2018/03/22 12:11:56

Система идентификации и управления доступом
Identity and Access Management (IdM, IAM)

В этом обзоре обобщены мнения представителей разработчиков и корпоративных пользователей о назначении и современном состоянии средств, отвечающих за управление идентификацией пользователей в корпоративной информационной среде и доступом к ее сетевым, вычислительным и информационным ресурсам (средств УИД).

Содержание

Определения

Решения Identity Management (IdM) предназначены для централизации и автоматизации управления учетными записями пользователей и правами доступа к информационным системам предприятия, а также повышения уровня контроля над использованием ИТ-инфраструктуры. Интеграция таких решений с корпоративной системой кадрового учета позволяет автоматизировать бизнес-процессы управления доступом при трудоустройстве работников, их переводе на другую должность, на время отпуска, а также в случае увольнения.


Система идентификации и управления доступом (Identity and Access Management, IdM, IAM) — это решение, являющееся неким ядром, которое объединяет все данные о сотруднике в организации: не только ФИО и уникальный идентификатор, но и когда он устроился, какую должность занимает, какие права имеет, и, соответственно, к каким системам он может иметь доступ. Они могут быть самые разные, начиная с Active Directory, где находится учетная запись сотрудника и заканчивая системами, которые необходимы для его повседневной работы. Доступ ко всем информационным системам управляется посредством IdM. Если такой системы нет, зачастую происходит дублирование функций, то есть, сотрудник, выходя на новую работу, вынужден формировать несколько заявок на получение доступа к различным информационным системам, и администратор создает несколько учетных записей. Это влечет как временные затраты, так и трудовые. При этом права доступа могут не быть сформированы до недели, получается некий временной лаг, приносящий убытки организации в виду невозможности выполнения сотрудником его должностных обязанностей. Если говорить о парольной защите, то сотрудник без использования решений класса Access Management вынужден запоминать несколько паролей для входа в каждую из этих систем, что влечет риски в плане безопасности. Разумеется, человек не в состоянии запомнить все пароли, он начинает их записывать, а бумажку может положить под клавиатуру или приклеить на монитор, что является потенциальной угрозой информационной безопасности организации.

Сложность задач, решение которых возложено на эти средства, привела к созданию специализированных систем - Identity and Access Management (IAM, систем управления идентификацией и доступом, или СУИД, далее будем использовать эту аббревиатуру). Пару лет назад они появились на рынке как самостоятельные продукты, хотя любой информационно-вычислительный ресурс и до появления специализированных СУИД располагал средствами обеспечения и контроля доступа к нему. Это прежде всего относится к таким ресурсам, как ОС, СУБД, сложные прикладные программы класса ERP, CRM, SCM и т. п.[1]

Рынок решений УИД в мире растет опережающими темпами по сравнению с показателями ИТ-рынка, как и рынок средств обеспечения информационной безопасности (ИБ) в целом. Согласно прогнозу аналитической группы IDC, к 2010 г. общемировой оборот решений на основе СУИД превысит 5 млрд. долл. По результатам исследований IDC, во всем мире в 2005 г. на закупку программного обеспечения УИД выделялось 23% от общих финансовых затрат на ИБ.Трендвотчинг рынка CRM. Аналитический отчет TAdviser 10.6 т

2018: HID Global: Тенденции в области идентификационных технологий

HID Global отмечает пять главных тенденций 2018 года, которые окажут существенное влияние на то, как организации используют доверенные идентификаторы.

Переход в облака

  • Простота развертывания облачных решений, гибкость, различные возможности подключения и преимущества в части производительности – все эти факторы способствуют активному внедрению облаков. Облачные платформы контроля доступа с API-интерфейсом и комплектом разработчика SDK будут стимулировать распространение новых программных решений, расширяющих возможности организаций для максимальной окупаемости инвестиций. Выпуск карт на основе облачных вычислений также будет развивать отрасль благодаря простоте, безопасности решений и оптимизированной структуре расходов: перед правительствами разных стран все чаще ставится задача того, как дополнить физические идентификаторы облачными мобильными ID граждан.
  • Облачная аутентификация и управление учетными данными будут и далее способствовать интеграции мобильных устройств, токенов, карт и межмашинных рабочих станций. Цифровые сертификаты в экосистеме IoT будут основываться на доверенных облачных сервисах для доставки и управления сертификатами для тысяч устройств.

Связанные устройства и среды фокусируются на защите IoT

  • Цифровые сертификаты станут основным компонентом доверия в экосистеме IoT. Начнут выпускаться уникальные цифровые идентификаторы для принтеров и кодеров, мобильных телефонов, планшетов, видеокамер и систем автоматизации зданий, а также появится более широкий спектр таких объектов, как автомобили с сетевыми возможностями и медицинские устройства.
  • Поддержка функции «чтение» NFC в Apple iOS 11 будет способствовать внедрению приложений на основе IoT, таких как защита бренда, программы лояльности и другие варианты использования, что еще больше повысит необходимость в обеспечении безопасности в экосистеме IoT.

Переломный момент в развитии мобильного доступа: принятие технологии на массовом рынке

  • 2017 стал годом мобильного доступа, и активное внедрение этой технологии продолжится и в 2018 году. Зрелость мобильных решений и их интеграция в другие системы в сочетании с возможностями мобильных устройств, способствующими повышению удобства для пользователей, увеличению операционной эффективности и обеспечению более высокого уровня безопасности, приведут к ускоренному росту и широкому внедрению мобильного доступа.
  • Эмуляция карт, режим NFC, наиболее желанный для управления мобильным доступом, поддерживается исключительно для Apple Pay; таким образом, Bluetooth остается стандартом связи для кросс-платформенного мобильного доступа. Тем не менее, организации будут инвестировать в считыватели и другую инфраструктуру, поддерживающую NFC и BLE, чтобы быть готовыми к будущему.

Конвергенция физической и цифровой безопасности

  • Концепция управления физической идентификацией и доступом (PIAM) приведет к конвергенции физической и цифровой безопасности на едином идентификаторе, поставив идентичность во главу угла. Правительство, финансы, энергетика и другие регулируемые рынки станут первыми, кто будет использовать решения для безопасного доступа в здания, к электронной почте, веб-сайтам и VPN.
  • Появляются новые конвергентные модели идентификации, использующие облачную аутентификацию и мобильные устройства. Например, возможность проверки присутствия человека в определенном месте, мобильные идентификаторы, проверяющие физические ID граждан, и смарт-карты, с помощью которых проводится аутентификация пользователей на корпоративных ресурсах.

Аналитика данных будет стимулировать управление рисками для прогнозных моделей и развития новых возможностей

  • Устройства, системы контроля доступа, приложения IoT и другие решения, связанные с облаком, предоставляют надежные данные для расширенной аналитики. Анализ этих данных может быть использован для оптимизации рабочих решений и обеспечения более удобного доступа для конечных пользователей.
  • Прогностическая аналитика и биометрия будут играть решающую роль в обеспечении безопасности людей, отвечая всем требованиям сотрудников в предоставлении высококлассных индивидуальных сервисов на рабочем месте. Аналитика также поможет сократить время простоя на предприятии, стимулировать автоматизацию производства и улучшить соответствие законодательным требованиям с помощью мониторинга состояния производства, основанного на решениях для определения местоположения в реальном времени.

Особенности ИТ-инфраструктуры крупного предприятия

  • Множество информационных системи пользователей: сотрудников, подрядчиков, клиентов
  • Сквозные бизнес-процессы проходят через несколько информационных систем
  • Пользователи работают в различных ИТ-системах и выполняют в них разные функции
  • В каждой информационной системе есть свои настройки прав доступа и своя процедура аутентификации

Цели управления правами доступа

  • Снижение рисков,связанных с неправомерной или несвоевременной выдачей или отзывом прав доступа пользователей
  • Снижение стоимости управления правами доступа
  • Повышение оперативности процессов управления правами: быстрая выдача временных прав, минимальное время простоя при настройке прав и т. д.


Основные задачи СУИД и ее место в общей структуре управления безопасностью

Выделение средств УИД в отдельную систему отражает потребность пользователей в объединении функций УИД под одним "зонтиком"; правда, размеры этого зонтика специалисты оценивают по-разному.

Учет и использование стандартов и нормативов при построении СУИД

В построении любых систем разумно использовать стандарты, поскольку в них обобщается лучший национальный и международный опыт. Следовать технологическим стандартам разумно, а регулирующим правилам и законодательным актам - необходимо. Поэтому и разработчикам тех или иных систем, и их пользователям надлежит знать те правила, которые регламентируют область их деятельности.

СУИД в данном смысле не является исключением. Все опрошенные в ходе подготовки обзора эксперты единодушно высказались за то, что эти системы должны опираться на стандарты, причем только открытые. В качестве основных называются общие стандарты по управлению ИТ и организации информбезопасности, такие как COBIT, ISO 17799:2005 (BS 7799), ISO 27001:2005. К ним эксперты добавляют требования, направленные на борьбу со злоупотреблениями в бизнесе, которые были выработаны на основе практики последних лет: HIPAA (Health Insurance Portability and Accountability Act), SOX 2002 (Sarbanes - Oxley Act, определяющий требования к системе внутреннего контроля и аудита для предотвращения мошенничества), BASEL II (управление рисками в финансовых учреждениях) и стандарт Банка России СТО БР ИББС для организаций банковской системы РФ.

Из технологических стандартов, как считают эксперты, создатели СУИД прежде всего должны придерживаться следующих:

  • общие стандарты по информационной безопасности - XKMS, PKI, XML-SIG, XML-ENC, SSL/TLS, PKCS, S/MIME, LDAP, Kerberos, X.509 и др.;
  • стандарты по обмену идентификационными данными пользователей - SAML, WS-Fed, XACML, SPML и др.;
  • стандарты интеграции - WSDL, WSRP, JSR-115, JCP, SOAP и др.;
  • стандарты Web-сервисов - WS-Security, WS-Fed, WS-Policy, WS-Trust и др.;
  • стандарты служб каталогов - X.500, DSML, LDAP, JDBC и др.

Перед внедрением СУИД

Большинство современных предприятий в отношении вопросов обеспечения ИБ весьма незрелы: корпоративные пользователи находятся на самом первом, базовом уровне из четырех принятых в классификации этой компании. Поэтому не лишним будет напомнить те основные мероприятия, которые специалисты рекомендуют провести перед внедрением СУИД.

Прежде чем начать такой проект, компании надлежит провести обследование ресурсов, доступ к которым планируется упорядочить; классифицировать эти ресурсы по назначению; описать бизнес-задачи конкретных сотрудников и подразделений; формализовать реально действующий порядок согласования и технологии предоставления доступа; разработать ролевую модель доступа к ресурсам и соответствующие процессы его согласования и предоставления. После этого на существующие и разработанные заново процессы и модели можно "примерить" конкретные технологии. Среди них вполне могут оказаться и элементы наследуемой ИТ-инфраструктуры, например адресные книги или другие базы данных, содержащие профили пользователей.

Функциональный состав СУИД

Эксперты выделяют следующие базовые возможности, которые надлежит реализовать в рамках СУИД:

  • единое управление учетными записями в различных системах (с возможностью делегирования части прав структурным подразделениям компании), позволяющее автоматизировать выполнение принятой в организации политики безопасности в сфере контроля доступа (в том числе мобильного) к различным информационным ресурсам, приложениям и службам;
  • поддержка современных средств аутентификации (в том числе многофакторная, включающая биометрию) с возможностью однократной регистрации в системе;
  • контроль жизненного цикла пользователя в системах предприятия с момента приема сотрудника на работу до его увольнения;
  • автоматическая синхронизация учетных записей пользователей всех подключаемых систем (прежде всего системы кадрового учета) в соответствии с корпоративными политиками и правилами;
  • гибкие и понятные средства создания политик и регулирования потоков данных от СУИД к подключенным системам и обратно;
  • удобный интерфейс конечного пользователя, обеспечивающий доступ к корпоративной адресной книге и средствам самообслуживания для восстановления паролей, формирования заявок на доступ к требуемым ресурсам и контроля их прохождения;
  • средства дизайна, развертывания, конфигурирования, администрирования и мониторинга работы системы;
  • средства ведения журналов и независимого аудита;
  • интеграция с внешними системами мониторинга, аудита безопасности и поддержки;
  • масштабируемость.

Процессы и этапы построения систем прав доступа

  • Прием на работу, перевод, увольнение
  • Уход в отпуск/декрет, выход из отпуска/декрета
  • Изменение служебных обязанностей
  • Изменения в IT-инфраструктуре
  • Участие пользователя в инцидентах ИБ
  • Подключение/отключение внешних пользователей
  • Аудит и ресертификация прав доступа[2]

Этапы построения системы управления доступом

Разрешительная система допуска

Проблемы разрешительной системы допуска

Ролевая модель (RBAC)

  • Формализация объектов доступа
  • Получение списка субъектов доступа
  • Аудит текущих прав доступа
  • Выделение бизнес-ролей
  • Определение базового набора полномочий для каждой роли
  • Формализация ролей доступа, построение матриц доступа
  • Выстраивание процесса управления правами доступа
  • Регламентация процесса (разработка документов)

Болезни роста RBAC[3]

  • В чистом виде модель недостаточно гибка, поскольку не учитывает:
    • контекст действий пользователей
    • атрибуты пользователей
    • параметры окружения, в котором работают пользователи

  • У большого числа пользователей служебные обязанности требуют создания уникальных ролей
  • Сложно поддерживать актуальное состояние прав доступа при организационных изменениях


RBAC: вариации и развитие

  • «Классический» RBAC –статические привилегии
    • Роль «Менеджер» = «Просмотр заказов» + «Изменение заказов»
    • if (user.hasPrivilege(‘view_order’)) …
    • Недостаток: не поддерживает разрез по атрибутам объектов

  • Динамическая проверка атрибутов объекта

    • Роль«Менеджер филиала 123» = «Просмотр заказов филиала 123» + «Изменение заказов филиала 123»
    • if (user.hasPrivilege(‘view_order_’ + order.branch) …
    • Недостаток: приводит к «role explosion» –созданию роли для каждого значения атрибута

  • Динамическая проверка атрибутов субъекта

    • Роль «Менеджер филиала»= «Просмотр заказов своегофилиала» + «Изменение заказов своегофилиала»
    • if (user.hasPrivilege(‘view_order’) && user.branch==order.branch))

  • Логическое продолжение –ABAC(Attribute-Based Access Control)

RBAC: Вариации и развитие

Централизация управления: Identity Manager

  • Приводит все варианты управления ролями к единой модели
  • Централизованно управляет правами в ИТ системах предприятия
  • Реализует бизнес-сценарии: найм, увольнение, отпуск и т.п.

«Узкие места» Identity Manager

  • Действует в рамках RBAC модели
  • Не учитывает атрибуты бизнес-объектов
  • Ограничен существующими в ИТ системе ролями

Атрибутная модель доступа (ABAC)

  • Права доступа определяются логическими правилами, составленными в терминах бизнес-атрибутов
  • Атрибутами обладают субъекты (пользователи), ресурсы (объекты), действия и среда
  • Модель стандартизована в рамках XACML 3.0 (первая версия –2003 г.)

ABAC: Схема организации доступа

Подходы к управлению доступом (стандартный и гибридный)

IDM / IAM

Итоги

  • Должна быть возможность быстро проверить, кто куда имеет доступ (имел доступ на какую-то дату в прошлом)
  • Для определения базового набора прав доступа и построения ролевой модели требуется много часов взаимодействия с бизнес-подразделениями
  • Обязательно нужен реестр владельцев ресурсов
  • IDM и другие средства автоматизации являются инструментом, а не самоцелью
  • Конечная цель – повышение эффективности и снижение рисков, связанных с избыточным доступом

Функции УИД в ОС, СУБД и прикладных системах

Как отмечалось выше, корпоративные информационные ресурсы имеют собственные механизмы идентификации и предоставления пользователям прав доступа на уровне ОС, СУБД или приложений. Эксперты отмечают, что средства УИД, реализованные в современных информационно-вычислительных ресурсах, всё больше приближаются по своим возможностям к специализированным системам, между ними идет заимствование процедур и функций.

У некоторых специалистов благоприятные впечатления вызывают последние достижения по управлению доступом в таких продуктах, как SAP NetWeaver, Oracle Application Server, e-Business Suite. Другие отмечают, что хотя поставщики решений класса ERP и продвинулись со своими продуктами в направлении УИД гораздо дальше разработчиков операционных систем, их проблема заключается в том, что ERP-решения нередко строятся как отдельные хранилища данных (silo), а потому они не обеспечивают должную интеграцию с корпоративными политиками УИД: ERP отвечают за идентификацию и авторизацию пользователей только для своих модулей.

Направления развития СУИД

По заключению экспертов, с учетом таких требований к СУИД, как масштабируемость, иерархичность и поддержка территориальной распределенности, наиболее подходящей для этих систем на сегодняшний день является трехуровневая архитектура с тремя базовыми компонентами: реализующим бизнес-логику (workflow) УИД хранилищем идентификационных данных, сервером и консолью централизованного управления УИД.

Разделение между личными и рабочими учётными записями стирается

Хотя у вас вряд ли получится войти в корпоративную VPN-сеть под своим аккаунтом от Facebook (во всяком случае пока что), шесть из десяти опрошенных ИТ-руководителей (63%) полагают, что методы аутентификации, применяемые в потребительском мире, можно использовать и для безопасного доступа к корпоративным приложениям. Более того, по мнению примерно такого же числа респондентов, их службы безопасности испытывают определённые затруднения в попытках обеспечить пользователям столь же интуитивный способ входа в систему, какой применяется в этих сервисах, и чуть больше половины опрошенных (52%) считают, что в течение трёх лет сотрудники будут использовать одни и те же учётные записи как для доступа к корпоративным онлайн-ресурсам, так и для доступа к своим личным данным в публичных онлайн-сервисах[4].

И такой поворот может показаться несколько неожиданным, особенно с учётом огромного числа потребительских веб-сайтов, предлагающих бесплатные OTP-приложения, доставку OTP-паролей через SMS и даже продвигающих технологию push-аутентификации. Всем нам знакома опция «Запомнить меня на этом устройстве» — простейшая форма контекстной аутентификации, при которой второй фактор задействуется только при входе в систему с неизвестной пары браузера и устройства и которую большинство ИТ-руководителей (63%) рассматривают в качестве будущего двухфакторной аутентификации.

Предложить сотрудникам новые инструменты для мобильной работы? Возможно...

Хорошая новость заключается в том, что только 35% организаций полностью запрещают доступ к рабочим ресурсам с мобильных устройств — смартфонов и планшетов, а большинство (56%) разрешают такой доступ, пусть и с некоторыми ограничениями. Это может означать, что ИТ-директора, ограничивающие доступ с мобильных устройств недостаточно полно уверены в применяемых методах контроля доступа, чтобы разрешить сотрудникам активнее пользоваться мобильными устройствами. В то же время, эти же самые руководители в ближайшие два года намерены значительно расширить сферу применения двухфакторной аутентификации на мобильных устройствах (с 37% сегодня до 56% — через два года). Нам еще предстоит увидеть, будет ли это усиление безопасности способствовать развитию мобильных технологий в корпоративном окружении. Но как бы то ни было, инновации, в основе которых лежит Bluetooth Smart, биометрия и push-технологии, могут способствовать более активному внедрению двухфакторной аутентификации.

Хотя подавляющее большинство опрошенных ИТ-руководителей признают наличие препятствий для расширения использования мобильных технологий в своих организациях, природа этих сложностей может быть весьма различной, начиная с опасений по поводу безопасности (50%), дополнительной нагрузки на управление ИТ (48%), увеличения расходов (43%) и заканчивая прочими сложностями, в том числе стремлением обеспечить прозрачность ИТ (30%) и необходимостью соблюдения регуляторных требований.

Облако: взрывной рост, механизм единого входа (SSO) и управление доступом

Взрывной рост числа облачных приложений в корпоративном окружении объясняет стремление раз и навсегда решить так называемую проблему «password fatifue» — усталости пользователей от паролей, когда сотрудникам в своей повседневной деятельности приходится держать в памяти 10-25 пар логинов и паролей. С этой точки зрения, почти в половине организаций-респондентов (49%) планируется внедрить решение, предусматривающее единый вход (SSO) в облачные приложения, и примерно такое же число опрошенных (47%) согласились с тем, что в их организациях назревает такая необходимость.

Сегодня технология управления паролями password vaulting является наиболее распространённым методом управления доступом к облачным приложениям, который используется в организациях 53% респондентов. Среди других применяемых методов — IDaaS (28%), облачные SSO-решения (28%) и IAM-решения на собственной инфраструктуре (23%).

Практически все опрошенные ИТ-руководители (95%) рассматривают единый вход в облачные приложения как инструмент, способствующий повышению мобильности и продуктивности сотрудников в своей организации.

Состояние рынка СУИД в России

В России увеличение спроса на СУИД наметилось недавно, и на средства УИД российские компании расходуют всего 2% бюджета информбезопасности. По мнению экспертов, это во многом обусловлено тем, что внедрение технологий УИД требует наличия в компании пакета нормативно-методических документов, обеспечивающих строгую формализацию процесса предоставления доступа пользователей к информационным ресурсам. Именно из-за отсутствия комплексного документационного обеспечения в области ИБ многие российские предприятия пока не готовы к внедрению СУИД.

Как сдерживающий фактор распространения данных продуктов эксперты называют высокую цену - от 60 до 100 долл. на пользователя, а также то, что данные решения находятся на стыке функций ИТ-департамента и подразделения безопасности (что затрудняет принятие и реализацию организационно-административных мер по УИД). К настоящему времени в России внедрено всего несколько СУИД. Однако можно предположить, что в ближайшем будущем в этом направлении будет осуществлен прорыв. Именно сейчас запускаются крупные и интересные проекты, которые предусматривают поэтапное развертывание УИД в течение одного-двух лет.

Сегодня в России СУИД представляют интерес для больших предприятий и организаций с развитой ИТ-инфраструктурой, таких как крупные телекомоператоры, банки, страховые компании, промышленные холдинги, нефтегазовые корпорации и госструктуры. Оценивая ежегодный объем закупок на российском рынке СУИД на несколько ближайших лет, наши эксперты приводят широкую вилку - от пяти до нескольких десятков миллионов долларов. При этом они учитывают, что количество потенциальных заказчиков, на ближайшие три-пять лет составит около сотни компаний при стоимости проекта от 1 млн. долл.

IDM/IAM-системы и проекты

Примечания

  1. Управление идентификацией и доступом (Identity and Access Management)
  2. Из выступления Алябьев Андрей, Главный специалист отдела информационной безопасности Глобэксбанк на конференции TAdviser Security Day 2016
  3. Презентация Муравлев Вячеслав Викторович, Архитектор решений, группа компаний CUSTIS "Гибридный подход к управлению правами доступа: когда стандартного IDM не хватает", 2016 год CNews FORUM<
  4. Ежегодный индекс Gemalto Authentication and Identity Management Index 2017 рассказывает о новейших тенденциях и проблемах, связанных с конвергенций личных и рабочих учётных записей, использованием мобильных технологий в рабочем окружении и управлением доступом. В рамках опроса, проведённого независимой исследовательской фирмой Vanson Bourne, было проинтервьюировано 1150 ИТ-руководителей по всему миру с целью выяснить их мнение о различных аспектах защиты учётных записей и о политиках строгой аутентификации, применяемых уже сегодня или запланированных ко внедрению в будущем.