Как Вы документируете/отслеживаете свои полномочия
Почему бы не использовать Backup Exec для Ваших резервных копирований журнала транзакций? Мне при помощи двух отдельных методов резервного копирования для SQL, созданием вещей более сложными для себя кажется.
В Backup Exec, если у Вас есть папка резервного копирования на диск, Вы могли бы создать набор носителей для журналов транзакций, которые имеют 24-часовой Период Защиты Перезаписи. Вы могли затем использовать политику Backup Exec управлять Вашим еженедельником fulls, ежедневными дифференциалами, и 15 - точно резервные копирования журнала транзакций.
Backup Exec управляло бы Вашими файлами резервных копий журнала transacation, перезаписывая старые, когда они падают из периода защиты перезаписи.
Затем если необходимо восстановить, все восстановления происходят от одного места, с помощью одного инструмента.
Вам нужна система продажи билетов, которая предоставляет 3 вещи:
- Отметка времени, когда права были изменены (добавлены или удалены) для конкретного пользователя
- Почему они были изменены
- Возможность поиска этих изменений
Практически все системы продажи билетов уже предоставляют вам номер 1 в виде даты создания билета, даты изменения и т. д. № 2 - это ваше право задокументировать в билет. Обычно это электронное письмо с подтверждением от менеджера ресурсов, вставленное в заявку, в котором говорится, что у них есть доступ (или доступ должен быть удален) и какого типа. №3 является наиболее важным и зависит от системы продажи билетов, но если у вас есть система, в которой нелегко искать, то ваша работа вам подойдет. Если вы можете просто выполнить поиск по пользователю так, чтобы все заявки на разрешение были привязаны к их контактной информации в системе заявок, тогда вы в порядке, в противном случае вы по сути документируете свои изменения в черной дыре.
Вне системы продажи билетов, которая может сделайте это, чтобы отслеживать изменения (вы упоминаете, что у вас есть базовая система продажи билетов, поэтому, возможно, вам нужно получить лучшую, которая позволяет улучшить возможности поиска / отчетности), любое приложение, утилита или сценарий, которые вы используете, предоставят только снимок разрешений . Вы все еще не знаете, почему? Кто к чему имеет доступ, что может быть правильно задокументировано только отдельно от приложения, поскольку вам, вероятно, потребуется захватить исходное электронное письмо или другой текст утверждения от менеджера ресурсов. Когда у вас есть это, куда вы поместите его, чтобы связать его с результатами приложения?
Запуск приложения или сценария для определения текущих разрешений в файловой структуре также не дает вам хорошего контрольного журнала изменений разрешений для пользователя или. По сути, вы застряли с большим снимком текущих разрешений в определенный момент времени. Когда вы запустите его снова, у вас будет еще один большой снимок прав доступа к файлам. Даже если вы сохранили первый захват разрешений и сравнили его с недавним захватом, и разрешения изменились, как вы увяжете это с причиной изменения? Опять же, это возвращает нас к системе продажи билетов, поскольку пункты 1,2 и 3, указанные выше, будут задокументированы в одном месте.
Еще одна проблема, которую вы подняли, - это сползание разрешений (когда пользователю переназначается другое разрешение, и ему больше не нужен доступ к ресурсу X, но он все равно сохраняется, потому что тот факт, что им больше не нужен доступ к ресурсу X, не был запущен ИТ-отделом во время перехода). ЕДИНСТВЕННЫЙ способ контролировать это - сообщить HR или тому, кто занимается переназначением сотрудников, что ИТ-отдел должен быть уведомлен, когда сотрудник переназначен, чтобы они могли назначать и отзывать разрешения соответствующим образом. Вот и все. Не существует волшебного приложения, которое сообщило бы вам, что у пользователя есть доступ к ресурсу X, но больше не должно этого делать, потому что теперь их работа - Y. Когда это произойдет, ИТ-специалист должен в той или иной форме отправить уведомление о человеке.
t управляется ИТ-отделом во время перехода). ЕДИНСТВЕННЫЙ способ контролировать это - сообщить HR или тому, кто занимается переназначением сотрудников, что ИТ-отдел должен быть уведомлен, когда сотрудник переназначен, чтобы они могли назначать и отзывать разрешения соответствующим образом. Вот и все. Не существует волшебного приложения, которое сообщило бы вам, что у пользователя есть доступ к ресурсу X, но больше не должно этого делать, потому что теперь их работа - Y. Когда это произойдет, ИТ-специалист должен в той или иной форме отправить уведомление о человеке. t управляется ИТ-отделом во время перехода). ЕДИНСТВЕННЫЙ способ контролировать это - сообщить HR или тому, кто занимается переназначением сотрудников, что ИТ-отдел должен быть уведомлен, когда сотрудник переназначен, чтобы они могли назначать и отзывать разрешения соответствующим образом. Вот и все. Не существует волшебного приложения, которое сообщило бы вам, что у пользователя есть доступ к ресурсу X, но больше не должно этого делать, потому что теперь их работа - Y. Когда это произойдет, ИТ-специалист должен в той или иной форме отправить уведомление о человеке.Лучший способ настроить разрешения - это роль на основе
GG_HR GG_Finance И т.д., обычно привязанные к должности или бизнес-подразделению.
Оттуда вы создаете локальные группы, у которых есть разрешения на ресурс, то есть принтер или финансовый каталог. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl
Вы создаете глобальные группы для этих локальных групп LG-> GG, затем в глобальные группы на основе ролей вы добавляете глобальные группы на основе разрешений.
GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter
Облегчает, когда люди получают в роль вы просто добавляете их учетную запись в одну группу, и их разрешения вытекают из этой роли, и их намного легче отслеживать. (Также отлично, если вы используете какую-то систему управления идентификацией). Намного проще, чем отслеживать, у кого какие индивидуальные разрешения, вы знаете, что если они входят в группу HR, у них есть разрешения X.
Вы можете просто отслеживать движение их группы, когда они запрашиваются через вашу систему управления заданиями, или запускать сценарии, чтобы выплюнуть кто в каких ролевых группах.
Я не знаю о документировании / отслеживании их, но я назначаю их с группами.
Пользователю A нужен доступ к ресурсу №1. Они получают разрешение, и я добавляю их в группу доступа.
Они продолжают заниматься своими делами, пока в один прекрасный день не будут переназначены / уволены / что-то еще, после чего я удаляю их из группы доступа.
Журналы аудита изменения моей учетной записи сообщают мне, когда они получили / потеряли доступ, поэтому есть запись , а группы доступа к ресурсам обычно представляют собой группы отделов (HR, ИТ, Продажи, Финансы и т. д.), поэтому управление переназначениями обычно означает изменение их членства в группе.
Это, как правило, лучше всего работает в небольших средах - для больших сред или те, где списки ACL становятся действительно сложными Zoredache делает хороший вывод о том, что система, которая выполняет настройку ACL, также в некоторой степени выполняет документирование
Для инициирования запроса на добавление / удаление доступа, переназначение пользователей и т. д. Я бы предложил электронную бумагу (систему продажи билетов) - это гарантирует, что пользователи не проскользнут сквозь щели,но для неукоснительного использования электронной системы требуется общая корпоративная поддержка.
Преимущество перед бумагой в том, что вы получаете то, что можете искать, и каждый может выполнять свою часть процесса со своего рабочего стола (менеджеры могут утверждать быстрее, так как конверты внутренней почты не перемещаются, ИТ-отдел может предоставить / отозвать доступ, как только поскольку билет оказывается в чьей-то корзине и т. д.)
У меня этот сценарий является любимым, поэтому люди могут делать это сами, когда они запускают в проблему с их профилем Outlook.
- Проверяет, хочет ли пользователь запустить сценарий.
- Закрывает Outlook.
- Очищает настроенные профили в реестре пользователя.
- Создает новый профиль (* вы можете редактировать имя нового профиля с% username%, если хотите.)
- Открывает Outlook с новым профилем для пользователя.
Скрипт:
Для этого существует несколько коммерческих приложений. Эту область иногда называют «Управление данными».
Пара примеров:
Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html
Quest One Identity Manager - Data Governance Edition
http://www.quest.com/identity-manager-data-governance
Я не использую их, но изучив тему и просмотрев несколько демонстраций, объем того, что может потребоваться, объяснил бы рынок. Эти приложения очень сложные и недешевые. Некоторые из них имеют очень сложные методы подключения к платформам хранения для отслеживания списков контроля доступа. Даже если это не в вашем бюджете, демонстрации могут быть полезны, чтобы получить представление о том, что такое приложение делает с функциональной точки зрения.
При просмотре я заметил одно наблюдение: они обычно не проводят аудит на уровне файлов. Если бы они это сделали, не было бы возможности масштабировать его до сотен миллионов или миллиардов документов. Таким образом, они обычно отслеживают разрешения только на уровне каталога.
Если у вас уже есть система продажи билетов, я бы предложил создать в вашем приложении новую группу, тег и т. Д. Для этих типов запросов и попросить пользователей отправлять билеты для изменения разрешений. . Если ваша система продажи билетов позволяет пересылать билеты другим пользователям или добавлять их в заявку, добавьте необходимых менеджеров и запросите подтверждение. Это позволит вам вести учет для вашей работы.
Как упоминалось выше, создайте группу безопасности для каждого общего ресурса. В моей среде у нас были бы акции с именами FIN_Yearly, GEN_Public, MGM_Reports (у каждого отдела есть собственный акроним). Группы безопасности тогда будут называться SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin и т. Д. Пользователь доступен только для чтения, Admin - для чтения / записи.
Отсюда вы можете создать, например, SG_FinancialsManager; группы безопасности, которые включают в себя другие группы безопасности, чтобы упростить доступ в зависимости от выполняемых ими заданий. Мы лично этого не делаем, так как это немного запутывает отслеживание. Вместо того, чтобы проверять SG общего ресурса и видеть кучу SG с разрешениями, у нас есть список пользователей. Личные предпочтения, на самом деле, и будут зависеть от размера вашего сайта. Обычно мы используем пользовательские шаблоны для управления новыми пользователями на определенные должности.
Если ваша система продажи билетов позволяет вам искать по предыдущим билетам, вы в значительной степени справились. Если кто-то просит вас удалить разрешения пользователя, вы можете отслеживать это. Если пользователь затем спрашивает, почему у него больше нет доступа, вы можете предоставить ему билет. Если менеджер спросит вас, у кого к чему есть доступ, отобразит запрошенную группу безопасности.
Вместо того, чтобы проверять SG общего ресурса и видеть кучу SG с разрешениями, у нас есть список пользователей. Личные предпочтения, собственно, и будут зависеть от размера вашего сайта. Обычно мы используем пользовательские шаблоны для управления новыми пользователями на определенные должности.Если ваша система продажи билетов позволяет вам искать по предыдущим билетам, вы в значительной степени справились. Если кто-то попросит вас удалить разрешения пользователя, вы можете отследить это. Если пользователь затем спрашивает, почему у него больше нет доступа, вы можете предоставить ему билет. Если менеджер спросит вас, у кого к чему есть доступ, отобразит запрошенную группу безопасности.
Вместо того, чтобы проверять SG общего ресурса и видеть кучу SG с разрешениями, у нас есть список пользователей. Личные предпочтения, собственно, и будут зависеть от размера вашего сайта. Обычно мы используем пользовательские шаблоны для управления новыми пользователями на определенные должности.Если ваша система продажи билетов позволяет вам искать по предыдущим билетам, вы в значительной степени закончили. Если кто-то попросит вас удалить разрешения пользователя, вы можете отследить это. Если пользователь затем спрашивает, почему у него больше нет доступа, вы можете предоставить ему билет. Если менеджер спросит вас, у кого к чему есть доступ, отобразит запрошенную группу безопасности.
Обычно мы используем пользовательские шаблоны для управления новыми пользователями на определенные должности.Если ваша система продажи билетов позволяет вам искать по предыдущим билетам, вы в значительной степени закончили. Если кто-то попросит вас удалить разрешения пользователя, вы можете отследить это. Если пользователь затем спрашивает, почему у него больше нет доступа, вы можете предоставить ему билет. Если менеджер спросит вас, у кого к чему есть доступ, отобразит запрошенную группу безопасности.
Обычно мы используем пользовательские шаблоны для управления новыми пользователями на определенные должности.Если ваша система продажи билетов позволяет вам искать по предыдущим билетам, вы в значительной степени закончили. Если кто-то попросит вас удалить разрешения пользователя, вы можете отследить это. Если пользователь затем спрашивает, почему у него больше нет доступа, вы можете предоставить ему билет. Если менеджер спросит вас, у кого к чему есть доступ, отобразит запрошенную группу безопасности.
Вам действительно стоит подумать о включении аудита изменений прав доступа к файлам / папкам, а затем собрать журналы безопасности файлового сервера (вручную или с помощью любого инструмента управления журналами событий или SIEM, например Splunk) и использовать его для своей документации . Проанализируйте все изменения файловых DACL. Кроме того, вы дополняете это с помощью AccessEnum и AccessChk, как предложено выше.
И это не освобождает вас от установки надлежащих разрешений безопасности и их назначения только через группы.