これは私がオフィスで扱っているトリッキーな問題です。管理には、伝統的な3層アプリケーションに関して、職務の分離という非常に興味深い概念があります。
これが壊れた電話ゲームから生まれた内部の文化なのか、それとも私がこれまでに出会ったことのないフレームワークの一部なのかを理解しようとしています。
アプリケーション管理者 ~~~~~~~~~~~~~~~~~~~ 管理Me ~~~~~~~~~~ ~~ アプリケーションリーダーXX アプリケーション管理XX OSユーザーOX OS管理OO データベースユーザー(ro)OO データベースユーザー(rw)OO データベース管理OO OS管理者 ~~~~~~~~~~~~~~~~~ 管理者 ~~~~~~~~~~ ~~ アプリケーションリーダーOO アプリケーション管理OO OSユーザーXX OS管理XX データベースユーザー(ro)OO データベースユーザー(rw)O O データベース管理者O O
ITILに関する曖昧なコメントと、「外部」ポリシーに関する他の曖昧なコメントがあります。詳細はありません。
preventアプリケーション管理者がOSレベルのアクセス権を持つ可能性のある分離の原則を誰かが知っていますか?
私は特に3層アプリについて話しています。 OS管理者はアプリケーションの専門知識がないことに注意してください。アプリケーション管理者は、カスタマイズされたインストールガイドをOS管理者に提供する責任があります。OS管理者は静かにそれをめちゃくちゃにして、アクセス権なしでトラブルシューティングを行い、何が問題だったかを確認します。
ソフトウェア開発モデルの非常に骨折した適応のように聞こえますが、私はそれに指をまったく置くことができません。
これは異常なことではありませんが、ITILは一連のルールではなくガイドラインであることに注意してください。これらのガイドラインの独自の解釈を設定するのは、ITILガイダンスを採用する各組織次第です。
そして、残念ながら、アプリケーション管理者が手順をめちゃくちゃにして、知識の少ない担当者に福音として渡して失敗するのを観察することも珍しくありません。場合によっては、残念ながら、特に職務の分離が新しく、特権が剥奪されることに憤慨している場合、この取り組みの一部が協調して行われます。
残念ながら、機密データを処理する環境では、セキュリティルールに対する解決策や説明はありません。私が理解する最善の方法は、運営委員会の会合を避け、セキュリティ問題についてのあなたの見解を主張することではありません。私は個人的に、チームがrootアカウントにアクセスできないようにするために、歯と爪を戦いました。すべての組織で、1人または2人を慎重に選択し、これらの昇格された特権で信頼する必要があります。それらの決定に何が入るかわからないが、決定が紙の上で見栄えをよくするためにそれらを行うだけの人々によって真空で行われるセキュリティ決定は、いかなる犠牲を払っても避けられるべきです。これが、すでに忙しいスケジュールの数時間を殺し、意味のない会議に座っていることを意味する場合は、そうしてください。
職務の分離は、垂直攻撃、つまり成功するために2つ以上の統合された要素の協力を必要とする攻撃を防御しようとする戦略です。
たとえば、1組のユーザーがログポリシーの作成とログの確認を担当し、別のユーザーセットがシステムへのユーザーの追加または削除を担当している場合、2人が協力してシステムにユーザーを追加せずにシステムにユーザーを追加する必要があります。さえ記録されています。
職務分掌戦略では、パフォーマンスと効率が低下します。職務分離なしで1人で実行できる作業は、2人で実行する必要があります。これは明らかに生産性が低くなります。
職務がアプリケーション管理者とOS管理者に分かれている場合、生産性が失われ、グループ間の摩擦さえ生じることがよくあります。全体的なセキュリティを損なうことなく生産性を向上させるアプローチを提案してみてください。 OS管理者にインストールのスクリーンショットまたはログを文書化するよう依頼してください。そうすれば、何か問題が発生したときに、データを処理することができます。
私は多くのお客様と同じ会話をしてきました…それは私を夜に目覚めさせます。
これは私にそれを説明した顧客の数です:
エンタープライズアプリケーションサーバーには何百万ものドキュメントがあり、すべてのユーザーがアクセスできることがわかっています。私たちは、これらの大きなデータセット内の機密文書を特定し、それらを制限されたサーバーに分離することを要求する規制の対象となっています。また、ユーザーがドキュメントを間違ったサーバーに保存することを制限することも重要です。このデータを分離して適切な物理サーバーに配置する方法はわかりません。このプロジェクトは非常に複雑で、どこから始めればよいかさえわかりません。
これがコンテンツ分離の問題です。エンタープライズコンテンツ管理アプリケーションは、ビジネスの日常業務において非常に重要であり、グローバルコラボレーションビジネスプロセスの不可欠な部分であることに、私たちは皆同意するでしょう。ただし、これらのアプリケーションは、コンテンツの分離のニーズに適切に対応していません。エンタープライズおよびセキュリティアーキテクトは、これらのアプリケーションで作成、保存、共有されるデータを保護および管理するためのより洗練された方法を探しています。
データ分離に関する私の考えの詳細を読んでください:データ分離:エンタープライズコンテンツのセキュリティ保護の欠落 http://goo.gl/8E0E8E