Привилегированный режим Datareon Platform
Потребность в привилегированном режиме
Datareon Platform является мощным инструментом интеграции. Для обеспечения подключения и обмена с системами, реализованными на платформе «1С:Предприятие» в поставку включена специальная подсистема, которая встраивается в любую систему на платформе «1С:Предприятие 8.3» («1С:Предприятие 8.2» в режиме совместимости) без необходимости снятия ее с поддержки и без доработки и адаптации. Подсистема обеспечивает все необходимые механизмы для интеграции этих систем с Платформой. Подсистема использует привилегированный режим выполнения для:
Массовой обработки данных.
Управления обменами и доступом к объектам, которые в обмене участвуют.
Важно
Прямое редактирование объектов подсистемы Datareon Platform (снятие режима «Привилегированный») категорически не рекомендуется. Это может привести к:
Невозможности бесшовного обновления
Нарушению функциональности интеграции
Зачем нужен привилегированный режим?
Привилегированный режим - это инструментальный механизм 1С для решения специфических задач:
Целостность операций. Гарантирует завершение критических операций даже при ошибках доступа.
Работа с метаданными. Требуется для настройки интеграции и управления подписками.
Высокая производительность. Оптимизация выполнения системных операций.
Управление заданиями. Обеспечивает надежный запуск фоновых процессов.
Примечание
Привилегированный режим активируется только на время выполнения конкретной операции и не делегируется конечным пользователям.
Основные вопросы безопасности Datareon Platform
Опасение №1: «Пользователь получает доступ к связанным данным»
Реальность: Datareon Platform не обходит проверки прав 1С. Доступ к данным осуществляется системой для выполнения конкретной задачи, а не предоставляется пользователю.
Опасение №2: «Риск злоупотреблений»
Реальность: Администрирование подсистемы Datareon Platform доступно только пользователям со специальными ролями (сшпАдминистратор), которые должны контролироваться политиками ИБ.
Опасение №3: «Нарушение принципа минимальных привилегий»
Реальность: Datareon Platform не добавляет пользователям дополнительных прав в 1С. Принцип соблюдается на уровне пользовательских сессий.
Опасение №4: «Несоответствие требованиям ИБ»
Реальность: Архитектура Datareon Platform разработана с учетом безопасности. Компания Datareon прошла сертификацию подсистемы от 1С и признана совместимой.
Безопасные подходы к ограничению прав
Контроль назначения ролей Datareon Platform
Необходимо жестко регламентировать назначение ролей:
сшпАдминистратор
сшпАдминистраторESB
Анализ и контроль обработчиков
Обработчики выполняются в привилегированном режиме - изменение обработчиков возможно лишь через Datareon Platform, доступ к изменению обработчиков должны иметь лишь администраторы, отвечающие за написание логики обработчика.
Потенциальные последствия отключения привилегированного режима
Невозможность бесшовного обновления подсистемы Datareon Platform.
Усложнение технической поддержки. Из-за изменений, которые вносятся в подсистему Datareon Platform, будет сложнее выявить, где конкретно находится ошибка. Дополнительно, будет трудно проводить анализ с точки зрения «Ошибка в продукте, или в собственных модификациях подсистемы Datareon Platform».
Возможные ошибки в интеграционных процессах.
Ложное чувство безопасности. Отключение привилегированного режима у компонентов подсистемы Datareon Platform не даёт реальной защиты, скорее наоборот мешает бизнесу. Важно строить именно ролевую модель ответственных сотрудников в разрезе их прав на те или иные объекты.
Заключение
Привилегированный режим в Datareon Platform - это необходимый архитектурный элемент, а не уязвимость. Настоящие риски безопасности лежат в:
Неправильном назначении административных ролей.
Неконтролируемом доступе к изменению обработчиков.
Самостоятельной модификации объектов подсистемы.
Соблюдение лучших практик позволяет успешно внедрять Datareon Platform даже в средах со строгими требованиями ИБ, обеспечивая стабильность и безопасность.