Обеспечение безопасности файлов на корпоративных серверах выглядит как
контроль за кошками в период размножения – если вовремя не стерилизовать их, то
вскоре у тебя будет целое стадо кошачьих. Microsoft борется с этой проблемой
посредством Dynamic Access Control, службы, которой будет оснащен готовящийся к
выходу Windows Server 8, созданной для обеспечения централизованной защиты на
уровне доменов файлов и папок поверх всех существующих файловых разрешений.
Согласно Microsoft, более 80% корпоративных данных находится на серверах
компании. В большинстве случаев документация контента либо полностью
отсутствует, либо представлена плохо, отсутствует контроль сохранности базы
данных и метаданных о ведомственной собственности. "Системные администраторы, на
самом деле, не имеют представления о том, какого рода информация хранится на их
серверах", даже несмотря на то, что они сами настраивали системы и хранилища,
сообщил Нир Бен-Зви, руководитель проекта в Microsoft, на пресс-конференции на
прошлой неделе.
В обновленной версии Active Directory служба Dynamic Access Control совмещает
обеспечение безопасности Kerberos, улучшенную защиту на уровне файлов и систему
аутентификации, которая автоматически помечает конфиденциальные данные по их
содержимому и автору.
"Номера счетов кредитных карт, например, могут быть идентифицированы и
помечены как особо важные", - говорит Бен-Зви. Dynamic Access Control вводит в
лексикон безопасности серверов Windows понятие "претензий" (claims), концепт
которых давно использовался в сфере интегрированной интернет-безопасности,
однако на языке Microsoft это понятие относится к объектам, изданным Active
Directory.
Active Directory 8 определяет претензии на файлы, папки и совместно
используемые ресурсы, каждый из которых может быть послан на другие серверы
Windows Server 8, находящиеся внутри организации, вместе с запросом на
определение свойств файла и политики доступа.
Система Dynamic Access Control, основанная на "четырех китах", начиная с
работы с идентификацией особо важных данных посредством ручного, автоматического
или основанного на приложениях тегирования. Например, администратор может
пометить все документы Excel как конфиденциальные и начать поиск в содержании
документов Word слова "конфиденциальный" для дополнительного тегирования.
Центральная политика доступа строится на этих "тегированных" файлах при
помощи нового инструмента для Active Directory Administrative Center,
работающего с выражениями, который создает условия доступа для пользователей и
"претензий" устройств и тегов файлов и управляет отказом в доступе.
Используя централизованную политику автоматически (или вручную), можно
ограничить доступ к файлам исходя из разнообразных критериев, включая
пользователя, устройство и отдел. "Я могу применить эту функцию относительно
всей организации, по всем отделам и репозиториям", - заявляет Бен-Зви, при
условии, что файлы находятся на сервере Windows Server 8. Если нет, то теги
контроля доступа сохраняются, но политика доступа больше не действует.
Третий "кит" DAC – это аудит, выполняемый посредством применения
централизованной политики относительно различных серверов при помощи все того же
инструмента и поддержки "претензий", дополненных областью технологической
подготовки, которая позволяет симулировать изменение политики доступа.
Наконец, последний "кит", на котором стоит безопасность Windows Server 8, это
защита данных, которая автоматически применяет модель безопасности Microsoft RMS
к документам Office практически сразу после того, как документы помечаются
тегами, распространяясь и на другие, не имеющие отношения к Office, документы.
