Мессенджеры глубоко проникли в бизнес-процессы компаний, что подчас становится головной болью для специалистов по ИБ. Помогает решить задачу защиты чувствительной бизнес-информации такая функция как ролевая модель. Это специальная система управления, который определяет набор прав и разрешений для различных категорий пользователей, сервисов и приложений. Любых приложений — в том числе и  мессенджеров, подумали мы. И вот в 2024 году ролевая модель появилась в eXpress. В этой статье я, Алена Папушева, руководитель клиентской поддержки платформы корпоративных коммуникаций eXpress, покажу, как этот популярный инструмент применим в корпоративном мессенджере и как он помогает одновременно работать и с открытой, и с конфиденциальной информацией в рамках одного интерфейса.

Что такое ролевая модель и как она работает в eXpress

Не будем вдаваться в историю этого метода управления доступом, о нем можно найти много информации (например, в блоге коллег по ИБ). Сфокусируемся на возможностях ролевой модели в мессенджере. Ролевая модель — это обширный набор параметров, атрибутов и правил, которые можно настраивать с помощью консоли администрирования. Основные цели — предотвратить утечку данных, упростить процесс выдачи запретов пользователям мессенджера и управлять доступами к функциям мессенджера по атрибутам.

Настройка ролевой модели происходит на сервере компании, а отображение — в клиентском приложении у пользователя. То есть при работе клиент-серверного приложения, где включена ролевая модель, клиент отправляет запрос о возможности совершить действие на сервер и получает от сервера положительный или отрицательный ответ. 

Ещё с момента выхода на рынок наш мессенджер отличался широким набором инструментов и технологий для защиты контента и каналов связи. Но время идет, требования заказчиков повышаются. Сегодня в корпоративном продукте критически важна функция гибкой настройки прав доступа и разграничения возможностей работы с чувствительными данными. 

Ролевая модель, реализованная в eXpress, помогает:

• устанавливать необходимые запреты в мессенджере и смартаппах

  • на отправку, пересылку вложений;

  • на просмотр вложений;

  • на скачивание/пересылку/шаринг вложений;

  • на доступ получателям к вложениям, которые отправили пользователи нашего сервера.

• устанавливать обязательные функции безопасности

  • доступ к платформе только по PIN-коду

  • доступ к смартаппам только определенным группам пользователей.

Также пользователи корпоративного сервера должны быть своевременно предупреждены, что переписка идет с внешним пользователем, чтобы повысить внимательность и аккуратность работы с документами.

Однако откуда в корпоративном мессенджере организации внешние пользователи? Ответ прост: они могут появиться в чате, если корпоративный мессенджер, как наш, поддерживает федеративный протокол передачи данных.

Более того, в нашем случае федеративный протокол — ключевая концепция. В 2015 году, приступая к созданию eXpress, мы поставили цель создать корпоративный российский продукт, который заменит все публичные недоверенные мессенджеры, но при этом будет максимально похож на них. Поэтому в нашем мессенджере, как и в популярных публичных, можно общаться с внешним миром: контрагентами, партнерами, клиентами — всеми, кто также входит в Федерацию eXpress (а это уже почти 2 млн пользователей!).

Ролевая модель глазами администратора: основные принципы настройки

Ролевая модель на сервере включается и выключается одноименным тумблером. Открыв настройки ролевой модели, администратор видит список категорий пользователей и созданных для них правил. Для каждого правила отображается его название, описание, статус (активно или на паузе), свойства, инструменты редактирования.

Допустим, администратору нужно создать новое правило. Ролевая модель работает на запреты: с ее помощью нельзя выдать разрешение — можно только что-то кому-то запретить. И администраторам важно тщательно продумать сами запреты и роли для пользователей заранее. Отсюда следует порядок действий администратора. 

Определяем запреты, которые заказчик хочет настроить: для кого они будут, на что конкретно будут направлены. Для удобства можно составить таблицу.

Создаем группу пользователей в соответствующем разделе, даем ей название. Группу можно создать, например, по ролям OpenID или по определенным полям профиля: должностям, отделу, логинам и так далее. Также можно создать группу, в которую войдут все пользователи данного сервера — для этого достаточно отметить нужные платформы и указать название группы.

Выбираем платформы, на которых будет действовать ограничение для этой группы пользователей, и тип подключения. Администратор системы может гибко настраивать политики обмена данными в зависимости от того, к какой сети подключается пользователь и с какого устройства он это делает. Правило может действовать, например, только для мобильных пользователей, подключенных не к корпоративной сети. В настройках группы ролевой модели можно выбрать внутренний или внешний контур. Что считать внутренним контуром, определяет настройка КСПД в разделе Fileservice.

Здесь же можно добавить исключения. Если мы, например, настраиваем группу пользователей по группе AD, но хотим, чтобы на одного из пользователей правило не распространялось — добавляем его в исключения (по логину или его идентификатору).

Создаем сами правила, даем им название и выбираем в них группу, область действия запрета (например, мессенджер), тип правила (например, запрет пересылки вложений) и тип вложения (например, изображения). Это 4 обязательных параметра, без них правило либо просто не сохранится, либо будет работать некорректно. Можно больше ничего не выбирать, тогда правило будет глобальным: например, запретит отправку изображений полностью конкретной группе пользователей. Можно сделать правило более локальным: например, в "назначении запрета" выбрать пользователей, присутствие которых в чате запрещает это действие, или конкретизировать параметры: например, ограничить вес прикрепляемых файлов 100 мегабайтами.

Если какое-то правило должно распространяться на все типы вложений — нужно создать 3 правила: на изображения, видео и документы. Для этого достаточно скопировать правило и сменить тип вложения.

Активируем сохраненное правило (по умолчанию оно сохраняется “на паузе”).

Важно: все правила ролевой модели настраиваются исключительно на пользователей корпоративного сервера заказчика. То есть мы не можем настроить какое-то правило на публичных пользователей eXpress или пользователей другого корпоративного сервера (сотрудников другой организации, использующей eXpress).

Ролевая модель глазами пользователя: популярные юз-кейсы

Запрет отправки документов внешним пользователям. Если вы заходите в чат, где присутствует пользователь публичной версии eXpress, система выдает предупреждение об этом. Пока вы сами не начнете переписку с этим пользователем, предупреждение не пропадает. Если отправка файлов внешнему пользователю ограничена, при попытке отправить или переслать такому пользователю файл вы увидите предупреждение о том, какой тип файлов отправлять нельзя.

Ограничение на доступ к вложениям в зависимости от платформы. Если вы с мобильного устройства пытаетесь получить доступ к документам, но видите сообщение об ограничении на просмотр данных файлов с мобильных платформ — значит, в ролевой модели реализован соответствующий запрет и ничего не остается, как посмотреть файлы за компьютером в десктопной версии приложения.

Ограничение на доступ к вложениям в зависимости от источника вложения. Допустим, в запрете просмотра видео администратором указано дополнительное условие «все, кроме пользователей со своего сервера». Тогда вы сможете смотреть видео от пользователей со своего сервера беспрепятственно, но видео от пользователей с других серверов посмотреть будет нельзя: файл будет заблюрен и над ним отобразится предупреждение об ограничении на просмотр вложений.

Запрет на действия в чате, где присутствуют пользователи определенных категорий. Если такой запрет настроен, то, например, пока вы находитесь в групповом чате, в котором есть пользователи с вашего сервера и с доверенных серверов, обмен данными будет беспрепятственным. Но как только в чате появляется хотя бы один публичный пользователь — правило применяется (например, ограничивается пересылка/скачивание/шаринг изображений).

Ранее мы упоминали о том, что правила распространяются только на пользователей нашего сервера. Однако, есть единственное правило, которое может ограничить просмотр файлов внешними пользователями — “Запрет для получателей скачивать вложения от пользователей с cts (корпоративного сервера)". В данном правиле выбранная группа пользователей  будет отправлять файлы беспрепятственно, проверка будет осуществляться на уровне получателя. 

В этом правиле обязательно нужно выбрать назначение запрета — по контуру или серверу (причем правило по контуру "строже" правила по серверу). Например, если в назначении запрета указать "Все, кроме пользователей внутреннего контура", то файл, отправленный пользователем из группы, можно будет открыть только пользователю нашего сервера и только из КСПД (конкретной локальной сети). Если же выбрать чуть менее строгий вариант "Все, кроме пользователей со своего сервера", файл, отправленный пользователем из группы, будет доступен для просмотра только пользователю с нашего сервера.

Ролевая модель распространяется и на eXpress SmartApps. eXpress представляет собой платформу для отдельных графических приложений — смартаппов, и здесь также можно настроить политики и правила ролевой модели с областью действия "в smartapps". Например, если активно правило на запрет отправки изображений в конкретном (например, почтовом) смартаппе, то в этом смартаппе прикрепить к письму изображение будет нельзя, кнопка отправки будет неактивна.

Правило на видимость смартаппов в каталоге настраивается не в ролевой модели, а в меню редактирования конкретного смартаппа в разделе "Боты". Ролевая модель в одноименной вкладке при этом обязательно должна быть включена.

Самые популярные вопросы

Может ли неблагонадежный пользователь обойти запрет на пересылку файлов определенного типа? Администратор может не указывать расширение файлов в правиле — и тогда запрет будет действовать на документы любого формата.

Как быстро применяются новые правила? При переключении по чатам или перезапуске приложения.

Как узнать, кто и когда создал правило ролевой модели? Правила ролевой модели логируются в разделе «Аудит». Если нажать на идентификатор каждого события, мы можем посмотреть подробности: с какого IP было создано правило, каким администратором, какое имя у этого правила и какое действие оно запрещает.

Возможности ролевой модели в корпоративном мессенджере вовсе не ограничены перечисленными выше — мы продолжаем развивать эту фичу eXpress, планировать доработки и отвечать на вопросы заказчиков. И на ваши вопросы с радостью ответим — welcome в комментарии!