6.01M
Category: internetinternet

VTB. Cloud интеграция с ДиЗ

1.

VTB.Cloud интеграция с
ДиЗ

2.

Информация.
Добавление нового Стрима в VTB.Cloud
На поддержку VTB.Cloud
приходит запрос о добавлении
нового стрима и списка ИС
Поддержка создаёт нужную
указанную структуру
Лидеру стрима или
делегированному
представителю
предоставляются права на
уровень «Стрим» с ролью
администратор

3.

Информация.
Наследование прав, первичное создание
струкутры
Права наследуются от вышестоящих
объектов. На схеме отображено
красной линией
Лидер стрима создает орг. структуру
(или делегирует это другому
сотруднику через предоставление
прав «администратора» на любой из
доступных ему уровней)
Роль «Администратор» имеет права на
создание и удаление элементов орг.
струкутуры, делегирования прав иным
пользователям, управление всеми
объектами в Проектах
Создание серверов и
пользовательских групп возможно
только на уровне Проекта
У проекта есть атрибуты ИС и Среда

4.

Проблема 1.
Неправильный дизайн орг. структуры
При неправильном дизайне и
назначении прав, сотрудник
развития получает доступ к
вложенным проектам

5.

Решение проблемы 1
Использование правильного
дизайна:
Использование
дополнительных каталогов
Сред и выдача на них прав (1)
Выдача прав только на
уровень Проекта (2)
Оба варианта можно сочетать
Запретить использовать роли
разрешающие управление
объектами «Серверы»/
«Группы доступа» на уровень
Папок, оставить только права
управление дизайном орг.
структуры и другими
операциями не связанными
напрямую с управлением
заказами.
*Использование правильного дизайна описано в АИС проекта VTB.Cloud

6.

Информация.
Группы доступа и заказы
При заказе серверов,
пользователь должен
указывать «группы доступа»
созданные в том же проекте
«Группы доступа» созданные в
VTB.Cloud должны
использоваться только для
предоставления прав на
заказываемые продукты в
cloud
При заказе продукта
указывается роль для
выбранной «группы доступа»
Доступные роли в продуктах
имеют необходимые
привилегии для работы с
конкретным приложением и
согласуются в ИНР Продукта

7.

Проблема 2.
Согласованность с 776 распоряжением.
В настоящий момент VTB.Cloud не выполняет требования 776 распоряжения.
Согласно Распоряжению 776:
все права выдаваемые в рамках ИС должны быть согласованы в принятой в Банке системе
управления доступов - ДиЗ
Необходимо решить задачи:
На основании какой заявки в ДиЗ были выданы права на управление таким-то объектом в
VTB.Cloud (Распорядение 776)
Роли должны согласовываться для конкретной ИС
Ограничить наполнение групп Cloud (использование white листов сформированных через
ролевую модель в ДиЗ)
Допущения согласованные с ИБ:
Сохранение управление группами cloud для выдачи ролей в самих продуктах (предоставление
отчета о выданных правах через группы доступа)

8.

Согласованность с 776 распоряжением.
Решение 1.
Создать единую заявку в ДиЗ
Запретить использовать роль
«администратор» в VTB.Cloud на
уровень папки
При назначении прав в
VTB.Cloud проверять, что
пользователь завел заявку на
нужный уровень доступа
При добавление пользователя в
группу, проверять, что
пользователь заводил заявку на
нужный уровень доступа
В АИС заказчика должны быть
указаны перечень групп
управляемых через VTB.Cloud с
указанием id проектов. Указать,
что включение в группу
возможно только для
сотрудников получивших
согласование по ID заявки при
запросе прав на PROD среду,
роли Администратор, АИС XXX

9.

Согласованность с 776 распоряжением.
Решение 1.
В настоящий момент данное решение не возможно
применить:
Интерфейс заявки в ДиЗ не позволяет
выбрать разные роли для разных ИС
Необходима доработка по согласованию
только «изменений». Пример: ранее были
права на ИС1, добавили ИС2 -> согласуем
только с ИС2 изменения
Необходимо подтверждать ранее выданные
доступы –> роли выданные на значения
справочника необходимо выбирать заново.
Требуется доработка поведения фронта ->
сейчас это сложно выглядит.
Отсутствуют необходимы для безопасности
отчеты (проблема при использовании
справочников со стороны ДиЗ)
Особенности реализации
Выданные права –> являются «разрешением»
для делегирования прав на портале
Сложность реализации отзыва прав. Так как
права это список разрешений в ДиЗ, то при
отзыве прав пользователь удаляется из
соответствующей группы, со стороны
VTB.Cloud необходимо обойти дерево и
забрать права.

10.

Проблема 3.
Разные стримы отвечают за сопровождение сред

11.

Решение: проекты должны находиться
в разных стримах
Возможная реализация:
1.
Запрет на создание проектов с
определенным типом на уровне
дерева для конкретных стримов, на
основе данных из РИС
2.
Не предоставлять возможность
самостоятельного создания
проектов – заменить на
заявку(оир)/другие решения

12.

Согласованность с 776 распоряжением.
Развилка решений
Подробней на следующих слайдах.

13.

1.На каждый проект VTB.Cloud
создавать ОИР
Плюсы:
Точечное согласование (требуется доработка ДиЗ) с
владельцем среды из РиС
автоматизация выдачи прав
Минусы:
Долгая регистрация ОИР
Уровень согласование доступа – проект. Для согласования
доступов на уровень ИС, требуется заводить отдельный
шаблон АИС/ОИР.
Сложная навигация для получения прав/создания проектов –
особенность работы с ОИР
Особенности:
ОИР по количеству Проектов VTB.Cloud ±6900
Автоматизация создания проектов в VTB.Cloud во время
создания ОИР
Необходимость использования уникальных имен в
ПРОЕКТАХ -> приведение всех проектов к уникальному
именованию

14.

2. Пример пользовательского пути при
использовании ОИР на каждый проект
VTB.Cloud

15.

На каждую ИС
создаем ОИР
Плюсы:
Возможность добавить роль на уровень ИС или
Проекта
Минусы:
Нужно найти ответ с кем согласовывать выдачу
прав?
Особенности:
ОИР по количеству ИС ±860
К созданию ОИР возможно привязать процесс
первичного добавления ИС на портал
Требуется использовать абстракцию/агрегацию
СРЕД
Согласование ролей для СРЕД являются
«разрешением» для делегирования прав на портале
Сложность реализации отзыва прав. Так как права
это список разрешений в ДиЗ, то при отзыве прав
пользователь удаляется из соответствующей группы,
со стороны VTB.Cloud необходимо обойти дерево и
забрать права.

16.

3. Единая заявка
Плюсы:
Заявки АИС легко изменяются(простая доработка
ролевой модели)
Точечное согласование (требуется доработка ДиЗ) с
владельцем среды из РиС
Использование Kafka для автоматизации (сценарий
ИС Ролевая Модель)
Не требует приводить именование проектов к
уникальным значениям
Минусы:
Значимые(?) Доработки со стороны ДиЗ, слайд 9
Согласование подхода с ИБ
Особенности:
Согласование ролей для СРЕД являются
«разрешением» для делегирования прав на портале
Сложность реализации отзыва прав. Так как права
это список разрешений в ДиЗ, то при отзыве прав
пользователь удаляется из соответствующей группы,
со стороны VTB.Cloud необходимо обойти дерево и
забрать права.

17.

Дальнейшие шаги
VTB.Cloud согласует подход с руководством АИС 1482 по изменению
пользовательского пути и использованию ОИР
VTB.Cloud описывает и согласует ТЗ на доработку ОИР с ДиЗ
ДиЗ предоставляют срок реализации ОИР, включая работы по пакетному созданию
объектов
Информирование пользователей об предстоящих изменениях
Приведение проектов и орг. структуры к новому виду и именованию.
Автоматизация данного процесса. VTB.Cloud
Информирование пользователей о необходимости завести заявки по ОИР
English     Русский Rules