Ролевая модель RBAC

Зона ответственности: Printum

Коротко: В Printum реализована гибкая ролевая модель (RBAC), позволяющая разграничивать доступ пользователей к функциям системы, данным, локациям и административным интерфейсам в соответствии с их должностными обязанностями.

Требование

Система должна обеспечивать разграничение прав доступа пользователей и администраторов в соответствии с их полномочиями.

Ролевая модель позволяет реализовать принцип минимальных привилегий, ограничить доступ к функциям системы и данным пользователей, а также разделить административные обязанности между различными категориями сотрудников.

Как это реализовано в Printum

В Printum используется ролевая модель управления доступом (RBAC), в рамках которой пользователю назначается роль, определяющая его полномочия в системе.

При настройке роли администратор может управлять доступом по нескольким направлениям:

набор доступных функций;
уровень доступа к данным пользователей;
уровень доступа к локациям;
права администрирования филиалов;
доступ к административным панелям системы.

При установке системы создаются базовые роли:

Пользователь;
Оператор;
Инженер;
Администратор;
Сотрудник СБ.

В зависимости от назначенной роли пользователю могут предоставляться права на:

работу с устройствами;
работу со складом;
просмотр журналов;
работу с заданиями печати;
просмотр журнала информационной безопасности;
управление пользователями;
управление принтерами;
управление правилами печати;
управление интеграциями;
управление агентами мониторинга;
управление системными настройками;
управление импортом и экспортом данных;
управление локациями и филиалами.

При импорте пользователей из службы каталогов для них может автоматически назначаться роль по умолчанию, определённая администратором системы.

Администратор может изменить роль по умолчанию или назначить импортированным пользователям другие роли в соответствии с принятой моделью разграничения доступа.

Администратор системы может создавать собственные роли, комбинируя необходимые функции и уровни доступа, а также назначать роль по умолчанию для новых пользователей.

Ограничения и особенности

Фактический набор доступных функций определяется назначенной пользователю ролью.

При изменении роли пользователя новые полномочия начинают действовать после повторной авторизации пользователя в системе.

Совместимость с антивирусным ПО

Атрибутный состав записи в журнале

Аудит действий администраторов

Журналы без чувствительных данных

Защита журналов от изменения и доступ к журналам

Мониторинг и анализ событий безопасности

Передача событий в SIEM

Перечень регистрируемых событий безопасности

Синхронизация времени (NTP)

Мандатное управление доступом

Профили безопасности

Хранение паролей в хэшированном и зашифрованном виде

Rootless режим контейнера

Отсутствие SUID-SGID файлов и утилит повышения привилегий

Соответствие рекомендациям CIS Benchmark

Фиксированные теги контейнерных образов

Хранение секретов в контейнерных образах

Контроль целостности ПО и конфигурационных файлов

Механизмы резервного копирования и восстановления

Использование небезопасных сетевых протоколов

Сегментация сети и зоны безопасности

Анонимный доступ запрещён

Блокировка и управление учётными записями

Доменная аутентификация и единый вход (SSO)

Идентификация и аутентификация пользователей

Парольная политика

Ролевая модель RBAC

Тайм-аут сессии и автоматическое завершение сеанса

Технические учётные записи

Использование СКЗИ и ГОСТ-криптографии

Управление сертификатами

Шифрование каналов связи

Ролевая модель RBAC

Требование

Как это реализовано в Printum

Ограничения и особенности