Современная IDM-система: инструкция по применению

Решения, призванные навести порядок в вопросах управления доступом, сделать управление учетными записями в разрозненных ИТ-системах централизованным, автоматизированным, контролируемым и, самое главное, удобным.

Плюсов от внедрения подобных систем масса — устранение задержки между кадровыми событиями и их корректным отражением в настройках доступа сотрудников, упрощение проведения аудитов информационной безопасности (ИБ), разгрузка ИБ и ИТ-персонала от рутинной работы.

В данной статье мы перечислим наиболее важные вехи, на которые стоит обратить внимание при выборе и внедрении решений подобного класса.

Что необходимо делать

Первое и, вероятно, главное, что необходимо сделать, — это решить, как именно будет происходить переход от текущей анархичной структуры к строгой ролевой модели. Важно продумать будущий необходимый функционал решения.

Определите масштаб необходимого функционала

За последние 10 лет развития тематики IDM-решений, они постепенно обрастали новым функционалом и эволюционировали в системы класса IAM и затем уже в решения класса IGA, которые способны контролировать различные риски в области предоставления доступа. К существенному и интересному функционалу IGA можно отнести:

  • Проактивная работа с мертвыми душами

IGA-решения отслеживают активность учетной записи (с помощью прямой интеграции, интеграции с решениями класса Web SSO или через SIEM). Они выявляют неиспользуемые учетные записи действующих работников, обладающие схожими рисками, и позволяют — автоматически или с привлечением ответственных лиц — принять решение об изменении состояния каждой такой УЗ. Иными словами, они проактивно работают с группами риска, которые динамически возникают, меняются и исчезают в ходе работы предприятия.

  • Превышение полномочий

IGA-решения, значительно сокращают рассматриваемые риски процессов аттестации и сертификации прав доступа пользователей и ролевой модели. Их цель — поддерживать актуальные наборы прав в точном соответствии с меняющимися бизнес-процессами и ИТ-ландшафтом организации.

Сертификация «легитимизирует» доступ, полученный до внедрения IdM, либо в обход неё. В процесс вовлечены ответственные лица, подтверждающие или отвергающие необходимость и правомерность наличия таких прав у пользователя. Права, прошедшие сертификацию, в будущем считаются разрешенными для их владельца. Но значительная часть полномочий, исторически накопленных пользователем, отсекается на этапах рассмотрения и автоматически отзывается у пользователя, что позволяет в автоматизированном режиме навести порядок уже при внедрении IGA. Ценность данного процесса ещё возрастает благодаря тому, что для его запуска не требуется дорогостоящий этап анализа и построения ролевой модели. Более того, наиболее продвинутые IGA-решения могут обучаться в процессе сертификации и затем, на основе собранных данных, предлагать элементы для добавления в ролевую модель.

  • Несовместимые полномочия (SoD конфликты)

Механизм контроля SoD–конфликтов, являющийся обязательным атрибутом решений класса IGA, позволяет создать модель, определяющую отношения между множествами полномочий. Такая модель позволяет выявить несовместимые полномочия у работников, разрешить конфликты и предотвратить их появление в будущем, либо определить строгие компенсационные меры для такого лица. Причем всё это можно сделать как для отдельных ИС, так и для групп взаимосвязанных ИС — вплоть до масштабов всей корпоративной информационной системы территориально распределенной организации.

  • Компрометация привилегированных учетных записей

Особого внимания требуют учетные записи администраторов (как системных, так и прикладных), а также пользователей, суммарный набор полномочий которых позволяет выполнить действия, чувствительные для бизнеса организации. В крупной организации таких аккаунтов может быть очень много. Для их выявления IGA-системы предлагают модель, основанную на оценке рисков. Эта сложная гибко настраиваемая математическая модель позволяет выявить и ранжировать потенциально опасных пользователей, которые имеют техническую возможность нанести ощутимый вред своей организации (по злому умыслу или в результате компрометации их аккаунтов). А упомянутые ранее процессы сертификации и аттестации, совместно с гибкими политиками управления паролями, позволяют определить компенсационные меры, достаточные для значительного снижения данных рисков.

Определите информационные системы, с которыми будет интегрироваться IDM-решение

Важно понимать, что интеграция нужна не со всеми ИТ-системами, используемыми в компании. Из их множества необходимо выделить лишь те, в которых присутствует собственная аутентификация. То есть вас должны интересовать только такие инфраструктурные и прикладные элементы ИС, в каких существуют свои собственные учетные записи и соответственно используются свои группы безопасности и роли для управления доступом. Это важно, поскольку любое современное IDM-решение интегрируется с внешними системами посредством так называемых “коннекторов” (модулей интеграции). И нужно быть готовым к тому, что к некоторым вашим системам, особенно очень кастомизированным или вообще самописным, готовых коннекторов у производителя не будет, а значит, потребуется их разработка.

Не стоит этого пугаться. В принципе, процедура эта несложная, ведь фактически любой коннектор — это лишь набор правил и процедур сопоставления. Например, если описать это на уровне табличек в базе данных, то коннектор лишь говорит IDM-системе, какая ячейка из одной таблички (одной ИТ-системы) в какую ячейку из другой таблички (другой ИТ-системы) должна быть записана. Правда, при взаимодействии с западным вендором разработка будет долгой и дорогостоящей. Здесь существенные преимущества имеют отечественные поставщики IDM, которые в первую очередь ориентированы именно на российский рынок и прицельно занимаются созданием коннекторов не только к западным, но и к специфическим нашим системам.

Выработайте план создания ролевой модели

Как я уже отметил, для любой IDM-системы ролевая модель обязательна, а методология ее построения может стать ключевым моментом в выборе того или иного продукта и даже определяющим в решении, внедрять IDM или нет.

Несмотря на это еще несколько лет назад, когда IDM-системы только начали завоевывать рынок, созданию ролевой модели, на мой взгляд, не уделяли должного внимания. Обычно все это отдавалось на откуп интегратору, ведущему проект по внедрению, или даже самому заказчику. В результате в ряде случаев мы стали свидетелями колоссальных по трудозатратам консалтинговых работ, при этом не всегда имеющих на выходе работающую ролевую модель. Дело в том, что в крупной компании создание ролевой модели в ручном режиме не только крайне трудно, но и практически бессмысленно, поскольку условия бизнеса, оргструктура, должностные обязанности и сами информационные системы постоянно меняются, вследствие чего инвентаризационные сведения устаревают намного раньше завершения разработки ролевой модели. Соответственно и матрица доступа, на создание которой нередко требуется от полугода до года, не может быть введена в действие по причине ее устаревания. Единственным выходом из этого тупика являются автоматизированные инструменты, ускоряющие эту работу. И такие инструменты существуют в линейках компаний Oracle и Аванпост.

Выберите производителя IDM/IGA-решения и интегратора

На основании результатов анализа двух предыдущих шагов можно переходить к более приземленным вещам, таким как выбор вендора и интегратора. Большое внимание надо уделить выбору системного интегратора, ведь, повторюсь, тематика IDM — одна из самых непростых в ИБ. И если вендора можно выбрать, основываясь на четких требованиях технического задания и заявленного функционала, то к выбору интегратора такой подход не применим. Проанализируйте опыт интегратора, поговорите с его представителями, чтобы понять, какими компетенциями в тематике IDM он обладает. Пусть представитель интегратора расскажет вам, как будет создаваться ролевая модель и матрица доступа и какую методологию предполагается заложить в основу развертывания решения. Ну и, само собой, на данном этапе в критерии выбора уже необходимо включать и цену.

Большинство неудачных попыток внедрения IDM, на мой взгляд, потерпели фиаско именно из-за того, что люди начинали планирование сразу с последнего шага. Как говорится, определились с бюджетом — и вперед. Но не всё можно решить деньгами, их количество не определяет напрямую качество и сроки внедрения IDM. Далеко не факт, что дорогой западный продукт автоматически решит ваши проблемы. Как, впрочем, совсем не факт, что более бюджетное решение не оправдает все ваши ожидания.

0

Автор публикации

не в сети 5 лет

Anastasia Krasilova

2
Комментарии: 0Публикации: 45Регистрация: 02-07-2017
Автор: Anastasia Krasilova
Темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Авторизация
*
*
Регистрация
*
*
*
Пароль не введен
*
Укажите согласие на обработку персональных данных.
captcha
Генерация пароля

Login

Register | Lost your password?
X