Технологии для обеспечения сетевой безопасности через динамически выделяемые учетные записи - заявка 2016137260 на патент на изобретение в РФ

1. Устройство, содержащее:
процессорную схему; и
серверное приложение для исполнения процессорной схемой, причем серверное приложение содержит:
компонент управления учетными записями для приема от клиента, имеющего первую учетную запись, через клиентское устройство запрос на вторую учетную запись, чтобы осуществлять доступ к серверному устройству в наборе серверных устройств,
компонент авторизации учетных записей для авторизации запроса на вторую учетную запись, по меньшей мере, частично на основе информации учетной записи, ассоциированной с первой учетной записью,
компонент выделения учетных записей для выделения второй учетной записи, чтобы предоставить клиенту возможность осуществлять доступ к серверному устройству, и
компонент выдачи уведомлений по учетным записям для предоставления информации учетной записи, ассоциированной со второй учетной записью, клиенту через клиентское устройство;
при этом вторая учетная запись представляет собой динамическую (JIT) учетную запись; и
при этом набор серверных устройств сегментируется на множество границ ограничения уязвимости, и каждая граница ограничения уязвимости из множества границ ограничения уязвимости ассоциирована с одной группой безопасности, сконфигурированной предоставлять разрешение на доступ к набору серверных устройств в пределах каждой границы ограничения уязвимости.
2. Устройство по п. 1, в котором компонент авторизации учетных записей дополнительно выполнен с возможностью:
определять область действия и роль, ассоциированные с упомянутым запросом,
определять область действия и роль, ассоциированные с первой учетной записью, на основе информации учетной записи, ассоциированной с первой учетной записью, и
авторизовать упомянутый запрос, по меньшей мере, частично на основе области действия и роли первой учетной записи.
3. Устройство по п. 2, в котором компонент выделения учетных записей дополнительно выполнен с возможностью:
определять существование второй учетной записи с набором повышенных разрешений на доступ на основе роли и области действия, ассоциированных с упомянутым запросом,
создавать вторую учетную запись для доступа к серверному устройству, когда вторая учетная запись не существует, и
активировать вторую учетную запись для доступа к серверному устройству.
4. Устройство по п. 3, в котором компонент авторизации учетных записей дополнительно выполнен с возможностью:
идентифицировать группу безопасности, сконфигурированную предоставлять разрешение на доступ к границе ограничения уязвимости, содержащей упомянутое серверное устройство, и
связывать вторую учетную запись с этой группой безопасности, чтобы обеспечить второй учетной записи доступ к серверному устройству в пределах данной границы ограничения уязвимости.
5. Устройство по п. 1, при этом запрос повысить разрешения на доступ связан со временем действия, где время действия содержит заданный период времени для обеспечения доступа к серверному устройству, и вторая учетная запись автоматически деактивируется в конце этого заданного периода времени.
6. Устройство по п. 1, при этом серверное устройство требует набора разрешений на доступ, более высоких, чем набор разрешений на доступ, ассоциированных с первой учетной записью, и вторая учетная запись имеет набор повышенных разрешений на доступ, более высоких, чем набор разрешений на доступ, ассоциированных с первой учетной записью.
7. По меньшей мере один машиночитаемый носитель данных, содержащий множество инструкций, которые при их исполнении на вычислительном устройстве предписывают вычислительному устройству реализовывать устройство по любому из пп. 1-6.
8. Компьютерно-реализуемый способ, содержащий этапы, на которых:
принимают от клиента, имеющего первую учетную запись, через клиентское устройство запрос на вторую учетную запись с набором разрешений на доступ, чтобы осуществлять доступ к серверному устройству в наборе серверных устройств;
авторизуют, посредством аппаратных схем, запрос на вторую учетную запись, по меньшей мере, частично на основе информации учетной записи, ассоциированной с первой учетной записью;
выделяют вторую учетную запись для предоставления клиенту возможности осуществлять доступ к серверному устройству; и
предоставляют информацию учетной записи, ассоциированную со второй учетной записью, клиенту через клиентское устройство, при этом вторая учетная запись представляет собой динамическую (JIT) учетную запись; и
при этом набор серверных устройств сегментируется на множество границ ограничения уязвимости, и каждая граница ограничения уязвимости из множества границ ограничения уязвимости ассоциирована с одной группой безопасности, сконфигурированной предоставлять разрешение на доступ к набору серверных устройств в пределах границы ограничения уязвимости.
9. Компьютерно-реализуемый способ по п. 8, в котором активация второй учетной записи для доступа дополнительно содержит этапы, на которых:
идентифицируют группу безопасности, сконфигурированную предоставлять разрешение на доступ к границе ограничения уязвимости, содержащей упомянутое серверное устройство; и
связывают вторую учетную запись с этой группой безопасности, чтобы обеспечить второй учетной записи доступ к серверному устройству в пределах упомянутой границы ограничения уязвимости.
10. Устройство, содержащее средства для выполнения компьютерно-реализуемого способа по п. 8 или 9.
11. По меньшей мере один машиночитаемый носитель данных, содержащий множество инструкций, которые при их исполнении на вычислительном устройстве предписывают вычислительному устройству осуществлять способ по п. 8 или 9.
12. По меньшей мере один машиночитаемый носитель данных, содержащий инструкции, которые при их исполнении предписывают системе, содержащей набор серверных устройств:
принимать из клиентского устройства запрос на динамическую (JIT) учетную запись с набором повышенных разрешений на доступ, чтобы осуществлять доступ к серверному устройству, причем клиентское устройство имеет связанную с ним учетную запись клиента;
авторизовать запрос на JIT учетную запись, по меньшей мере, частично на основе информации учетной записи, ассоциированной с учетной записью клиента;
выделять JIT учетную запись, чтобы обеспечить доступ к серверному устройству; и
предоставлять информацию учетной записи, ассоциированную с JIT учетной записью, в клиентское устройство; и
при этом набор серверных устройств сегментируется на множество границ ограничения уязвимости, и каждая граница ограничения уязвимости из множества границ ограничения уязвимости ассоциирована с одной группой безопасности, сконфигурированной предоставлять разрешение на доступ к набору серверных устройств в пределах каждой границы ограничения уязвимости.
13. Машиночитаемый носитель данных по п. 12, при этом информация учетной записи содержит случайный пароль, сформированный приложением управления маркерами аутентификации, и этот случайный пароль содержит по меньшей мере два разных класса символов.
Наверх