«Форсайт. Мобильная платформа»: новый уровень безопасности для крупных заказчиков
Григорий Азарьянц
В этой статье я расскажу о некоторых нововведениях в «Форсайт. Мобильной платформе», которые были реализованы в 2020 году для соответствия типовым требованиям безопасности крупных компаний и холдингов. Эти доработки принципиальны для заказчиков с большим количеством мобильных проектов и смежных корпоративных систем. Например, в платформе была разработана ролевая модель администраторов, обеспечена сквозная авторизация с использованием единого входа (SSO), на регулярной основе проводится работа по соответствию данным международной базы уязвимостей CVE.
Доработка ролевой модели
Раньше в «Форсайт. Мобильной платформе» была реализована неразветвленная ролевая модель администраторов, которая могла устраивать только небольших заказчиков или тех, кто не так серьезно развил мобильность. Но в крупных компаниях ситуация другая. У них большое количество корпоративных приложений, которые относятся к разным блокам предприятия и разным процессам. В крупном холдинге могут параллельно идти 30-40 проектов по разработке мобильных сервисов, в разной стадии готовности. Если роль администратора платформы – только одна, то возникают сложности с координацией большого числа проектов. Вероятность ошибок повышается, потому что в каждое приложение нужно вносить свои изменения. Но самое главное – получается, что в роли администратора может оказаться целый ряд специалистов из разных проектных команд, в том числе сторонних, у которых будет доступ ко всем текущим мобильным проектам в платформе. Безусловно, это является угрозой с точки зрения информационной безопасности.
Теперь, после доработки ролевой модели, ситуация изменилась – в «Форсайт. Мобильн6ой платформе» можно создать роль администратора для отдельного проекта. Это дает ряд преимуществ: с одной стороны, есть человек, который погружен в проект, отлично знает все его детали. С другой стороны, он не может помешать разработке других приложений, потому что его полномочия четко определены. В этом случае права администратора можно предоставить и внешнему консультанту – у него будет доступ только к своему проекту.
Новая ролевая модель – это не просто незаметная фишка, это принципиальная вещь, которая меняет организацию работы внутри платформы. Она требуется не только на этапе разработки, но и на этапе эксплуатации приложений. Для крупных предприятий сервис – это также значимый процесс. Для корректного обслуживания большого количества приложений в соответствии с нормами безопасности разделение прав администраторов – очень важно. И теперь в платформе такая возможность есть.
Сквозная авторизация с использованием единого входа
Еще один важный шаг по развитию «Форсайт. Мобильной платформы» – это синхронизация ролей пользователей с корпоративными учетными записями. Это означает, что теперь при авторизации сотрудника компании в корпоративном мобильном приложении ему автоматически предоставляется доступ ко всем системам, с которыми он работает, в соответствии с полномочиями его учетной записи.
Такая сквозная авторизация, во-первых, делает жизнь пользователя проще – ему не нужно каждый раз на мобильном устройстве вводить пароль-логин для доступа к различным корпоративным системам.
Во-вторых, авторизация через SSO (технологию единого входа) удобнее с точки зрения организации процесса мобильного доступа к корпоративным системам. Потому что без применения сквозной авторизации разработчикам пришлось бы создавать и поддерживать дублирующий набор технических учетных записей, в соответствии с правами пользователей. А это потребует значительных трудозатрат.
Но главное – повышается уровень безопасности, потому что полномочия сотрудника зафиксированы один раз – на уровне его учетной записи, и больше нигде эти настройки не дублируются. Соответственно, ошибка доступа к данным исключена.
Соответствие базе данных CVE
Еще одно значимое направление работы по развитию «Форсайт. Мобильной платформы» – это регулярная проверка компонентов платформы на соответствие с базой данных Common Vulnerabilities and Exposures (CVE).
CVE – это международный проект, посвященный выявлению угроз безопасности в различных информационных компонентах, в том числе в опенсорсных источниках. Наша платформа построена именно на опенсорсных решениях, поэтому для нас изучение отчетов CVE является важной задачей.
Теперь мы на регулярной основе проводим аналитическую работу – при публикации очередного отчета CVE изучаем уязвимости в различных программных продуктах, на базе которых строится платформа, вовремя переходим на другую версию продукта, в соответствии с рекомендациями CVE.