Zasada minimalnych uprawnień w każdej infrastrukturze IT

Wdrażając i utrzymując systemy informatyczne w przedsiębiorstwie, musimy mieć na uwadze nie tylko ich funkcjonalność, ale także wpływ na poziom bezpieczeństwa organizacji, gdzie ilość możliwych podatności i wektorów ataków wzrasta wraz z ilością kolejnych urządzeń i systemów dodawanych do infrastruktury IT. 

W utrzymaniu wysokiego poziomu bezpieczeństwa informatycznego z pewnością pomoże stosowanie zasady minimalnych uprawień, oznaczającej w największym skrócie sytuację, w której każdy użytkownik infrastruktury ma dostęp tylko do tych elementów środowiska IT, które są mu niezbędne do wykonywania swojej pracy. Inaczej mówiąc, uprawnienia i dostęp do zasobów powinny być maksymalnie ograniczone.

Warto tutaj od razu dodać, że powyższa zasada odnosi się nie tylko do kont użytkowników (regularnych użytkowników, administratorów oraz pracowników firm zewnętrznych), lecz także do elementów systemów, którym możemy przypisać różne przywileje i uprawnienia. Może to być na przykład program komputerowy, skrypt, moduł, proces bądź usługa systemowa działająca w kontekście zabezpieczeń domenowego konta użytkownika.

Przykładem zastosowania tytułowej zasady, zwaną także zasadą minimalnych przywilejów, jest konto użytkownika przeznaczone do tworzenia kopii zapasowych. Takie konto nie wymaga uprawnień do instalowania oprogramowania, w związku z tym powinno mieć jedynie możliwość uruchomienia aplikacji do tworzenia kopii zapasowych, zaś wszelkie inne możliwe działania i uprawnienia w środowisku powinny zostać zablokowane.

W systemach Windows działających w środowisku domeny poleca się stosować funkcjonalność delegowania uprawnień, dzięki której dla każdego konta w usłudze Active Directory możemy skonfigurować bardzo szczegółowo możliwy zakres uprzywilejowania w dostępie do zasobów. Oprócz zakresu możliwych akcji na poszczególnych obiektach czy atrybutach AD, możemy ustalić także zakres możliwych działań administracyjnych, takich jak np. resetowanie haseł użytkowników, zmiana członkostwa w grupach zabezpieczeń oraz operowanie na poszczególnych jednostkach organizacyjnych. Delegowanie uprawnień jest szczególnie przydatne w przypadku ograniczania zakresu działania kont domenowych tworzonych dla usług systemowych wykorzystywanych przez różne aplikacje. Częstym przypadkiem jest sytuacja, kiedy przy wdrażaniu nowej aplikacji serwerowej do jej obsługi (usług systemowych z których korzysta) podłącza się konto domenowe będące członkiem grupy „domain admins” (jednej z najbardziej uprzywilejowanych w środowisku), żeby wszystko po prostu działało. Tego typu konta są łatwym celem ataku z uwagi na niewygasające i ustawione dla nich krótkie hasła oraz rzadszy monitoring ich aktywności.

Innym przykładem, gdzie znajduje zastosowanie zasada minimalnych uprawnień są systemy ERP, gdzie implementuje się różnego rodzaju role z przypisanym zakresem możliwych do wykonania operacji w poszczególnych obszarach i modułach systemu. Inna rola w tym przypadku oznacza również inne obszary systemu widoczne po zalogowaniu.

Popularny system bazodanowy MS SQL Server to kolejny obszar do przyjrzenia się zakresom uprawnień. W zależności od ilości administratorów i użytkowników obsługujących środowisko od strony administracyjnej mamy tutaj do dyspozycji zaimplementowane różne role administracyjne (m.in. „sysadmin”, „dbadmin”), którym warto się przyjrzeć i zastanowić się czy osoba, której je przydzielamy powinna mieć je wszystkie.

Warto jeszcze wspomnieć o panelach administracyjnych różnych urządzeń serwerowych i sieciowych, tj. serwery, macierze, switche, firewalle, kontrolery WiFi i inne. Jeśli w firmie pracuje wielu administratorów IT i niekoniecznie wszyscy muszą mieć pełny dostęp administracyjny do wszystkich urządzeń lub chcemy po prostu rozdzielić zakres odpowiedzialności, powinno się również ograniczyć dostęp do niezbędnego minimum i ustawić np. uprawnienia tylko do odczytu konfiguracji (jeśli tylko tyle jest potrzebne) zamiast możliwości pełnej konfiguracji i modyfikacji ustawień.

Wprowadzenie zasady minimalnych uprawnień zwłaszcza w dużym środowisku, złożonym z wielu elementów infrastruktury IT warto poprzedzić analizą oraz zdefiniowaniem obszarów z ustaleniem minimalnych zakresów dostępu, które następnie można zawrzeć w wewnętrznej polityce bezpieczeństwa firmy. Taka polityka określałaby jasno kto i do czego powinien mieć dostęp. Bardzo ważne jest też tutaj, aby oprócz ograniczenia uprawnień robić ich okresowy przegląd. Często zdarza się niestety sytuacja, gdzie dany pracownik potrzebował przywilejów tylko przez pewien okres i nie zostały one potem zdjęte.

Stosując zasadę minimalnych uprawnień zwiększamy bezpieczeństwo IT praktycznie pod każdym względem. Poczynając od redukcji możliwych wektorów ataku (ograniczając możliwe do wykonania akcje w kontekście zabezpieczeń konta, które mogłoby zostać przejęte) po blokadę rozprzestrzeniania się złośliwego oprogramowania wyłącznie do ograniczonego, zamkniętego obszaru.

PK