępu opartą na atrybutach (ABAC) jest sposób, w jaki każda z metod zapewnia dostęp do sieci. RBAC umożliwia przyznanie dostępu opartego na rolach. ABAC pozwala na przyznanie dostępu poprzez cechy użytkownika, takie jak typy działań, lokalizacja, urządzenie i inne.