Мнение Программного комитета о докладе
Задача создания правильной системы доступа возникает часто. В докладе рассказывается о подходе, как сделать хорошую систему, которая еще и ГОСТу будет соответствовать.
Строим систему управления доступом по ГОСТу: Envoy, OPA, Keycloak
Доклад принят в программу конференции
Целевая аудитория
Разработчики, архитекторы, начинающие специалисты в информационной безопасности.
Тезисы
При работе над информационными системами наша компания часто сталкивается с тем, что функции идентификации, аутентификации и авторизации в лучшем случае смешиваются в единый модуль, а в худшем сильно связаны (coupling) с бизнес-логикой приложения. Из-за такого подхода разработчики перестают понимать, где же в их приложении лежат столь важные функции безопасности, связанные с управлением доступом. Чревато это как уязвимостями *(OWASP TOP 10: A07:2021-Identification and Authentication Failures, A01:2021-Broken Access Control)*, так и сложностью аттестации на соответствие требованиям по защите информации.
В докладе я покажу, как с помощью популярных инструментов с открытым исходным кодом выстроить систему управления доступом, которая будет иметь минимальную связанность с разрабатываемой вами бизнес-логикой.
Важно понимать, что показанные инструменты являются лишь примером. Важна сама идея, подход, описанный в ГОСТ Р 59383 и ISO/IEC 29146, а они не ограничивают вас в используемых технологиях.
Системный архитекторв в ГК Юзтех с опытом в IT 10+ лет, ментор, преподаватель во внутрикорпоративном университете. Участвовал в качестве спикера в конференциях TechLead Conf, Moscow Python, PiterPy и в подкастах SkillBox «Люди и код», Moscow Python Podcast.
Usetech
Компания Usetech входит в топ-15 лидеров разработки программного обеспечения на российском рынке согласно рейтингу CNews Analytics и в топ-7 лучших IT-работодателей России 2020 по версии HH и Хабр. С 2006 года Usetech осуществляет полный спектр работ в области заказной разработки ПО для своих Заказчиков в отраслях: ритейл, финансы, телеком, IТ и государственном секторе.
Несколько фактов о Usetech:
• 2000+ успешных проектов;
• 50+ постоянных заказчиков;
• 8 офисов по всей России;
• больше половины топ-20 банков России — клиенты компании;
• больше половины топ-10 российских FMCG-сетей — клиенты компании;
• многие корпорации из Fortune 1000 — клиенты компании;
• 20+ млн. пользователей ежедневно используют программные решения Usetech;
• 60% сотрудников уровня Senior.
Видео
Другие доклады секции
TechLeadConf: Безопасность
