Управляем правами доступа при помощи SolarWinds Access Rights Manager

Администраторы любят решения SolarWinds за их функциональность и простоту. Компания предлагает полтора десятка инструментов для администраторов, которые позволяют превратить даже самую сложную и разрозненную инфраструктуру в единый организм, который управляется из общего центра.

О главных продуктах SolarWinds, Network Performance Monitor, NetFlow Traffic Analyzer и Network Configuration Manager, мы уже рассказывали. В портфеле компании есть еще одно прикладное решение, не столь популярное, зато на редкость функциональное, как для управления инфраструктурой, так и для обеспечения информационной безопасности предприятия. Это – SolarWinds Access Rights Manager (ARM) – средство управления правами доступа к данным. 

Мониторинг AD

Возможностей у ARM очень много, но самой первой нужно указать, конечно же, мониторинг Active Directory. При помощи инструмента системный администратор может установить, кто и когда внес изменения в настройки как самой AD, так и групповой политики. И это станет первым шагом к обнаружению источника возможных (или случившихся утечек) – неавторизованных пользователей или несанкционированных действий пользователей. 

Такой мониторинг позволяет выявить потенциальные проблемы еще до того, как они станут необратимыми, и даже обеспечить расследование необходимыми отправными данными.

Мониторинг изменений прав доступ к серверам

Умеет ARM помогать и в предотвращении несанкционированных изменений данных. Делает он это через визуализацию – наглядно показывает разрешения на доступ к файловым серверам, причем на уровне даже отдельного файла. Это полезно: сплошь и рядом пользователям предоставляются избыточные права доступа к данным, которые совершенно не нужны им для работы, и это – один из путей развитий атаки на информационные инфраструктуры.

Управление пользователями

Естественно, невозможно обойтись при реализации политики прав доступа без такой функции, как управление пользователями. Для этого в Access Rights Manager имеется специальная панель администрирования, очень наглядная и интуитивно понятная. С ее помощью можно активировать и деактивировать доступ пользователей, как отдельных, так и групп, к различным файлам и папкам.

Анализ прав пользователей

Провести мониторинг прав пользователей – только одна часть задачи, которую решает ARM. Вторая – не менее важна. Это – мониторинг процесса предоставления прав пользователя: какие именно пользователи, когда и от кого получили доступ к файлам и папкам. Эта функциональность решения позволяет сформировать четкое видение того, как и кем меняется членство пользователей в Active Directory.

Оценка рисков

Может ARM оценить и риски, которые несет доступ к данным каждого пользователя, причем сделать это в том числе и в режиме реального времени. Это полезно для организации контроля за действиями пользователей: не все они несут одинаковую угрозу, чем больше у пользователя прав, тем большую опасность представляют для компании их несанкционированные сознательные или неосознанные действия. Степень риска оценивается исходя от уровня доступа пользователя и разрешений, которые он может выдать другим сотрудникам организации. 

Отчетность

Естественно, невозможно обойтись и без составления отчетности. Она нужна не только для того, чтобы сформировать целостную картину для самих администраторов и руководителей или провести аудит инфраструктуры. Случись инцидент с неприятными (в том числе материальными) последствиями – и компании придется проводить расследование. Отчет будет одним из важнейших источников информации о том, что стало причиной инцидента и о том, как развивалась атака.

Достоинство модуля отчетности ARM – глубочайшая детализация, вплоть до журнала действий в Active Directory и на файловом сервере. При этом создаются они буквально за пару кликов – администратору необходимо только выделить диапазон данных, которые будут включены в документ.

Права доступа к Exchange

Не только Active Directory несет риски безопасности предприятия. Серверы Exchange представляют не меньшую опасность, и администрирование прав доступа к ним – одна из функциональностей ARM. Решение умеет отслеживать не только права доступа к почтовым ящикам и администрировать их, но и мониторить изменения в почтовых ящиках, календарях и общих папках сервера.

Права доступа к SharePoint

То же самое можно сказать о SharePoint: как об уязвимости корпоративного портала, так и о возможности ARM управлять доступом к нему. Решение отображает их в древовидной структуре – это позволяет представлять ситуацию весьма наглядно.

Система оповещений

Конечно, простой мониторинг, без возможности мгновенно получить оповещение о происходящих немотивированных событиях в инфраструктуре, мало привлекателен. ARM имеет собственную систему уведомлений. Она выдает предупреждения о таких событиях, как изменения в файлах или изменения разрешений и позволяет при необходимости вовремя отреагировать на них. 

Системные требования

ARM весьма демократичен к требуемым ресурсам. Он не требует выделенного сервера, но «съест» минимум 4 Гбайт памяти на каждую тысячу пользователей. Для решения потребуется от 30 до 40 Гбайт дискового пространства, опять же, в зависимости от количества пользователей. При этом система имеет практически неограниченные возможности. Ее можно использовать и в организации с сотней человек, и в многотысячных холдингах.

Как лицензируется Access Rights Manager

От числа пользователей корпоративной инфраструктуры зависит и стоимость лицензии ARM. Она покупается на каждую сотню пользователей Active Directory, минимальным значением будет 100 учетных записей. Естественно, чем больше «емкость» лицензии, тем дешевле в расчете на одного пользователя она обойдется.