Die ENC-Infrastruktur definiert eine Reihe von Ereignissen, die Vorgängen entsprechen, die eine Autorisierungsprüfung erfordern. Die meisten dieser Ereignisse können in einem TACE festgelegt werden, um zu steuern, welche Aktionen von Sicherheitsprinzipalen zu welchem Zeitpunkt zugelassen werden. In den meisten Fällen wird die physische Verbindung beendet, wenn die Autorisierungskomponente die Zugriffsanforderung ablehnt. Die Ereignisse "Namensabfrage" und "Agentenverbindung" stellen eine Ausnahme dar.
Nachfolgend werden die einzelnen Ereignisse der Reihe nach kurz beschrieben. Für jedes Ereignis definiert der Eintrag "Gesichertes Objekt" die geschützte Ressource und der Eintrag "Sicherheitsprinzipal" die anfordernde Ressource.
Gesichertes Objekt: Der ENC-Knoten, der die Verbindung empfängt.
Dies ist das einzige Ereignis, das nicht innerhalb einer TACE-Regel gesteuert wird. Daher ist das Ziel des Vorgangs implizit. Jeder Zugriff auf die Infrastruktur wird durch die weiße Liste der IP-Adressen gesteuert. Das Herstellen einer Verbindung zu den ENC-Infrastrukturknoten wird nur Knoten oder IP-Bereichen erlaubt, die in der weißen Liste der IP-Adressen aufgelistet sind. Das gesicherte Objekt in dieser Instanz ist immer der Ziel-ENC-Knoten. Die weiße Liste gilt derzeit für alle ENC-Infrastrukturknoten.
Gesichertes Objekt: Der ENC-Knoten, der die Verbindung akzeptiert.
Sicherheitsprinzipal: Die authentifizierte Identität des verbundenen ENC-Knotens.
Alle Knoten müssen sich authentifizieren, sobald sie eine Netzwerkverbindung zu einem Partner-ENC-Knoten hergestellt haben. Dieses Ereignis wird generiert, sobald eine erfolgreiche Authentifizierungssequenz abgeschlossen wurde. Der akzeptierende ENC-Knoten ruft die Autorisierungs-API mit dem authentifizierten URI des verbindenden Knotens auf, um festzustellen, ob der Vorgang zugelassen wird.
Der Zugriffssteuerungseintrag für dieses Ereignis kann das Ziel als literale Computer-Identität (von der Authentifizierung), als Musterübereinstimmungsausdruck zum Ansprechen einer Untergruppe von Computern oder als Bereichsnamen angeben.
Gesichertes Objekt: Der ENC-Gateway-Manager-Knoten.
Sicherheitsprinzipal: Die authentifizierte Identität des ENC-Gateway-Server-Knotens.
Wenn ein ENC-Gateway-Server erfolgreich eine authentifizierte Verbindung zu seinem Manager herstellt, sendet er eine Registrierungsmeldung mit einer Anfrage für die Registrierung als Server. Der ENC-Gateway-Manager ruft anschließend die Autorisierungskomponente auf, um festzustellen, ob die Registrierung des Servers bei diesem Manager zugelassen wird. Dadurch wird verhindert, dass nicht autorisierte ENC-Gateway-Server in das virtuelle ENC-Netzwerk aufgenommen werden.
Der Zugriffssteuerungseintrag für dieses Ereignis kann das Ziel als literale Computer-Identität (von der Authentifizierung), als Musterübereinstimmungsausdruck zum Ansprechen einer Untergruppe von Computern oder als Bereichsnamen angeben.
Gesichertes Objekt: Der ENC-Gateway-Server, der die Anfrage verarbeitet.
Sicherheitsprinzipal: Die authentifizierte Identität des ENC-Gateway-Router-Knotens.
Wenn ein Router erfolgreich eine authentifizierte Verbindung zu seinem Server herstellt, sendet er ebenfalls eine Registrierungsmeldung mit einer Anfrage für die Registrierung als Router. Der ENC-Gateway-Server führt eine lokale Autorisierungsprüfung durch, um festzustellen, ob dieser Vorgang zugelassen wird, und leitet die Anfrage anschließend zur weiteren Autorisierung an den ENC-Gateway-Manager weiter.
Der Zugriffssteuerungseintrag für dieses Ereignis kann das Ziel als literale Computer-Identität (von der Authentifizierung), als Musterübereinstimmungsausdruck zum Ansprechen einer Untergruppe von Computern oder als Bereichsnamen angeben.
Gesichertes Objekt: Der ENC-Gateway-Manager-Knoten.
Sicherheitsprinzipal: Die authentifizierte Identität des ENC-Gateway-Router-Knotens.
Dieses Ereignis wird generiert, wenn ein Server eine Router-Registrierungsmeldung weiterleitet. Der ENC-Gateway-Manager ruft die Autorisierungskomponente auf, um festzustellen, ob die Aufnahme des Routers in das virtuelle ENC-Netzwerk zugelassen wird.
Der Zugriffssteuerungseintrag für dieses Ereignis kann das Ziel als literale Computer-Identität (von der Authentifizierung), als Musterübereinstimmungsausdruck zum Ansprechen einer Untergruppe von Computern oder als Bereichsnamen angeben.
Gesichertes Objekt: Der ENC-Gateway-Server, der die Anfrage verarbeitet.
Sicherheitsprinzipal: Die authentifizierte Identität des ENC-Client-Knotens.
Dieses Ereignis wird generiert, wenn sich ein ENC-Client-Knoten auf einem ENC-Gateway-Server-Knoten registriert. Der Server führt eine lokale Autorisierungsprüfung durch und leitet die Registrierungsanfrage anschließend für eine Autorisierungsantwort an den ENC-Gateway-Manager weiter.
Der Zugriffssteuerungseintrag für dieses Ereignis kann das Ziel als literale Computer-Identität (von der Authentifizierung), als Musterübereinstimmungsausdruck zum Ansprechen einer Untergruppe von Computern oder als Bereichsnamen angeben.
Gesichertes Objekt: Der ENC-Gateway-Manager-Knoten.
Sicherheitsprinzipal: Die authentifizierte Identität des ENC-Client-Knotens.
Dieses Ereignis wird generiert, wenn ein ENC-Gateway-Server-Knoten eine ENC-Client-Registrierungsmeldung an den ENC-Gateway-Manager weiterleitet.
Der Zugriffssteuerungseintrag für dieses Ereignis kann das Ziel als literale Computer-Identität (von der Authentifizierung), als Musterübereinstimmungsausdruck zum Ansprechen einer Untergruppe von Computern oder als Bereichsnamen angeben.
Dieses Ereignis ist derzeit nicht implementiert. Das Ereignis ist eine lokale Agenten-Autorisierungsprüfung, um festzustellen, ob das Herstellen einer Überwachungsverbindung durch den ENC-Agenten zugelassen wird.
Dieses Ereignis ist derzeit nicht implementiert. Das Ereignis ist eine lokale Agenten-Autorisierungsprüfung, um festzustellen, ob das Herstellen einer ausgehenden Verbindung durch den ENC-Agenten zugelassen wird.
Gesichertes Objekt: Die Sicherheitsidentität des Ziel-ENC-Knotens.
Sicherheitsprinzipal: Die authentifizierte Identität des anfordernden ENC-Client-Knotens.
Dieses Ereignis wird auf dem ENC-Gateway-Manager-Knoten generiert, wenn eine Verbindung von einem ENC-Agenten zu einem anderen ENC-Agentenknoten hergestellt werden soll.
Der Zugriffssteuerungseintrag für dieses Ereignis kann das Ziel als literale Computer-Identität (von der Authentifizierung), als Musterübereinstimmungsausdruck zum Ansprechen einer Untergruppe von Computern oder als Bereichsnamen angeben.
Gesichertes Objekt: Die Sicherheitsidentität des ENC-Gateway-Router-Knotens.
Sicherheitsprinzipal: Die authentifizierte Identität des anfordernden ENC-Client-Knotens.
Dieses Ereignis wird auf dem ENC-Gateway-Router-Knoten generiert, wenn ein ENC-Agent eine Verbindung zu dem Router herstellt, um eine virtuelle Verbindung zu einem anderen ENC-Agentenknoten zu schaffen.
Der Zugriffssteuerungseintrag für dieses Ereignis kann das Ziel als literale Computer-Identität (von der Authentifizierung), als Musterübereinstimmungsausdruck zum Ansprechen einer Untergruppe von Computern oder als Bereichsnamen angeben.
Gesichertes Objekt: Die Sicherheitsidentität des Ziel-ENC-Knotens.
Sicherheitsprinzipal: Die authentifizierte Identität des anfordernden ENC-Client-Knotens.
Dieses Ereignis wird auf dem ENC-Gateway-Manager-Knoten generiert, wenn von einem ENC-Knoten ein Namensabfragevorgang ausgeführt werden soll, um einen symbolischen Hostnamen in eine private ENC-Adresse zu konvertieren.
Der ENC-Gateway-Manager extrahiert zunächst den Ziel-DNS-Namen aus der Anforderung für die Namensabfrage und konvertiert diesen in einen oder mehrere Client-Datensätze (wodurch doppelte Hostnamen in verschiedenen Bereichen, jedoch nicht innerhalb eines Bereichs zugelassen werden). Diese Client-Datensätze werden an die Autorisierungskomponente weitergeleitet, die entscheidet, ob die Anforderung für die Namensabfrage zugelassen werden soll. Ein Client-Datensatz besteht aus dem bekannten DNS-Namen und der authentifizierten Identität des Objekts.
Der Zugriffssteuerungseintrag für dieses Ereignis kann das Ziel als literale Computer-Identität (von der Authentifizierung), als Bereichsnamen oder als Musterübereinstimmungsausdruck zum Ansprechen einer Untergruppe von Computern oder sogar mehrerer Bereiche angeben.
Gesichertes Objekt: Die Sicherheitsidentität des Ziel-ENC-Knotens.
Sicherheitsprinzipal: Die authentifizierte Identität des anfordernden ENC-Client-Knotens.
Dieses Ereignis wird generiert, wenn eine ENC-Client-Verbindung Management-Informationen vom Ziel-ENC-Gateway anfordert.
Die Management-Informationen können Daten zu allen virtuellen ENC-Verbindungen umfassen, die von einem ENC-Server beherbergt werden, daher darf nur bestätigten Knoten Zugriff erteilt werden.
|
Copyright © 2013 CA.
Alle Rechte vorbehalten.
|
|