IdM-система: что это такое, когда и для чего применяется

Децентрализованное управление доступом к объектам эксплуатируемых предприятиями информационных систем (ИС) сопряжено со следующими проблемами: неисполнением регламентов и политик, накоплением излишних полномочий, наличием бесхозных учетных записей, долгими процессами согласования доступа, несоблюдением принципов разделения ответственности. Все это приводит к повышенным рискам несанкционированных действий в корпоративных системах и к отсутствию информации, кто, когда и зачем предоставил те или иные права. Чтобы упорядочить работу с учетными записями и пользовательскими полномочиями, обеспечить соблюдение отраслевых норм и внутренних политик безопасности, многие компании стремятся прийти к централизованному подходу путем эксплуатации решений IdM (Identity Management). Разберемся, какими возможностями обладают такие продукты и чем они будут полезны организациям.

IdM-системы: что это и зачем их использовать

Такие решения (или их усовершенствованная версия Identity Governance&Administration, которую сокращенно называют IGA) — продуманные платформы для организованного контроля учетных записей и полномочий доступа в целевых информационных системах и рабочих сервисах. Также они предоставляют эффективные инструменты для расследования внутренних инцидентов информационной безопасности, происходящих по причине превышения назначенных прав.

С помощью специальных компонентов, которые называются коннекторами, IdM-решения получают актуальные данные из доверенных источников, например, кадровых систем.  Сведения автоматически обрабатываются IdM-системами, после чего по заранее настроенным сценариям происходят различные штатные процессы: назначение или отзыв полномочий, создание новых учетных записей, изменение или блокировка существующих учеток в целевых системах компании, подключенных к IdM: сервисах CRM (Customer Relationship Management), платформах для планирования ERP (Enterprise Resource Planning), службах каталогов Active Directory, FreeIPA и других ресурсах.

Помимо оптимизации работы с полномочиями, IdM-системы выполняют важные функции в контексте защиты данных, свободно интегрируясь с другими инструментами, составляющими контур информационной безопасности предприятия. Примеры синергии решений:

• При работе со СКУД (системами контроля и управления доступом) IdM-решения усиливают безопасность целевых ИС и исключают эксплуатацию чужих учеток без соответствующего разрешения. Принцип тандема систем прост — пока владелец аккаунта не войдет в контролируемый периметр, его учетная запись останется заблокированной.
• В интеграции с продуктами класса SIEM (Security information and event management), управляющими событиями безопасности, IdM-система в специализированном формате отправляет данные в SIEM для дальнейшего анализа и предотвращения несанкционированных действий или расследования инцидентов ИБ. Таким образом, офицеры службы безопасности смогут оперативно принять меры и купировать инцидент, либо сделать соответствующие выводы на будущее.
• В интеграции с технологией SSO (Single Sign-On) решение IdM позволяет пользователям проходить безопасную аутентификацию в разных сервисах, используя один набор учетных данных.
• Совместная работа платформ IdM и PAM (Privileged Access Management) позволяет обеспечить эффективное управление доступом привилегированных пользователей.

То есть можно сказать, что IdM-системы в комплексе с другими средствами применяются для усиления функций обеспечения безопасности и позволяют привести в порядок процессы управления доступом, создать эффективную ролевую модель назначения полномочий сотрудникам.

Внедрение таких решений преследует следующие цели: исполнение внутренних регламентов управления доступом, обеспечение ответственных лиц актуальной информацией о полномочиях сотрудников, максимальная автоматизация рутинных процессов, связанных с назначением и отзывом прав доступа. Компании выбирают IdM-системы еще и потому, что инструментарий продуктов можно дополнять и обновлять с учетом актуальных задач и развития бизнес-процессов.

Где можно организовать управление через IdM

IdM-система поможет эффективно управлять учетными записями и правами пользователей в любых информационных ресурсах, имеющих реляционную базу данных, например:

• Системах управления базами данных.
• Почтовых системах.
• Сервисах для электронного оборота документов.
• Программах для организации учета кадров.
• Системах управления клиентами.
• Финансовых системах.
• Системах управления предприятием.

IdM-системы совместимы и с другими платформами через специализированные программные инструменты — API (Application Programming Interface). Если у какого-то решения отсутствует API, интеграция может быть осуществлена другими средствами, например, через хранимые процедуры или путем файловых выгрузок.

Какие задачи решают IdM-системы управления доступом

Платформы располагают инструментами, которые позволяют закрывать следующие задачи:

• Контроль жизненного цикла существующих в ИС предприятия учетных записей (как персональных, так и технических). IdM-система облегчает процессы регистрации, модификации, блокировки и разблокировки учеток с опорой на внутренние регламенты и быстро аннулирует доступ, если в нем исчезла необходимость.
• Управление доступом к рабочим ИС и сервисам согласно ролевой модели. Система позволяет назначать роли и полномочия сотрудникам в зависимости от их должностей, обязанностей и выполняемых задач.
• Создание полной информационной базы для проведения аудита доступа к данным и оперативного расследования инцидентов ИБ. Ответственные лица смогут использовать накопленные системой сведения о полномочиях сотрудников, чтобы оперативно определить источник угрозы, найти виновных и предотвратить серьезные негативные последствия для организации.
• Исключение ошибок при назначении полномочий и минимизация SOD-конфликтов — выдачи несовместимых прав одному сотруднику. Такие ситуации несут дополнительные риски, поэтому нуждаются в особом контроле. В IdM-системах управления доступом SOD-конфликты прогнозируются и учитываются с помощью специальной матрицы, куда вносятся назначаемые полномочия. Если конфликты не удается полностью предотвратить, можно реализовывать оптимальные сценарии действий, например, отзывать конфликтующие права сразу после выполнения конкретной задачи.
• Минимизация трудозатрат персонала и решение проблемы человеческого фактора, из-за которого часто происходят ошибки при обработке заявок, назначении полномочий. Эти задачи эффективно решаются благодаря тому, что управление с помощью IdM-платформ по большей части автоматизировано.
• Сокращение материальных затрат на управление доступом, проведение аудита и контроль соблюдения внутренних политик безопасности.
• Мониторинг доступа к корпоративным данным. IdM-решения отслеживают любые изменения в правах и формируют выборки по нарушениям и отклонениям, с помощью которых офицеры службы безопасности смогут принять меры или определить виновных. Кроме того, системы интегрируются с продуктами класса РАМ с функциями фиксации всех действий пользователей с расширенными наборами полномочий.

Сходства и отличия платформ IdM и IGA

Иногда решения для контроля доступа обозначаются как IGA или имеют двойное название — IdM/IGA, например, как наша платформа Solar inRights. Это вносит некоторую путаницу, поскольку не все понимают, чем отличаются продукты и отличаются ли они вообще. Начнем с того, что решения направлены на выполнение одной и той же задачи — организацию эффективного управления учетными записями, поэтому у них много идентичных функций. Но в платформах IGA они более полно и гибко реализовываются и направлены преимущественно на исполнение процессов управления доступом в крупных компаниях. Можно сказать, что появление таких систем стало результатом активного развития IdM-продуктов и усовершенствования их функциональности.

Какие задачи IGA-системы решают эффективнее, чем продукты IdM:

• Работа с заявками на предоставление доступа к информационным ресурсам. Часто бывает, что в такие документы необходимо включить несколько сотрудников и несколько пунктов по различным правам доступа. IGA-платформы допускают отдельное рассмотрение для каждого сотрудника и частичное согласование. В процессе обработки заявка может быть разделена на части, если это требуется. Часть автоматически исполняется, по другой части можно запросить уточнения. Таким образом, нет необходимости оформлять заявку повторно.
• Сертификация и ресертификация доступа. Первый процесс подразумевает подтверждение существующих прав, второй — проверку и пересмотр полномочий при каких-либо штатных или функциональных изменениях, например, при переходе сотрудника на новую должность. Благодаря IGA-платформам сертификация и ресертификация оперативно происходят в рамках внутренних регламентов компании.
• Определение степени риска, сопряженной с отдельными ролями и присущими им правами. Такая опция IGA-платформ называется скорингом рисков и реализуется в ходе сертификации доступа, при обработке запросов на назначение полномочий, формировании ролей.

Резюмируем — IGA-продукты предоставляют более риск-ориентированный вариант управления доступом, чем IdM-системы, позволяют применять гибкий подход к назначению полномочий и осуществлять более детализированный контроль доступа с использованием аналитических инструментов. Такие платформы могут подстраиваться под актуальные задачи организации, помогать в расследовании внутренних инцидентов, упрощать работу с заявками пользователей и ролевой моделью.

Возможности современных IdM/IGA-платформ

Работа каждого продукта выстроена по-разному, поэтому расскажем о ключевых возможностях на примере нашего решения Solar inRights. В нем реализованы:

• Графический визуальный конструктор бизнес-логики, позволяющий моделировать различные бизнес-процессы и детально описывать их структуру.
• Модуль управления SoD-конфликтами с возможностью предотвращать риски, связанные с полномочиями пользователей. Он позволяет спрогнозировать, насколько критичным окажется то или иное сочетание прав, назначенное конкретному сотруднику.
• Удобные визуальные инструменты администрирования, например, конструкторы маршрутов согласования заявок и назначения ролей, матрица SoD-конфликтов, каталоги ролей и т.д.
• Продуманная система провижининга, позволяющая управлять не только учетками внутри целевых ИС, но и доступом к другим объектам, например, отдельным папкам, каталогам, группам.
• Расширенная функциональность для обработки пользовательских заявок на назначение прав доступа к тем или иным ресурсам, благодаря которой IdM/IGA-система может запрашивать у авторов дополнительную информацию, например, для уточнения отдельных пунктов.
• Инструменты для оптимизации массовых операций с ролями. Они позволяют администраторам запускать различные процессы по выбранным ролям: устанавливать владельцев учетных записей, исключать роли из каталога или удалять их, расширять и дополнять и т.д.
• Модуль работы с нарушением внутренних политик безопасности. Solar inRights умеет не только выявлять расхождения, но и реализовывать различные сценарии работы с ними. Например, сотрудник службы безопасности может применить расширенные фильтры и посмотреть выборки нарушений по конкретным системам, с участием отдельных пользователей, за определенные даты, а также исправить нарушения, запустить процесс легализации, либо провести служебное расследование.

Также в системе реализована поддержка совмещения должностей. Это дает возможность назначать полномочия одному сотруднику на время отсутствия другого, организовывать доступ к объектам информационных систем для временных трудовых коллективов и др. Все эти операции автоматизированы, благодаря чему компаниям удается избегать простоев в работе из-за долгих процессов пересмотра ролей и согласования прав.

И еще одно важное преимущество нашей IdM/IGA-системы в контексте осуществления бизнес-процессов — возможность параллельно вести учет управленческой и организационной структур и соответственно этому управлять правами доступа сотрудников.

Преимущества управления доступом посредством IdM-систем

Начнем с ключевых преимуществ:

• Реализация принципа наименьших привилегий и снижение рисков инцидентов, возникающих из-за избыточных прав доступа.
• Снижение трудозатрат системных администраторов, которые обычно отвечают за работу с учетными записями и изменение полномочий пользователей в ИС.
• Сокращение затрат на содержание IT-инфраструктуры путем обнаружения и отключения неактивных учетных записей.

Также можно выделить преимущества использования IdM-систем для каждого сектора по отдельности. Например, для бизнеса это безопасная и быстрая интеграция новых сервисов с сохранением контроля над полномочиями, прозрачность процесса получения прав доступа. Для ИТ: автоматизация рутинных процессов, удобный сбор сведений и подготовка детализированной отчетности для аудита прав доступа к корпоративным данным, отказ от лоскутной автоматизации, эффективное управление доступом к различным объектам информационных систем. Для службы безопасности: обеспечение соблюдения внутренних регламентов компании, сокращение количества инцидентов из-за избыточных полномочий, сбор информации о правах доступа подразделений и конкретных сотрудников для быстрого расследования нарушений.