|
|
Zverejnené 8. 7. 2022 21:46:18
|
|
|
|
Požiadavky: Prvýkrát, keď som počul kolegu hovoriť o systéme Break Glass, ak chcete vidieť dáta produkčnej databázy, musíte získať dočasné prístupové údaje zo systému Break Glass, cez dočasné prihlasovacie údaje môžete vidieť údaje produkčnej databázy, zvyčajne sú dočasné oprávnenia relatívne malé, jednoducho povedané, budú poskytnuté len minimálne oprávnenia, ktoré dokážu úlohu dokončiť.Priraďujte na požiadanie, s čo najmenším množstvom zbytočných povoleníNapríklad prístup k produkčnej databáze je iba na čítanie, alebo dokonca len na čítanie pre určité tabuľky.
Rozbij sklo(pomenované podľa rozbitého skla na spustenie požiarneho alarmu) označuje rýchly spôsob, ako sa ľudia bez prístupu dostanú k nemu, ak je to potrebné. Systémy obsahujúce primárne zdrojové údaje (informácie) pre liečbu musia byť vyvinuté, zdokumentované, implementované a testované na postupy s rozbitým sklom, ktoré sa používajú v prípade núdze prístupu k ePHI. Tieto systémy musia mať jasne stanovený a široko pochopený postup, ktorý umožňuje prístup alternatívnymi a/alebo manuálnymi metódami.
Pri výpočtoch je "Break Glass" akt kontroly hesiel systémových účtov, aby sa obchádzali bežné postupy riadenia prístupu pre kritické núdzové situácie. To dáva používateľom okamžitý prístup k účtom, ku ktorým by inak nemali prístup. Táto metóda sa zvyčajne používa pre najvyššie systémové účty, ako je root účet pre Unix alebo SYS/SA pre databázu. Tieto účty sú vysoko privilegované a rozbitie sklá ich obmedzuje dĺžkou platnosti hesla, s cieľom kontrolovať používanie účtu a znížiť ho natoľko, že je absolútne nevyhnutné na splnenie konkrétnej úlohy.
Break glass je rýchly spôsob, ako rozšíriť osobný prístup v špeciálnych situáciách a mal by sa používať len vtedy, keď bežné procesy nestačia (napr. helpdesk alebo systémový administrátor nie sú k dispozícii). Príklady situácií, keď môže byť núdzový prístup pre "Break Glass" potrebný, sú otázky účtov, autentifikácie a autorizácie. V mnohých firmách existujú kritické úlohy – v výnimočných prípadoch – ktoré musia vykonávať ľudia, ktorí ich bežne nemôžu vykonávať. Napríklad mladší lekár bude schopný vykonávať určité úlohy staršieho lekára v prípade núdze.
Riešenia Breaking Glass sú založené na vopred naplánovaných núdzových používateľských účtoch, ktoré sú spravované a distribuované tak, aby boli rýchlo dostupné bez zbytočných administratívnych oneskorení. Účty z rozbitého skla a distribučné postupy by mali byť zdokumentované a testované ako súčasť implementácie a starostlivo spravované, aby bol zabezpečený včasný prístup, keď je to potrebné.
Najlepšou praxou je zveriť vopred naplánované núdzové účty do zodpovednosti jednotlivca, napríklad manažéra núdzového účtu, ktorý bude počas pracovnej doby k dispozícii a rozumie citlivosti a priorite núdzových účtov. Táto osoba bude účet distribuovať metódou odhlásenia, pričom žiadateľ musí poskytnúť prijateľnú formu identifikácie a zdokumentovať ju pred sprístupnením účtu.
Pri používaní núdzových účtov je nevyhnutné ich dôkladne sledovať a pravidelne vykonávať audity. Okrem toho by mal systém upozorniť bezpečnostného administrátora pri aktivácii núdzového účtu. Administrátor zabezpečí, že účet bude správne zatvorený a po dokončení bude založený nový účet.
Referenčný článok
Prihlásenie na hypertextový odkaz je viditeľné.
Prihlásenie na hypertextový odkaz je viditeľné.
|
Predchádzajúci:Front-endové znalosti JavaScriptu, bežne označovaného ako ES6, ES8, ES 2017, ECMAScriptBudúci:[Skutočný boj]. NET/C# používa UDP na odosielanie a prijímanie dát
|
Prenajímateľ