Identity management systems (IDM): ключевые стратегии и технологии защиты учетных записей

IDM- и IAM-системы, в чем разница?

Современный бизнес все больше и больше зависит от информационных технологий, следовательно, и безопасность данных становится все более и более важной, для компаний. Один из наиболее важных инструментов обеспечения безопасности данных – это управление идентификацией и доступом (Identity and Access Management, IAM). Но, наряду с IAM, важную роль играет также и управление идентификацией и авторизацией (Identity and Access Management, IDM). Именно о таких IDM/IAM-решениях и пойдет речь в настоящей статье.

Какие же функции выполняют IDM-системы?

• Аутентификация пользователей, т.е. процесс проверки подлинности пользователя на основе предоставленной им информации – логина, пароля, смарт-карты и пр.
• Идентификация пользователей: IDM-системы позволяют создавать, хранить и управлять идентификационной информацией о пользователях: логинами, паролями, адресами e-mail и другой информацией.
• Авторизация пользователей: управление правами доступа пользователей к различным ресурсам – какие пользователи имеют доступ к каким ресурсам.
• Аудит доступа: система ведет журнал всех попыток доступа пользователей к ресурсам и анализирует эту информацию для обнаружения несанкционированного доступа и других проблем.

В чем же разница между IDM- и IAM-решениями?

• Разница в целях применения. Целью IAM-систем является создание согласованной и управляемой системы управления доступом, которая обеспечивает безопасный доступ к ресурсам и приложениям в организации. IDM-системы скорее ориентированы на управление лишь идентификацией пользователей и обеспечение их безопасного доступа к ресурсам.
• Разница в области применения. IAM — это более широкое понятие, которое охватывает все аспекты управления идентификацией и управления доступом, тогда как IDM-системы являются подмножеством IAM-систем, фокусируясь на управлении идентификацией пользователей.
• Разница в функционале. IDM-системы выполняют функции, связанные с управлением идентификацией пользователей – управление учетными записями, аутентификацией, авторизацией и т.п. IAM-системы тоже выполняют все эти функции, но и множество других функций – управление ролями, контроль доступа к ресурсам, управление идентификацией устройств и пр.
• Разница в технологиях. IAM-системы, как правило, включают в себя множество различных технологий и платформ – системы управления доступом (Access Management), системы управления идентификацией (Identity Management), системы управления привилегиями (Privilege Management) и другие. IDM-системы используют более «узкие» технологии – LDAP (Lightweight Directory Access Protocol) или системы управления идентификацией (Microsoft Active Directory).

От IDM/IAM-систем к IGA-системам

Итак, IDM-системы управляют идентификационными данными и правами доступа пользователей в информационных системах компаний. На мировом и российском рынках они появились примерно 20 лет назад и с тех пор существенно изменились. Если представить развитие IDM/IAM-систем в виде схемы, то ее можно представить в виде:

Изначально IDM-решения были ориентированы на управление учетными записями в информационных системах компаний. Поскольку системы создавались постепенно, в большинстве компаний со временем образовался «зоопарк», где в каждой информационной системе управление учетными записями осуществляется по-своему. И задача IDM-систем состояла прежде всего в том, чтобы упорядочить и централизовать управление и администрирование учетными записями. Позже в IDM-системы стали добавлять функционал управления доступом, и тогда IDM-системы начали трансформироваться в IAM-системы.

Появившиеся в середине 2000-х IAG-системы (Identity & Access Governance) решали задачи запроса, подтверждения, аттестации и аудита доступа к приложениям, данным и сервисам, а также обеспечивали контроль и предоставляет бизнес-аналитику процессов создания учетных записей, управления этими записями и как эти записи были использованы для доступа. Т.е., по существу, произошло очередное расширение функционала IAM-решений. IAG-решения оперируют ролями, которые связаны с организационной структурой компании.

IGA-системы (Identity Governance & Administration) – дальнейшее расширение функционала IAG. IGA-решения, помимо «классического» функционала IDM/IAM/IAG предлагают:

• Наличие гибких процессов сертификации и ресертификации доступа пользователей.
• Выявление и предотвращение конфликтных полномочий, или SOD-конфликтов (Segregation of Duties).
• Предоставление риск-ориентированной модели управления доступом, включая автоматизацию (конечно же, частичную) оценки рисков.

Возможности современных IGA-решений

IGA-системы – программное решение для управления учетными записями пользователей в различных информационных системах и приложениях. С их помощью обеспечивается выполнение регламентов по управлению правами доступа пользователей к информационным ресурсам, упорядочиваются и централизуются процессы работы с учетными записями пользователей в различных информационных системах.

IGA-системы могут быть интегрированы с кадровыми системами и другими информационными системами – ERP, CRM, Active Directory, БД. Как только появляется или меняется информация, например, в кадровой системе компании, соответствующие изменения обрабатываются IGA-системой и готовятся к внесению в другие информационные системы. Это происходит либо автоматически по регламенту, либо направляется на одобрение тому или иному руководителю, администратору, специалисту ИБ или же владельцу ресурса.

В современных IGA-системах можно выделить следующий функционал, отличающий их от более ранних решений:

• Регулярный аудит и ресертификация прав доступа. IGA-системы делают это автоматически (по расписанию) или по запросу.
• Предотвращение инцидентов, связанных с избыточными правами доступа, в том числе SOD-конфликтов (когда один пользователь обладает полномочиями, позволяющими единолично принимать решения по критически важным для компании вопросам/процессам).
• Приведение системы управления правами доступа и контроля полномочий в компании в соответствие с нормативными документами, локальными, отраслевыми, национальными и международными стандартами.
• Использование системы быстрой обработки заявок на создание учетных записей в целевых информационных системах, изменение, удаление и на другие действия. При это все действия выполняются через удобный веб-интерфейс, нет кучи бумажек, заявки обрабатываются оперативно.
• Оценка рисков. Риски подсчитываются на основе оценки совокупности полномочий пользователя. По результатам оценки принимаются меры для компенсации рисков: предупреждение, добавление дополнительных этапов в процесс согласования/получения полномочий или прав, автоматический отзыв прав при ресертификации и пр.
• Накопление информации, которая может быть использована при расследовании инцидентов в области ИБ. В базе данных IGA-решений содержатся сведения о том, какими правами и полномочиями обладал в конкретный момент времени конкретный пользователь. Это может использоваться как доказательная база в ходе расследования инцидента ИБ.
• Гибкость при рассмотрении заявок. Ранее, в IDM-решениях при подаче заявки, включающей несколько запросов на создание либо изменение учетных записей в разных информационных системах при получении отказа хотя бы по одному пункту, автоматически формировался отказ по всей заявке. Запросы по оставшимся пунктам приходилось составлять заново. В IGA-системах при рассмотрении заявки принятие решений возможно по каждому пункту по отдельности.
• Возможность управления не только учетными записями/аккаунтами в целевых информационных системах, но и смежными объектами – папками, группами и т.п.

Что дает внедрение IGA-систем?

Решения этого класса находятся на стыке интересов IT и ИБ. Соответственно, их внедрение приносит пользу для специалистов обоих направлений.

Мировой и российский рынки IGA-систем

Объем мирового рынка IGA-систем в 2022 и 2023 гг. оценивался, соответственно, в 5,5 и 6,3 млрд $ (исследование компании MRFR). По прогнозам, к 2032 г. ожидается рост рынка в 3 раза – почти до 20 млрд $.

Объем российского рынка IGA-решений в 2022 г. оценивался примерно в 150-200 млн $. Российский рынок пока можно отнести скорее к развивающимся, несмотря на то, что на нём существуют отечественные зрелые решения. Это обусловлено тем, что:

• Развитие российского рынка IGA началось не с формулирования потребности в IGA-решениях, а с адаптации проверенных зарубежных разработок.
• Неготовность большинства российских компаний к долгосрочному и кропотливому процессу проектирования и внедрения IGA-решений.

Однако, последние события и усилившиеся в связи с ними тепы импортозамещения стимулируют российских заказчиков обращать внимание на российские IGA-системы, а производителей — добавлять новые и развивать существующие функциональные возможности для удовлетворения потребностей клиентов.

Автор: Попов Алексей Юрьевич, Эксперт-преподаватель Академии Информационных Систем, автор методик по управлению проектами, бизнес-тренер.

Оригинал публикации на сайте CISOCLUB: "Identity management systems (IDM): ключевые стратегии и технологии защиты учетных записей".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.