Το Identity and Access Management (IAM) είναι ένα πλαίσιο πολιτικών σχεδιασμένο για να καλύπτει τις απαιτήσεις της κυβερνοασφάλειας, διαχειριζόμενο τον τρόπο που οι χρήστες αλληλεπιδρούν με ψηφιακούς πόρους και ελέγχοντας τις επιτρεπόμενες ενέργειές τους. Αυτό το χαρακτηριστικό είναι πλέον διαθέσιμο στους DrayOS 5 Routers, προσφέροντας μια νέα προσέγγιση στη διαχείριση δικτύου. Αυτό το άρθρο θα δείξει πώς να χρησιμοποιήσετε το IAM σε έναν DrayOS 5 Router.
Το IAM προσφέρει ένα ολοκληρωμένο σύνολο ενισχύσεων ασφάλειας για τους DrayOS 5 routers. Με το IAM, οι διαχειριστές αποκτούν τη δυνατότητα να ελέγχουν τα δικαιώματα των χρηστών, να ορίζουν πολιτικές πρόσβασης και να συντονίζουν απρόσκοπτα τις πολιτικές ομάδων με το firewall και τις ρυθμίσεις υπό όρους πρόσβασης. Σε σύγκριση με το παλαιότερο firewall των DrayOS 4 routers, το IAM επιτρέπει στους διαχειριστές να διαχειρίζονται το δίκτυο βάσει ρόλων. Η επιλογή Users & Groups επιτρέπει την ανάθεση διαφορετικών επιπέδων δικαιωμάτων σε λογαριασμούς χρηστών.
Επιπλέον, το DrayOS5 είναι έτοιμο για Zero Trust! Το πνεύμα του IAM είναι "never trust, always verify". Στις πολιτικές IAM θα βρείτε πολιτικές πρόσβασης, πολιτικές ομάδων και πολιτικές πρόσβασης υπό όρους. Τα Access policies διασφαλίζουν ότι μόνο εξουσιοδοτημένοι χρήστες ή συσκευές μπορούν να έχουν πρόσβαση σε πόρους και υπηρεσίες, όπως χρήστες μέσω σύνδεσης ή επισκέπτες μέσω guest hotspot, και συσκευές με βάση τη λίστα διευθύνσεων MAC.
Τα Group policies συνδυάζουν φίλτρα IP & Content καθώς και τις ρυθμίσεις πρόσβασης υπό όρους.
Τα Conditional access policies μπορούν να απαιτούν από τους χρήστες να παρέχουν πολλαπλές μορφές ταυτοποίησης πριν τους επιτραπεί η πρόσβαση σε έναν πόρο. Οι πολιτικές μπορούν επίσης να εφαρμοστούν σε VLANs.
Η επιλογή Resources επιτρέπει την καταγραφή των διευθύνσεων IP και MAC τοπικών συσκευών όπως σταθμοί εργασίας, servers, κ.ά., κάτι που ενισχύει σημαντικά την αποτελεσματικότητα των πολιτικών πρόσβασης.
Παράδειγμα Ρύθμισης
Το παρακάτω παράδειγμα δείχνει πώς να επιτρέψετε σε προνομιούχους χρήστες LAN να έχουν πρόσβαση σε εσωτερικούς πόρους server.
1.Μεταβείτε στο IAM / Users & Groups / Users και κάντε κλικ στο κουμπί “Add” για να δημιουργήσετε ένα προφίλ χρήστη IAM ως εξής:
a. Εισάγετε Username και Password.
b. Ενεργοποιήστε MFA με TOTP.
c.Κάντε κλικ στο Apply και επικυρώστε το TOTP token με την εφαρμογή Authenticator.
2.Μεταβείτε στο IAM / IAM Policies / Access Policies, κάντε κλικ στο “Add” για να δημιουργήσετε προφίλ πολιτικής πρόσβασης ως εξής:
a. Εισάγετε το Name του προφίλ πολιτικής.
b. Επιλέξτε Login with built-in User στη λειτουργία Access Control Mode.
c. Επιλέξτε Multi-Factor στη λειτουργία Authentication Mode.
d. Κάντε κλικ στο “Apply” για αποθήκευση του προφίλ.
3.Μεταβείτε στο IAM / Resources, κάντε κλικ στο "Add" για να δημιουργήσετε Resource ως εξής:
a. Επιλέξτε τον τύπο του πόρου και εισάγετε τη διεύθυνση ανάλογα με το περιβάλλον σας.
b. Εδώ χρησιμοποιούμε ACS3 server, IP Address: 192.168.36.100 ως παράδειγμα.
c. Κάντε κλικ στο "Apply" για αποθήκευση.
4.Μεταβείτε στο IAM / IAM Policies / Conditional Access Policy, κάντε κλικ στο "Add" για να δημιουργήσετε προφίλ υπό όρους πρόσβασης:
a. Εισάγετε το Name του προφίλ πολιτικής.
b. Ενεργοποιήστε την επιλογή MFA condition ώστε να απαιτείται MFA για πρόσβαση σε πόρους.
c. (Προαιρετικό) Ορίστε Source IP και Time Schedule για πρόσβαση από συγκεκριμένες IP και ώρες.
5.Μεταβείτε στο IAM / IAM Policies / Group Policies, κάντε κλικ στο “Add” για να δημιουργήσετε πολιτική ομάδας ως εξής:
a. Εισάγετε το Name του προφίλ πολιτικής.
b. Ενεργοποιήστε time schedule για περιορισμό πρόσβασης εντός ωρών γραφείου.
c. Εφαρμόστε resource και conditional access policy στο Allowed Resource.
d. (Προαιρετικό) Ορίστε customized group firewall filter για περιορισμό πρόσβασης στο διαδίκτυο.
6.Μεταβείτε στο IAM / IAM Policies / Apply Policies to LAN και εφαρμόστε τα προφίλ πολιτικής πρόσβασης και ομάδας στο LAN2.
7.Οι προνομιούχοι χρήστες τώρα απαιτείται να συνδεθούν με 2FA για πρόσβαση στον εσωτερικό server.