Dynamic Access Control 解説編
-
Upload
junichi-anno -
Category
Technology
-
view
1.879 -
download
1
Transcript of Dynamic Access Control 解説編
ダイナミックアクセス制御とはDynamic Access Control(DAC)
2013年03月29日Version 2.0
“データガバナンス” へのニーズ
CIO
インフラサポートコンテンツオーナー
Information Worker
正しいコンプライアンスが必要
どのデータに責任があって、どうやって制御すればよいかわからない
コンプライアンスに違反しているかどうか心配せずに必要なデータを使用したい
自分のデータが適切に保護されているかどうやって監査すればよいのだろう?
そうは言っても、複雑な ”データガバナンス”
監査暗号化
• グループメンバーシップの管理• 増え続けるグループとメンバー
増減への対応• 複雑なメンバーシップルール
• 監査対象データの識別• 暗号化すべきデータの識別• 膨大なデータ
• ファイル単位のアクセス権• 増え続けるファイル• 管理の分散(コンプライア
ンス測定不能)
アクセスポリシー
ID管理
User and Device Claims
• Restricted to making policy decisions based on the user’s group memberships
• Shadow groups are often created to reflect existing attributes as groups
• Groups have rules around who can be members of which types of groups
• No way to transform groups across AD trust boundaries
• No way to control access based on characteristics of user’s device
Pre-2012: Security Principals Only
• Selected AD user/computer attributes are included in the security token
• Claims can be used directly in file server permissions
• Claims are consistently issued to all users in a forest
• Claims can be transformed across trust boundaries
• Enables newer types of policies that weren’t possible before:
• Example: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and
Device.Managed=True
Windows Server 2012: Security Principals, User Claims, Device Claims
Expression-Based ACEs
• Led to group bloat
• Consider 500 projects, 100 countries, 10 divisions
• 500,000 total groups to represent every combination:
• ProjectZ UK Engineering Users
• ProjectZ Canada Engineering Users [etc…]
Pre-2012: ’OR’ of groups only
• ACE conditions allow multiple groups with Boolean logic
• Example: Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering)
• 610 groups instead of 500,000
Windows Server 2012: ‘AND’ in expressions
• 3 User Claims & Resource Properties
Windows Server 2012: with Central Access Policies & Classification
アクセスコントロール
• アクセスコントロール(アクセス制御)とは...... ユーザーがアクセスしてもよいかどうかを評価するためのプロセス
• Windows の場合以下の 2 種類• ACL ベースのアクセスコントロール• Expression ベースのアクセスコントロール
アクセスアクセス権 ID情報
ACL(Access Control List)ベースのアクセスコントロール
ACE
Resource
ACL
ACE
ACE
ACE
Read/Write
ACE
A
Read Only
ユーザー
グループ
ACE
• リソースにアクセスコントロールエントリ(ACE)を静的に割り当てる
• 各 ACE は「OR」で接続される
AGDLP
Resource
ACL
ACE
ACE
ACE ドメイン ローカルグループ
Read Only
ACE
A :Account
G : Global Group
DL : Domain Local Group
P : Permission
グローバルグループ
“アクセス権”に合わせて作成されたグループ
グローバルグループ
組織や役割ごとのグループ
ユーザー
静的なACLを動的に管理するための Id プロビジョニングシステム
グループ
A
• 「静的」な ACE を「動的」に割り当てる仕組みも存在する
• Forefront Identity Manager のダイナミックグループ機能
workflow
メタデータ
グループ
Expression-Based グループ
通常のグループ Expression-Based グループ
RBAC(Role-Based Access Control)
ユーザーやグループ単位ではなく”役割”単位でアクセス制御すること
....とはいえ、Windows の場合「役割」を「グループ」として表現するしかない....
役割(Role:ロール) グループ 権限
公共事業部マーケティング部所属 PubSec-Marketing 読み取り
公共事業部営業部所属 PubSec-Sales 読み取り
公共事業部課長 PubSec-Managers 読み取り
公共事業部部長 PubSec-SrManagers 読み取り
・・・・・
グループベース RBAC の限界
Resource
ACLACE
A
Resource
• リソースの増加とグループの増加• 複雑なメンバーシップ管理(1グループ1人 !?)• イレギュラーでダイナミックな組織構造• リソース管理者 ≠ ID 管理者
ACL
ACE
A
A
A
A
A
A AACE
ACE
A
AA
A
ID 管理(ID 管理者)アクセス管理
(リソース管理者)連携が必要
Expression-Based Access Control
• ユーザー側の属性とリソース側で定義した属性の条件によってアクセスを制御
条件が合致すればアクセス可能
アクセスルールユーザーCountry = リソース Country
ユーザー Department = リソース Departmentデバイス Owner = “Microsoft”
ユーザー属性 リソース属性
デバイス属性
Dynamic Access Control
Resource
• Expression-Based Access Control...
...利用者のキャラクター(属性)によって動的にアクセスを制御する
• リソース管理者(リソースオーナー)は条件(Condition)を管理するだけ• ID 管理者は ID のプロビジョニングに対して責任を持つ
営業部Read
IT部Backup
経理部R/W
A
A
A
ID 管理(ID 管理者)アクセス管理
(リソース管理者)
IT部
経理部
営業部
A人事部
A企画部
condition
condition
condition
互いに素
Windows Server 2012 ダイナミックアクセス制御(DAC)
監査暗号化
• クレームベースのアクセス制御
• 監査ポリシーの集中管理• 自動識別と自動暗号化
• アクセスポリシーの集中管理
アクセスポリシー
ID管理
DAC によってそれぞれのテクノロジーを結びつける
DAC の想定シナリオ
• アクセスポリシー(Central Access Policy)の集中管理
全社コンプライアンスポリシー 組織の認可ポリシー
• ファイルアクセス監査ポリシー(Central Audit Policy)の集中管理
• File Classification Infrastructure(FCI)と連携したファイルの自動分類
データの自動分類 社外秘データの自動暗号化 法廷保存期間に沿ったファイルサーバー上のデータの保管
リソースごとに行っていたアクセス制御をエンタープライズレベルで統制
「クレームベースのアクセス制御」とは
• 「クレーム」とは「要求」のこと• 「要求」を出すのは「リソース(例:ファイルサーバー)側」• ユーザーはリソース側のクレームに合致した属性情報を「トークン」として提示• リソースは受け取ったトークンを解析してアクセス認可を判断
リソースユーザー
トークンを解析してアクセス認可を判断
Name = Junichi Anno
Company = MSKK
Department = Evangelism
Title = Evangelist
DAC でのアクセス制御プロセス
DAC においては• クレーム = 「分類属性」として定義• トークン = Kerberos チケットとして AD DS から発行される
AD DS
ログオン
属性情報を含んだKerberos チケット
チケットとクレームを照合
WindowsServer 2012 必須※属性を受信して解析する機能が必要
ユーザーon Windows 8
Name = Junichi Anno
Company = MSKK
Windows Server 2012 必須※Kerberosに属性を含める機構が必要
ファイルサーバー
(参考)クライアントが Pre-Windows 8 の場合
Windows 7 以前のクライアントの場合、属性が格納されたKerberosチケットを要求することができないため、ファイルサーバーがAD DSから属性情報を受け取る
AD DS
ログオン
従来の Kerberosチケット
チケットとクレームを照合
WindowsServer 2012 必須※属性を受信して解析する機能が必要
ユーザーon Pre-Windows 8
属性は含まれない
Windows Server 2003 以上のドメインレベル※Service-for-User-to-Self(S4U2Self)機構が必要
ファイルサーバー属性情報を含んだ
Kerberos チケット
分類属性(Classification Attributes)
• ファイルシステムが持つ標準的な属性情報を拡張するための「属性リスト」• 属性を編集するにはファイル サーバー リソース マネージャーのインストールが必須• AD DS 側で属性リストを集中管理し、グループポリシーとして配布可能
ファイルサーバー+ ファイルサーバーリソースマネージャー
AD DS
DAC に必要なすべての情報が DC で集中管理される
条件が合致すればアクセス可能
アクセスルールユーザー Country = フォルダ R_Country
ユーザー Department = フォルダ R_Department
Active Directory Domain Service
DAC に必要な情報は3つ• ユーザーの属性情報• リソースの属性情報(分類属性)• アクセスルール
DAC によるアクセスポリシー管理の全体像
Country
Department
ソース(ユーザー)
リソース
R_Country
R_Department
クレームタイプ(要求の種類)
リソース プロパティ
Active Directory
グローバルリソース プロパティ リスト
結合
集約型アクセス規則
アクセス元の条件と条件を満たした時のアクセス権 ターゲットとなるリソースの条件
集約型アクセスポリシー
GPO
適用
分類属性とリソースの条件が合致すればアクセス権が与えられる
「Active Directory 管理センター」で作成した「集約型アクセスポリシー」をグループポリシーオブジェクト(GPO)に結合することでファイルサーバーに適用する
アクセス権適用の優先順位
Access
Control
Decision
共有のアクセス権
NTFSアクセス権
集約型アクセスポリシー
集約型アクセスポリシーが最優先される
アクセス拒否発生時の速やかな対応
ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、速やかな問題解決を図るために以下の対応が可能。
• メッセージの送信 to システム管理者 to 共有フォルダーの所有者
• アクセス権取得の要求
グループポリシーおよびファイルサーバーリソースマネジャーで設定
DAC に求められる条件
リソース管理者の責任
IT(ID)管理者の責任
• コンプライアンスに沿った条件設定• 状況に応じたダイナミックな設定変更
• ID 情報の精密性• 迅速な ID 情報の反映
管理者の管理範囲は狭くなるが、管理の精密性が求められる