Захист від зламу
Дані IT-Enterprise становлять найбільшу цінність для компаній, що експлуатують систему. Тому питання безпечного поводження з інформацією - одне з найважливіших місць в системі IT-Enterprise.
Захист файлових ресурсів
Мережева файлова частина системи IT-Enterprise розміщується в локальній обчислювальній мережі. При розміщенні в локальній обчислювальній мережі права доступу до мережевої частини необхідно розділити по групах користувачів:
- Простий користувач - немає необхідності в доступі;
- Програміст (робота, в тому числі, в режимі локального сервера додатків) - доступ «тільки читання». При необхідності на деякі папки повний доступ.
- Адміністратор - режим «повний доступ»
Повний доступ потрібен тільки для адміністративних завдань і тільки в режимі «локальний сервер додатків». Сервера додатків для віддалених користувачів повинні бути налаштовані на режим «тільки читання» до серверної файлової частини IT-Enterprise.
Якщо на підприємстві не використовується служба каталогів Active Directory, то на клієнтських робочих станціях необхідно встановити локальну політику безпеки «Мережевий доступ: модель спільного доступу і безпеки для локальних облікових записів» в значення «Звичайна». За замовчуванням, на автономних комп'ютерах налаштована модель «Гостьова», а на комп'ютерах, включених в домен, «Звичайна». Цей параметр безпеки визначає, яким чином виконується перевірка справжності при вході в мережу з використанням локальних облікових записів. Якщо даний параметр має значення «Звичайна», то при перевірці автентичності для входу в мережу з обліковими даними локального облікового запису використовуються ці облікові дані. Якщо цей параметр має значення «Гостьова», операції входу в мережу з обліковими даними локальних облікових записів автоматично співставляються з обліковим записом гостя. При використанні гостьової моделі між користувачами немає відмінностей. Всі користувачі проходять перевірку автентичності з обліковим записом гостя і отримують однаковий рівень доступу до даного ресурсу «Тільки читання» або «Зміна».
Захист на рівні СУБД
Для отримання певних даних або внесення змін до бази даних користувач повинен володіти відповідними повноваженнями. Дані повноваження йому призначаються адміністратором системи IT-Enterprise. Тільки після реєстрації в системі IT-Enterprise користувач отримує доступ до бази даних сервера БД.
Служба «сервера додатків» запускається на комп'ютері-сервері додатків під певним обліковим записом. Кожен обліковий запис має певні права на читання і запис файлів в певних каталогах.
Адміністратор повинен налаштувати права облікового запису таким чином, щоб обліковий запис мав права доступу на читання до каталогу з локальної файлової частиною IT-Enterprise, але не мав би прав доступу до інших каталогів з будь-якими іншими даними.
Безпечне підключення клієнта
При використанні безпечного режиму слід врахувати особливості настройки windows-аутентифікації для користувачів, що працюють з IT-Enterprise віддалено (не з внутрішньої мережі підприємства). Можна надати таким користувачам можливість входу в IT-Enterprise без необхідності введення логіна і пароля, виконавши ряд адміністративних дій.
Користувачі IT-Enterprise мають можливість одноразово ввести і зберегти свої облікові дані на робочій станції, і в подальшому входити в систему без введення логіна і пароля. Ця можливість є гранично простою і зрозумілою для користувачів і не потребує будь-якого додаткового конфігурування системи. Збереження облікових даних можна використовувати незалежно від наявності домену, безпечного з'єднання і т.п.
Безпека хмарного сервісу IT-Enterprise
Один з варіантів використання IT-Enterprise - це розміщення серверної складової в «хмарних ресурсах».
Застосування хмарних сервісів забезпечує наступні переваги:
- високу доступність системи з заданим SLA;
- значне зниження капіталовкладень, ясність і передбачуваність платежів;
- підвищення безпеки - резервне копіювання, надання тільки санкціонованого доступу, захист від «сторонніх очей та вух» (в т.ч. конкурентів і регулюючих органів): катастрофостійкість даних; зниження витрат на підтримку і оновлення, більш високий рівень підтримки; як наслідок - швидкість впровадження рішень і віддачі від них
При будь-якому варіанті застосування хмарних сервісів Замовника хвилює питання безпеки його даних. В загальному випадку система безпеки будь-якого хмарного сервісу базується на кількох складових, а саме:
- Системі безпеки програмного продукту, на основі якого розгортається хмарний сервіс - система безпеки «IT-Enterprise в хмарі»
- Організації процесу розміщення і обслуговування хмарного сервісу провайдером, що надає послуги
- Організації системи безпеки дата-центру, в якому розміщується надається хмарний сервіс
Розглянемо кожну складову більш детально.
Сервіс «IT-Enterprise в хмарі» створений на базі повнофункціональної системи IT-Enterprise. Виходячи з цього, сервіс має всі можливості системи безпеки класичної системи IT-Enterprise.
Як і класична система IT-Enterprise хмарний сервіс реалізований на основі трирівневої архітектури. При цьому Замовник має повний доступ лише до рівня клієнтського додатку. Сервер бази даних і сервери додатків розгорнуті в захищеній високопродуктивної середовищі виконання в віддаленому дата-центрі.