Читать книгу Цифровое просвещение – философия, стратегия, этика, Виртуальная Компьютерная Лаборатория. Искусство и наука технологического лидерства в эпоху искусственного интеллекта - Михаил Александрович Демидов, Михаил Александрович Полиевктов, Михаил Александрович Шилов - Страница 21

Модели контроля доступа помогают обеспечить безопасность социотехнических систем, определяя правила и политики, которые управляют возможностями пользователей взаимодействовать с объектами. В Виртуальной Компьютерной Лаборатории такими объектами могут являться виртуальные машины, устройства, ресурсы и данные. Атрибутивный контроль доступа (Attribute-Based Access Control, ABAC), мандатный контроль доступа (Mandatory Access Control, MAC) и дискреционный контроль доступа (Discretionary Access Control, DAC) представляют собой три основных подхода к управлению доступом, каждый из которых имеет свои особенности и применения.

При использовании атрибутивного контроля доступа (ABAC) решение о предоставлении доступа принимается на основе атрибутов (характеристик) пользователя, атрибутов объектов, к которым осуществляется доступ и текущего контекста. ABAC дает возможность создавать гибкие и динамичные политики безопасности, которые могут включать в себя условия, такие как время суток, местоположение пользователя и его роль в организации. Этот подход обеспечивает высокую степень гранулярности и адаптивности в управлении доступом.

Мандатный контроль доступа (MAC) обеспечивает доступ к объектам на основе централизованных политик безопасности. В системах с MAC каждый объект (например, диск, каталог, файл или виртуальная машина) и субъект (пользователь или процесс) имеют метки безопасности. Доступ предоставляется только в том случае, если метка безопасности субъекта соответствует метке объекта. MAC часто используется в критически важных системах с высокими требованиями к безопасности, например в военных или правительственных организациях.

В рамках дискреционного контроля доступа (DAC) владельцы объектов (или пользователи с соответствующими правами) могут на свое усмотрение устанавливать политики доступа для других пользователей, т.е. выдавать или отзывать доступ к объекту по собственному усмотрению, что обеспечивает гибкость, но может создавать риски безопасности из-за потенциального отсутствия строгих централизованных политик контроля.

Предоставление студентам администраторских прав в рамках реализации принципов самоорганизации и плюрализма в Виртуальной Компьютерной Лаборатории до сих пор вызывает в академической среде бурные дискуссии о поиске баланса между гибкостью и безопасностью. Мнение автора однозначно – необходимо обеспечивать такой уровень контроля и безопасности, который позволяет студентам исследовать и экспериментировать без ограничений, но при этом минимизируя риски для инфраструктуры и данных, на столько на сколько это возможно. Виртуальная Компьютерная Лаборатория не должна ограничивать техническое творчество учащихся, направленное на создание и развертывание сложных программно-технологических решений, поэтому возрастает роль логирования и контроля в Виртуальной Компьютерной Лаборатории, т.к. именно эти механизмы обеспечивают безопасность, прозрачность и возможность аудита, что является основой для надежной и управляемой образовательной среды.

Очень важно, чтобы пользователи с правами администратора были осведомлены о рисках и лучших практиках безопасности, т.к. понимание принципов безопасной работы и последствий небрежного обращения с администраторскими правами является ключевым для минимизации ошибок и инцидентов. Также для минимизации рисков, связанных с основной инфраструктурой, можно применить принцип сегментации и настроить ролевой доступ таким образом, чтобы пользователи могли управлять только определенными ресурсами или сервисами в пределах своей виртуальной среды. В некоторых случаях не будет лишним внедрение динамического управления доступом на основе контекста, например местоположения пользователя, времени суток, типа устройства и актуальности сессии. В любом случае, необходимо создать четкие, понятные и легко доступные политики безопасности и процедуры контроля доступа для обеспечения цифровой прозрачности, которые дают возможность всем участникам понимать ограничения и возможности Виртуальной Компьютерной Лаборатории.

Еще раз стоит отметить, что логирование действий пользователей с правами администратора дает возможность отслеживать все изменения и операции, проводимые в виртуальной инфраструктуре. Это обеспечивает полную прозрачность и помогает быстро выявлять и исправлять неправомерные или ошибочные действия. Систематическое логирование и аудит действий гарантируют, что все пользователи с правами администратора, могут быть привлечены к ответственности за свои действия. Это способствует соблюдению политик безопасности и этических стандартов в рамках образовательной среды.

Детализированные логи также помогают в диагностике и устранении технических проблем, облегчая процесс идентификации причин сбоев или непредвиденного поведения системы. Это крайне актуально в образовательной среде, где экспериментирование студентов может привести к нестандартным конфигурациям или ошибкам в Виртуальной Компьютерной Лаборатории.

Очень важно, чтобы система контроля доступа и логирования помогала обнаруживать и реагировать на инциденты безопасности в реальном времени. Это дает возможность предпринимать необходимые шаги для защиты Виртуальной Компьютерной Лаборатории и пользовательских данных в случае обнаружения подозрительной активности или нарушений политик доступа. Более того, система контроля доступа и логирования может выступать и в качестве образовательного инструмента, позволяя учащимся анализировать последствия своих действий в безопасной и контролируемой среде, что приводит к более глубокому пониманию вопросов управления ИТ-инфраструктурой и безопасности.

Поскольку образовательные учреждения подпадают под действие законодательства, регулирующего защиту данных и информационную безопасность, то система контроля доступа и логирования Виртуальной Компьютерной Лаборатории должна оказывать помощь в обеспечении соответствия этим требованиям, предоставляя необходимые средства для аудита и доказательства принятых мер безопасности.

Однако нельзя забывать о том, что безопасность Виртуальной Компьютерной Лаборатории напрямую зависит от выбранной технологической платформы, поскольку различные технологические платформы могут предлагать разнородные и сильно отличающиеся друг от друга возможности защиты, наборы функций и инструменты администрирования. Эта зависимость подчеркивает важность осознанного выбора технологической платформы.

Например, технологическая платформа VMware vSphere Foundation, на которой базируется Виртуальная Компьютерная Лаборатория созданная автором, поддерживает следующие функции контроля доступа и обеспечения безопасности: Permissions and User Management, Role-Based Access Control, Identity Provider Federation, Audit Logging/ Aria Operations for Logs, Network I/O Control, Distributed Firewall, VM Encryption, vSphere Trust Authority, Secure Boot, AppDefence, vSphere Data Protection, Update Manager, NSX Data Center. Это подчеркивает серьезный и ответственный подход автора к созданию безопасной и эффективной виртуальной образовательной среды и его стремление к лучшим практикам в области информационной безопасности.

Кроме того, интеграция принципов самоорганизации с функциями безопасности и контроля доступа требует продуманного подхода, учитывающего как потребности в обучении и экспериментировании в процессе формирования сложных знаний и навыков для цифрового технологического уклада, так и необходимость защиты ресурсов и данных для повышения доверия пользователей к Виртуальной Компьютерной. На сегодняшний день это может быть достигнуто только через сочетание технологических решений, организационных, этических и методических инициатив.

При этом нужно стремиться к такой комплексной стратегии безопасности, которая учитывает необходимость обучения студентов в условиях, максимально приближенных к реальным, что включает в себя не только технические аспекты, такие как правильная настройка прав доступа и использование современных средств защиты, но и организационные меры, например разработку четких процедур и политик, регулярных тренингов и мастер-классов по кибербезопасности и этике в ИТ. Создание такой сбалансированной и безопасной среды позволяет учащимся приобретать ценные знания и навыки, а также будет способствовать развитию культуры безопасности и ответственности в сфере цифровых технологий.