Постанализ юзкейсов, или Как спроектировать непрерывную ABAC-авторизацию UI и API. Часть 1

Значимый прорыв формирует отрасль ИИ: toro_boan 32 минуты назад Постанализ юзкейсов, или Как спроектировать непрерывную ABAC-авторизацию UI и API. Часть 1 Средний 8 мин 1. 4K Блог компании ИТ-холдинг Т1 IT-инфраструктура * Анализ и проектирование систем * Информационная безопасность * Туториал Всем привет!

Сегодня окунёмся в мир безопасности приложения с точки зрения системного аналитика: расскажем про актуальный контроль доступа применительно к UI и API, а также предложим свой экспериментальный подход для работы с требованиями авторизации ‑ «постанализ юзкейсов». На связи с вами Никита Таскин и Анастасия Ильина. Последние годы мы провели в разработке сервисов аутентификации и авторизации для огромной платформы, поэтому нам есть чем поделиться.

Технические детали

Речь пойдёт про мегакейс внедрения атрибутивного контроля в нашу систему управления проектами Сфера. Материала довольно много, поэтому мы разделили его на две части по типу интерфейсов: UI и API. Приятного погружения в наш мир!

ВведениеСейчас любой ИТ-специалист должен понимать основы безопасности, и игнорировать это требование уже нельзя. Оно становится неотъемлемой частью одной из главных задач системного аналитика — проектирования интерфейсов. Мы покажем на примере, как новые требования к контролю доступа могут стать серьёзной архитектурной проблемой вашего приложения, решаемой с помощью небольшой идеи и артефактов системного анализа.

Итак, ИТ-безопасность появилась как явление уже во времена первых промышленных вычислительных машин. Подробнее про эту эволюцию от ACL-файликов до безопасности в современных распределенных системах в разрезе функций идентификации, аутентификации и авторизации можно почитать в телеграм-канале Никиты «постанализ». А здесь мы сосредоточимся на самых актуальных понятиях: модели атрибутивной авторизации ABAC и концепция безопасности Zero Trust.

Отраслевые последствия

Об атрибутивном контроле доступа есть довольно много статей и видео, поэтому напомним, что в момент принятия решения о доступе пользователя необходимо вычисление условий на атрибут субъектов, объектов и окружения. В статье будут примеры реальных условий атрибутивного контроля, поэтому не беспокойтесь, если чувствуете, что «плаваете» в теме — это не помешает ознакомиться с темой. А вот второй «зверь», возможно, не так широко известен.

Парадигма Zero Trust возникла в 2010-м году, и без неё сегодня и без того огромное количество жертв киберпреступности, возможно, было бы в разы больше. В основе парадигмы лежит подход «Не доверяй никому», и она следует трём простым принципам:Явная проверка каждого запроса. Принцип наименьших привилегий.

Предположение о взломе. Первый принцип рождает понятие непрерывной проверки — использование наших функций безопасности буквально для каждого действия пользователя. Второй принцип говорит о том, что не нужно давать пользователю больше прав, чем ему нужно для работы в рамках его бизнес-роли, и для этого требуется гибкая система доступа.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.