Сегментация идентификационных данных – это не просто IP-адреса или VLAN, сегментация идентификационных данных признана лучшей практикой для защиты бизнес-сегментации 

Сегментация идентификационных данных фокусируется на сегментации доступа к сетевым ресурсам и приложениям на основе идентификационных данных пользователей или устройств. Вместо того, чтобы полагаться исключительно на традиционные сетевые параметры, такие как IP-адреса или VLAN, для определения доступа, сегментация идентификационных данных использует атрибуты идентификации объекта, такие как роли пользователей, тип устройства или другие специфические атрибуты, для контроля и ограничения доступа.  

Понимание сегментации идентификационных данных 

Вот несколько ключевых моментов для понимания:  

• Безопасность, ориентированная на пользователя: Традиционная сети часто основывается на физических или виртуальных периметрах для определения границ. В отличие от этого, сегментация идентификационных данных сосредоточена на пользователе или устройстве, определяя доступ на основе их индивидуальной идентификации и роли в организации. 
• Динамическое управление доступом: По мере изменения ролей пользователя или приложения или рабочих требований разрешения и доступ, связанные с этим объектом, могут динамически адаптироваться, гарантируя, что у них всегда будет нужный уровень доступа (и не более) в нужное время.  
• Сокращение поверхности атаки: Ограничивая доступ только к тому, что необходимо для конкретного пользователя или администратора, сегментация идентификационных данных сводит к минимуму потенциальные пути, которые может использовать злоумышленник. Если злоумышленник компрометирует учетную запись пользователя или устройство, он ограничен доступом, который имеет конкретное удостоверение, вместо того, чтобы иметь карт-бланш по всей сети, по сути создавая микро-периметр для любой атаки.  
• Улучшенная видимость: Внедрение сегментации идентификационных данных часто предполагает получение более четкого представления о том, кто находится в сети и к чему они получают доступ, какие приложения выполняют и какие вызовы они совершают. Эта улучшенная видимость помогает в мониторинге и быстром обнаружении любого аномального поведения.  
• Детализация: сегментация идентификационных данных позволяет осуществлять детальный контроль над ресурсами, известный как микросегментация, но это наилучший возможный подход к решению проблемы. Например, два пользователя с одинаковым названием должности могут иметь разные права доступа на основе других атрибутов, таких как отдел, местоположение или участие в проекте. Два приложения могут иметь схожее назначение или использоваться одним и тем же отделом, но могут нуждаться в доступе к разным данным или должны быть доступны только руководству организации. 
• Поддержка нулевого доверия: Модель нулевого доверия работает по принципу “никогда не доверяй, всегда проверяй”. Сегментация идентификационных данных хорошо согласуется с этой моделью, поскольку она не предполагает безоговорочного доверия к какому-либо пользователю или устройству исключительно на основе его сетевого местоположения.  
• Совместимость с современными рабочими средами: С ростом удаленной работы, политик BYOD (приносите свое собственное устройство) и облачных приложений традиционный сетевой периметр стал размытым. Сегментация идентификационных данных подходит для этих современных рабочих сред, фокусируясь на идентификационных данных пользователей, приложений и устройств, а не на фиксированных сетевых местоположениях.  

Сегментация идентификационных данных для корпоративных приложений 

С точки зрения корпоративного приложения, сегментация идентификационных данных относится к практике определения и контроля доступа к определенным функциям приложения, данным или компонентам на основе идентификации пользователя или устройства, взаимодействующего с приложением. Она гарантирует, что пользователи и устройства взаимодействуют только с теми частями приложения, доступ к которым им разрешен, на основе их уникальных атрибутов идентификации. Эта концепция особенно важна в многопользовательских средах или приложениях, которые обрабатывают конфиденциальные данные. Ключевым отличием этой среды от других является широкое использование учетных записей служб. Разработчикам требуются эти учетные записи, обладающие особыми привилегиями, для автоматизации команд в операционной системе. 

Вот более подробный взгляд на сегментацию идентификационных данных с точки зрения приложения:  

• Управление доступом на основе ролей (RBAC): Одной из наиболее распространенных реализаций сегментации идентификационных данных в приложениях является RBAC. Пользователям назначаются роли, и эти роли определяют, к каким частям приложения они могут получить доступ и какие действия они могут выполнять. Например, в финансовом приложении обычный сотрудник может просматривать только данные о транзакциях, в то время как менеджер может авторизовывать транзакции.  
• Управление доступом на основе атрибутов (ABAC): ABAC более детализирован, чем RBAC. Доступ определяется на основе различных атрибутов, таких как отдел пользователя, конфиденциальность данных, к которым осуществляется доступ, время доступа и т.д. Например, приложение для здравоохранения может разрешить врачам доступ к медицинским записям, но только в том случае, если пациент в данный момент находится на приеме у врача.  
• Сегментация данных: Помимо функций приложения, сегментация идентификационных данных также может применяться к данным внутри приложения. Пользователь может иметь доступ к приложению, но может видеть только определенные наборы данных или записи в базе данных на основе своей идентификации.  
• Многопользовательский режим: В многопользовательских приложениях сегментация идентификационных данных гарантирует, что каждый арендатор (или клиент) может получить доступ только к своим данным и конфигурациям. Это особенно распространено в облачных приложениях “Программное обеспечение как услуга” (SaaS).  
• Динамическое применение политики: Современные приложения могут настраиваться в режиме реального времени на основе динамических атрибутов. Например, пользователь обычно может иметь доступ к определенным данным. Тем не менее, если доступ к ним осуществляется из нового местоположения или в нерабочее время, приложение может ограничить доступ, запрашивая дополнительную аутентификацию.  
• Микросервисы и идентификация: Поскольку приложения все чаще разрабатываются как наборы микросервисов, сегментация идентификационных данных становится критически важной. У каждого микросервиса могут быть свои средства контроля доступа, и пользователи или другие службы должны проходить проверку подлинности и быть авторизованы надлежащим образом для взаимодействия с ним.  
• Аудит и соответствие требованиям: Когда в приложениях имеется четкий механизм сегментации идентификационных данных, проще проверять, кто к чему обращался и когда. Такая детализация часто требуется для соблюдения таких правил, как GDPR, HIPAA или PCI-DSS.  
• Улучшенный пользовательский интерфейс: Адаптируя интерфейс приложения на основе идентификационных данных пользователя, вы можете предоставить им наиболее релевантные функции и данные, оптимизируя их взаимодействие и делая приложение более удобным для пользователя.  
• Сокращение поверхности атаки: Если злоумышленнику удается скомпрометировать учетные данные пользователя – или, что еще хуже, учетную запись службы, — сегментация идентификационных данных гарантирует, что он сможет получить доступ только к тому, что доступно законному пользователю. Они не могут, например, повысить свои привилегии или получить доступ к другим частям приложения, не предназначенным для этой идентификации. 

Сегментация идентификационных данных, с точки зрения приложений, заключается в обеспечении правильного доступа к нужным пользователям в нужное время. По мере усложнения приложений и обработки все более конфиденциальных данных этот детализированный подход к управлению доступом, основанный на идентификации, становится необходимым как для безопасности, так и для функциональности. 

Сегментация на будущее 

По мере того, как организации сталкиваются с постоянно развивающимися киберугрозами и все более сложной средой кибербезопасности battlefield, сегментация идентификационных данных предлагает способ обеспечения безопасного контролируемого доступа, адаптированного к каждому отдельному пользователю, приложению или устройству. Это означает переход от широких моделей безопасности, основанных на периметре, к более тонким подходам, основанным на идентификации, – подходу, достойному будущего кибербезопасности.