Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Пользовательские сценарии использования МРД и МКЦ

Пользовательские сценарии использования МРД и МКЦ#

Мандатное разграничение ВМ для групп в одной компании#

В рамках работы организации возможна ситуация, связанная с разделением существующих ресурсов, как в рамках отделов так и по уровню конфиденциальности. В частности, если есть необходимость вести разработку разной продукции, части или компоненты которой могут пересекаться между собой.

Использование механизма МРД позволяет усилить безопасность конфиденциальной информации, создавая дополнительный шаг, который в свою очередь уменьшает влияние человеческого фактора в вопросах безопасности, за счет использования меток категории.

Для примера матрица доступа к ресурсам ПК СВ (образы и ВМ). Пользователь с уровнем конфиденциальности 2 и категорией доступа 1, сможет видеть ресурсы с такими уровнями допуска, но не получит доступ к ресурсам, созданными другими пользователями с тем же уровнем конфиденциальности, но в другой категории. Тогда как Администратор группы или пользователь с назначенными категориями 1-3 сможет увидеть все ресурсы в рамках данных категорий и уровня конфиденциальности 2.

Таким образом, на уровне сервера виртуализации, можно разграничить ресурсы ПВ используя допуски системы, разделив отделы, а также разнести информацию по уровням конфиденциальности, ограничив доступ к информации в зависимости от выполняемых задач. Такое деление, помимо прочего, позволяет минимизировать риск несанкционированного доступа в случае человеческой ошибки при назначении группы Пользователя.

В нижеприведенном примере каждому пользователю определенной FreeIPA-группы назначается одна категория, внутри одной FreeIPA-группы можно разграничить доступ используя иерархический уровень конфиденциальности.

Пользователи принадлежат разным FreeIPA-группам, а также принадлежат разным уровням и категориям конфиденциальности:

  • Пользователь 1 состоит в Группе 1 и имеет Уровень 0 и Категорию 0;

  • Пользователь 2 состоит в Группе 2 и имеет Уровень 0 и Категорию 1;

  • Пользователь 3 состоит в Группе 1 и имеет Уровень 1 и Категорию 0;

  • Пользователь 4 состоит в Группе 2 и имеет Уровень 1 и Категорию 1;

  • Пользователь 5 состоит в Группе 2 и имеет Уровень 1 и Категории 0 и 1.

Для таких пользователей общее мандатное представление доступа будет выглядеть следующим образом:

../../../../../_images/user_mrd_1.png

Где для каждого отдельного пользователя:

  • Доступ к ВМ Пользователя 1:

../../../../../_images/user_mrd_2.png

  • Доступ к ВМ Пользователя 2:

../../../../../_images/user_mrd_3.png

  • Доступ к ВМ Пользователя 3:

../../../../../_images/user_mrd_4.png

  • Доступ к ВМ Пользователя 4:

../../../../../_images/user_mrd_5.png

  • Доступ к ВМ Пользователя 5:

../../../../../_images/user_mrd_6.png

Для настройки разграничение ВМ для групп в одной компании необходимо:

  1. Создать группы пользователей, для этого в веб-интерфейсе ПВ в меню слева выбрать пункт Система — Группы и нажать кнопку +:

  • в открывшемся окне во вкладке Общее указать название группы:

../../../../../_images/user_mrd_7.png

Предупреждение

В названии группы не допускается использовать буквы в верхнем регистре.

  • указать необходимые настройки во вкладке Представление:

../../../../../_images/user_mrd_8.png

  • во вкладке Права настроить права доступа:

../../../../../_images/user_mrd_9.png

  • нажать кнопку Создать.

  1. Создать пользователей, для этого в веб-интерфейсе ПВ в меню слева выбрать пункт Система — Пользователи и нажать кнопку +:

  • в открывшемся окне Создать пользователя необходимо указать имя пользователя, пароль, подтверждение пароля и снять флаг Сменить пароль при первом входе в систему:

../../../../../_images/user_mrd_10.png

Примечание

Если оставить флаг Сменить пароль при первом входе в систему, пользователь сможет зайти в систему только после смены пароля через веб-интерфейс Контролера домена.

  • в выпадающем списке Основная группа выбрать группу, созданную на предыдущем шаге:

../../../../../_images/user_mrd_11.png

  • в Дополнительные группы указать brestusers:

../../../../../_images/user_mrd_12.png

  • нажать кнопку Создать.

  1. Создать Администратора групп, для этого действиями, описанными на предыдущем шаге, создать учетную запись Администратора группы:

  • в веб-интерфейсе ПВ в меню слева выбрать пункт Система — Группы, в списке групп выбрать созданную ранее группу;

  • во вкладке Пользователи нажать кнопку Редактировать администраторов:

../../../../../_images/user_mrd_13.png

  • в открывшемся списке выбрать необходимого пользователя и нажать кнопку Применить:

../../../../../_images/user_mrd_14.png

  1. Настроить группы FreeIPA, для этого подключиться к веб-интерфейсу Контролера домена пользователем с административными полномочиями:

  • во вкладке Пользователи в меню слева выбрать пункт Активные пользователи:

../../../../../_images/user_mrd_15.png

  • нажать на имя нужного пользователя для редактирования;

  • в открывшемся окне Параметры выбрать требуемые уровни конфиденциальности в выпадающих списках Минимальный уровень конфиденциальности и Максимальный уровень конфиденциальности:

../../../../../_images/user_mrd_16.png

  • нажать кнопку Сохранить;

  • перейти во вкладку Минимальная категория конфиденциальности и нажать кнопку Добавить:

../../../../../_images/user_mrd_17.png

  • в открывшемся окне в списке Доступно отметить необходимые категории и перенести их в список Ожидается нажав кнопку >. Нажать кнопку Добавить:

../../../../../_images/user_mrd_18.png

Примечание

При первом назначении категорий их применение происходит мгновенно. При редактировании уже назначенных категорий изменения применяются с задержкой в полтора часа, из-за обновления информации в кэше службы SSSD фронтальных серверов.

  • перейти во вкладку Максимальные категория конфиденциальности и настроить аналогичным образом.

  1. Подключиться к веб-интерфейсу ПВ, для этого при первом подключении к веб-интерфейсу ПВ необходимо настроить браузер, добавив обработку обмена данными аутентификации из ОС:

Примечание

Для полноценной работы с механизмом МРД, необходимо выполнить вход в систему используя терминал (ПК), заведенный в домен, к которому принадлежит ПВ, а также ОС терминала должна поддерживать работу с механизмом МРД. Если пользователю назначено несколько уровней конфиденциальности, то при входе можно будет выбрать необходимый уровень. Сменить уровень конфиденциальности можно только выполнив вход в систему заново, категории конфиденциальности используются автоматически.

  • запустить браузер Mozilla Firefox,в адресную строку ввести about:config и нажать клавишу <Enter>;

  • на открывшейся странице с предупреждением нажать на кнопку Принять риск и продолжить:

../../../../../_images/user_mrd_19.png

  • на открывшейся странице Расширенные настройки в поле поиска ввести слово uris;

  • для параметров network.negotiate-auth.trusted-uris и network.negotiate-auth.delegation-uris установить значение https://:

../../../../../_images/user_mrd_20.png

В дальнейшем работа с ПВ не отличается от обычной.

Примечание

Настроить или скорректировать необходимые доступы к ВМ может сам пользователь на странице ВМ во вкладке Безопасность. При использовании Динамической модели Parsec, ВМ получает максимально возможную метку категории и уровень конфиденциальности, согласно доступам, создающего ВМ, пользователя. Для корректировки используемой метки необходимо выбрать Статическую модель и указать желаемую метку.

Мандатное разграничение ВМ между разными компаниями#

Еще одним вариантом применения МРД для разграничения доступа к ресурсам является его использование в группе-компаний, имеющей единую систему виртуализации для консолидации и оптимизации использования аппаратного обеспечения. Пользователи разных компаний не будут иметь доступ к ресурсам других организаций холдинга за счет использования механизма допусков ПВ, но, при необходимости, можно будет открыть доступ, скорректировав эту настройку для необходимого ресурса. Тогда как уровни конфиденциальности помогут разграничить доступ к ресурсам внутри компании. Также использование механизма МРД позволит минимизировать риск компрометирования важной информации в случае ошибочного добавления пользователя к группе, за счет назначения группе свою метку категории конфиденциальности.

В нижеприведенном примере каждому пользователю определенной компании назначается одна категория, внутри одной FreeIPA-группы можно разграничить доступ используя иерархический уровень конфиденциальности.

При такой схеме организации работы, механизм ACL будет использован для разделения компаний, в то время как механизм меток МРД для разделения внутри компании:

  • Пользователь 1 состоит в Компании 1 и имеет Уровень 0 и Категорию 0;

  • Пользователь 2 состоит в Компании 2 и имеет Уровень 0 и Категорию 1;

  • Пользователь 3 состоит в Компании 1 и имеет Уровень 1 и Категорию 0;

  • Пользователь 4 состоит в Компании 2 и имеет Уровень 1 и Категорию 1;

  • Пользователь 5 состоит в Компании 2 и имеет Уровни 0 и 1, Категорию 1.

Для таких пользователей общее мандатное представление доступа будет выглядеть следующим образом:

../../../../../_images/user_mrd_21.png

Где для каждого отдельного пользователя:

  • Доступ к ВМ Пользователя 1:

../../../../../_images/user_mrd_22.png

  • Доступ к ВМ Пользователя 2:

../../../../../_images/user_mrd_23.png

  • Доступ к ВМ Пользователя 3:

../../../../../_images/user_mrd_24.png

  • Доступ к ВМ Пользователя 4:

../../../../../_images/user_mrd_25.png

  • Доступ к ВМ Пользователя 5:

../../../../../_images/user_mrd_26.png

Для настройки разграничение ВМ для групп в разных компаниях необходимо:

  1. Создать группы пользователей, для этого в веб-интерфейсе ПВ в меню слева выбрать пункт Система — Группы и нажать кнопку +:

  • в открывшемся окне во вкладке Общее указать название группы:

../../../../../_images/user_mrd_27.png

Предупреждение

В названии группы не допускается использовать буквы в верхнем регистре.

  • указать необходимые настройки во вкладке Представление:

../../../../../_images/user_mrd_28.png

  • во вкладке Права настроить права доступа:

../../../../../_images/user_mrd_29.png

  • нажать кнопку Создать.

  1. Создать пользователей, для этого в веб-интерфейсе ПВ в меню слева выбрать пункт Система — Пользователи и нажать кнопку +:

  • в открывшемся окне Создать пользователя необходимо указать имя пользователя, пароль, подтверждение пароля и снять флаг Сменить пароль при первом входе в систему:

../../../../../_images/user_mrd_30.png

Примечание

Если оставить флаг Сменить пароль при первом входе в систему, пользователь сможет зайти в систему только после смены пароля через веб-интерфейс Контролера домена.

  • в выпадающем списке Основная группа выбрать группу, созданную на предыдущем шаге:

../../../../../_images/user_mrd_31.png

  • в Дополнительные группы указать brestusers:

../../../../../_images/user_mrd_32.png

  • нажать кнопку Создать.

  1. Создать Администратора групп, для этого действиями, описанными на предыдущем шаге, создать учетную запись Администратора группы:

  • в веб-интерфейсе ПВ в меню слева выбрать пункт Система — Группы, в списке групп выбрать созданную ранее группу;

  • во вкладке Пользователи нажать кнопку Редактировать администраторов:

../../../../../_images/user_mrd_33.png

  • в открывшемся списке выбрать необходимого пользователя и нажать кнопку Применить:

../../../../../_images/user_mrd_34.png

  1. Настроить группы FreeIPA, для этого подключиться к веб-интерфейсу Контролера домена пользователем с административными полномочиями:

  • во вкладке Пользователи в меню слева выбрать пункт Активные пользователи:

../../../../../_images/user_mrd_35.png

  • нажать на имя нужного пользователя для редактирования;

  • в открывшемся окне Параметры выбрать требуемые уровни конфиденциальности в выпадающих списках Минимальный уровень конфиденциальности и Максимальный уровень конфиденциальности:

../../../../../_images/user_mrd_36.png

  • нажать кнопку Сохранить;

  • перейти во вкладку Минимальная категория конфиденциальности и нажать кнопку Добавить:

../../../../../_images/user_mrd_37.png

  • в открывшемся окне в списке Доступно отметить необходимые категории и перенести их в список Ожидается нажав кнопку >. Нажать кнопку Добавить:

../../../../../_images/user_mrd_38.png

Примечание

При первом назначении категорий их применение происходит мгновенно. При редактировании уже назначенных категорий изменения применяются с задержкой в полтора часа, из-за обновления информации в кэше службы SSSD фронтальных серверов.

  • перейти во вкладку Максимальные категория конфиденциальности и настроить аналогичным образом.

  1. Подключиться к веб-интерфейсу ПВ, для этого при первом подключении к веб-интерфейсу ПВ необходимо настроить браузер, добавив обработку обмена данными аутентификации из ОС:

Примечание

Для полноценной работы с механизмом МРД, необходимо выполнить вход в систему используя терминал (ПК), заведенный в домен, к которому принадлежит ПВ, а также ОС терминала должна поддерживать работу с механизмом МРД. Если пользователю назначено несколько уровней конфиденциальности, то при входе можно будет выбрать необходимый уровень. Сменить уровень конфиденциальности можно только выполнив вход в систему заново, категории конфиденциальности используются автоматически.

  • запустить браузер Mozilla Firefox,в адресную строку ввести about:config и нажать клавишу <Enter>;

  • на открывшейся странице с предупреждением нажать на кнопку Принять риск и продолжить:

../../../../../_images/user_mrd_19.png

  • на открывшейся странице Расширенные настройки в поле поиска ввести слово uris;

  • для параметров network.negotiate-auth.trusted-uris и network.negotiate-auth.delegation-uris установить значение https://:

../../../../../_images/user_mrd_20.png

В дальнейшем работа с ПВ не отличается от обычной.

Примечание

Настроить или скорректировать необходимые доступы к ВМ может сам пользователь на странице ВМ во вкладке Безопасность. При использовании Динамической модели Parsec, ВМ получает максимально возможную метку категории и уровень конфиденциальности, согласно доступам, создающего ВМ, пользователя. Для корректировки используемой метки необходимо выбрать Статическую модель и указать желаемую метку.

Содержание