Identity and Access Management: доверяй, но управляй

Системы управления идентификационными данными становятся сегодня одним из важнейших элементов инфраструктуры. Однако в одиночку, без дополнительных решений, они не могут справиться с теми задачами, которые ставит перед ними бизнес

Даниил Казаков, директор департамента технологий управления доступом RedSys

Современный ландшафт рисков информационной безопасности заметно эволюционирует. В частности переориентация злоумышленников на кражу конфиденциальных данных различных видов меняет само позиционирование систем класса IdM (Identity Management) в современных компаниях. Еще несколько лет назад основной задачей средств управления учетными записями, правами доступа, аутентификацией и авторизацией была автоматизация рутинных процессов. Теперь же они рассматриваются через призму информационной безопасности.

Безусловно, инструменты IdM необходимы для поддержки процессов администрирования – заведения учетных записей, их блокировки и разблокировки, назначения и отзыва прав доступа. Но на данный момент наблюдается явная тенденция смещения приоритетов в сферу контроля и аудита прав доступа. Собственная безопасность становится приоритетом бизнеса: атаки с использованием украденных учетных данных — уже не редкость, и решению задач ИБ приходится уделять куда больше времени, чем раньше. Это особенно важно в российских реалиях, когда трудовая дисциплина воспринимается как нечто необязательное, а личные связи становятся важнее корпоративных правил.

В каждом конкретном случае компаниям приходится искать уникальные комбинации продуктов с мировым именем – Sailpoint, Oracle, RSA, IBM, а также отечественных разработок, среди которых можно выделить систему «Аванпост». Для кастомизации и интеграции решений в RedSys была создана специальная группа разработки и внедрения.

Спрос на интеграцию решений IdM достаточно велик: они уже не рассматриваются как простая установка ПО – это один из элементов процесса автоматизации бизнеса в части обеспечения информационной безопасности. Например, они требуют взаимодействия с кадровыми системами – ведь без достоверной информации о сотруднике сложно управлять его правами доступа, контролировать учетные записи, оценивать риски. Необходима и интеграция с теми системами, которые несут в себе наибольшие риски информационной безопасности, – ERP, промышленные системы, инструменты финансовой отчетности. А интеграция с инфраструктурным ПО, например, службой каталогов Active Directory, вообще является важнейшим элементом автоматизации, так как помогает упростить задачи администраторов и исключить монотонную работу по управлению пользователями и правами доступа. Такой подход помогает не только сократить время предоставления учетных записей и прав доступа, но и исключить возможность ошибок и сознательного вредительства со стороны ИТ-персонала.

Целостная инфраструктура управления доступом

Само по себе внедрение средств IdM, хотя и является необходимым, но совершенно не может считаться достаточным для повышения безопасности рабочей среды и даже самой автоматизации. В последнее время эксперты RedSys ведут комплексные проекты, которые включают в себя не только функционал Identity Management, но также Access Management (аутентификация), Entitlements management (авторизация) и Identity Governance (интеллектуальный анализ). Чаще всего для решения актуальных задач используется сразу несколько систем. Нередко отдельные элементы инфраструктуры доступа и учетных данных уже внедрены и требуют дополнительной интеграции, не имея готовых интерфейсов для взаимодействия друг с другом.

Чтобы создать действительно эффективную инфраструктуру управления учетными данными, авторизации и контроля доступа, необходимо собирать решение, словно пазл. При этом приходится следить за актуальными тенденциями на рынке, ведь каждый из вендоров постоянно расширяет функционал продуктов. Например, RSA недавно добавила возможность локализации своих решений для разных языков мира, и это – хороший повод рассмотреть их использование в проектах, реализуемых глобальными компаниями.

Кроме того, на рынке четко проявилась тенденция унификации механизмов управления доступом в системах заказной разработки. Прежде было принято полагаться на встроенные средства идентификации, которые создавались индивидуально под каждое приложение и часто не были способны взаимодействовать с внешними системами. На сегодняшний день процессы аутентификации и авторизации выносятся в отдельный ландшафт. Внедрение единых, централизованных средств контроля в этой сфере обеспечивает удобство управления, точность контроля, снижая риски ИБ и повышая удобство работы с заказными системами.

В любом случае бизнес хочет получить готовое и эффективное решение. Это заставляет специалистов RedSys работать над созданием комплексных решений, которые могли бы отвечать потребностям отдельных отраслей – например, производства, розничной торговли, ТЭК. Дело в том, что специальные комбинации различных инструментов помогают удовлетворить потребности определенного типа заказчиков, и мы видим на рынке спрос именно на готовые предложения, которые можно будет внедрить быстрее и с меньшими рисками.

Интеллектуальный подход

При создании экосистемы идентификации все большую популярность набирают инструменты Identity Governance. Такие решения помогают оценить риски, внедрить интеллектуальные практики предоставления и отзыва доступа, использовать ролевые модели и разделение ответственности. Хорошим примером может послужить процесс предоставления прав доступа к одной из бизнес-систем. Современный подход позволяет учитывать не только важность самой системы, но и риски доступа к отдельным ее элементам. Так, работа с финансовой системой явно несет больше рисков, чем с системой отчетности, а файловый сервер совершенно точно не создает такой опасности, как основные модули ERP-системы. На реальных проектах мы чаще всего используем системы скоринга, чтобы определить риски доступа к разным элементам ИТ-инфраструктуры в баллах.

В классической модели все этапы получения доступа происходят в ручном режиме: создание заявки одобряется руководителем, потом специалистом ИБ и владельцем системы. На это требуется время, и такой процесс несет в себе большие риски. При использовании интеллектуальных методик создать заявку на доступ к системе, которая не имеет отношения к должностным обязанностям пользователя, будет попросту невозможно. Более того, аналитические инструменты помогут специалисту ИБ и владельцу системы оценить риски и необходимость доступа по заявке. Встроенные средства мониторинга помогут отследить случайно или умышленно предоставленный в ручном режиме доступ, если пользователь внезапно начинает работать с ресурсом, для которого характерны высокие риски утечки информации.

Целостная экосистема

Таким образом, говоря о внедрении инструментов Identity and Access Managemenrt, сегодня мы имеем в виду создание целостной экосистемы идентификации, авторизации, аутентификации и предоставления доступа с автоматизированными процессами и аналитическими инструментами внутри. Изменение парадигмы вызвано растущим интересом бизнеса к информационной безопасности и необходимостью обеспечить прозрачную среду полноценного управления учетными записями. Впрочем, при должной настройке и интеграции современные ИТ-инструменты позволяют решить эту задачу практически в любых масштабах, создавая единую экосистему контроля доступа в территориально распределенных и даже международных компаниях.