Получить консультацию по Solar inRights

Компании используют различные информационные системы (ИС), программы и сервисы, для доступа к которым нужны учетные записи (УЗ) с различными наборами полномочий. Чем больше объектов, тем масштабнее количество учеток и сложнее контроль соблюдения назначенных пользователям прав. Отдельно стоит отметить риски и неудобства, которые возникают при массовой регистрации учетных записей. В статье рассказываем, как упростить этот процесс и выстроить риск-ориентированную модель управления УЗ с помощью специализированных решений.

Учетная запись: что это и зачем она нужна

Учетная запись — совокупность необходимых для входа в ИС и доступа к функциональности аккаунта сведений о пользователе. Такими данными являются идентификатор, логин и пароль. Последний должен храниться в хэшированном или зашифрованном формате во избежание утечки и несанкционированного использования чужой УЗ.

Зарегистрированные в используемых компанией ИС учетные записи можно условно разделить на три группы:

  • Встроенные, то есть по умолчанию присутствующие во всех используемых информационных системах. Учетные записи этой группы могут принадлежать администраторам или гостям, то есть «рядовым» пользователям. Аккаунты администраторов позволяют управлять всеми ресурсами внутри ИС, а учетки пользователей дают временные привилегии и в большинстве случаев активируются только при необходимости.
  • Глобальные. Регистрация таких учетных записей происходит на доменах. Созданные аккаунты дают всем пользователям одинаковые привилегии в отношении используемых ресурсов того домена, где они зарегистрированы.
  • Локальные. Это учетки, привязанные к конкретным пользователям и их рабочим местам.

Также учетные записи можно разделить на обычные и привилегированные. Аккаунтам первого типа присваиваются минимально достаточные для работы в целевых ИС права. Привилегированные учетные записи наделяются расширенными полномочиями, позволяющими настраивать оборудование и средства защиты, управлять информационными системами, серверами, приложениям и т.д. Такие аккаунты могут быть привязаны как к людям, так и к техническим службам.

понятие регистрации учетных записей

Понятие регистрации учетных записей, отличие регистрации от идентификации, аутентификации и авторизации

Под регистрацией понимают создание учетной записи в ИС или сервисах. Процесс подразумевает внесение данных о пользователе, отправку этих сведений в систему, подтверждение и активацию аккаунта, осуществление необходимых настроек согласно внутренним политикам.

Регистрация является первой ступенью работы пользователя в ИС, поскольку без нее не будет учетной записи, соответственно, и полномочий. Чтобы войти в систему под учетной записью, нужно пройти идентификацию — ввести логин. Затем следует процедура аутентификации, то есть подтверждения личности пользователя в системе. Она предполагает ввод пароля (или его аналога) от учетной записи, а в случае многофакторной аутентификации нужно будет предоставить дополнительные сведения, например, разовый код с телефона или из электронной почты, специальный цифровой ключ или биометрическую характеристику. Затем наступает процесс авторизации — проверки разрешенных привилегий в отношении запрашиваемых ресурсов. Если все этапы завершаются успешно, начинается сеанс работы в ИС.

Зачем нужна быстрая регистрация учетных записей и как ее реализовать с помощью специальных средств

С ростом бизнеса растет число пользователей информационных систем внутри компаний, с чем связана потребность в быстрой регистрации учетных записей. Процесс создания учетки кажется несложным и недолгим, если нужно зарегистрировать один аккаунт, но если их будут десятки, потребуется много усилий и времени. К тому же, при регистрации вручную есть риски некорректно ввести данные пользователей или допустить неточности в настройках.

Создание большого количества УЗ требует соблюдения баланса между удобством и безопасностью. Обеспечить его помогут автоматизированные платформы управления доступом — IdM (Identity Management). Такие решения управляют учетными записями на основе сведений о пользователях и организационно-штатной структуре, получаемых из доверенных кадровых источников. С целевыми ИС платформы имеют двустороннюю интеграцию благодаря специальным коннекторам, поэтому могут оперативно выполнять все требуемые операции.

IdM-решения позволяют не только массово регистрировать учетки, но и осуществлять следующие настройки:

  • Устанавливать для учетных записей права доступа к ресурсам согласно ролевой модели выдачи полномочий. Не нужно будет вручную назначать привилегии для каждой УЗ — необходимые наборы прав будут автоматически присвоены всем сотрудникам одной роли.
  • Управлять атрибутами учетных записей и их синхронизацией в подключенных системах.
  • Настраивать политики безопасности и процедуры безопасного входа в целевые ИС.

IdM-платформы используются организациями из разных сфер деятельности в качестве инструмента централизованного управления пользовательскими привилегиями и учетными записями в корпоративных средах. Их усовершенствованная версия — IGA-системы (Identity Governance and Administration) с более полными функциональными возможностями  предоставляют расширенные преимущества по контролю доступа за счет глубокой аналитики и риск-ориентированного подхода. Иногда для обозначения платформ применяется двойная аббревиатура IdM/IGA, поскольку не все предприятия отошли от использования старого названия. Такие решения позволяют внедрять ролевую модель управления доступом, проводить скоринг рисков ИБ, гибко осуществлять администрирование, эффективно управлять учетными записями в почтовых системах, системах управления базами данных и электронного документооборота, программах для организации кадрового учета и в других используемых компанией ресурсах.

быстрая регистрация учетных записей

Важность безопасности учетных записей в условиях увеличения числа регистраций

Какие ошибки компании часто допускают в работе с учетками, если осуществляют создание аккаунтов и назначение полномочий вручную:

  • Использование настроек, предложенных по умолчанию. Из-за этого возникают уязвимости, которые могут быть проэксплуатированы злоумышленниками, желающими получить доступ к пользовательским аккаунтам.
  • Отсутствие разделения привилегий, что приводит к конфликту полномочий и усложняет контроль использования информационных систем и отдельных ресурсов.
  • Установка слабых паролей или одинаковых комбинаций логинов и паролей для разных учетных записей. В таких случаях злоумышленникам не составляет труда подобрать атрибуты учеток и использовать чужие аккаунты.

IdM/IGA-решения помогают минимизировать риски ИБ за счет разграничения прав доступа пользователей на основании ролевой модели, исполнения утвержденных политик и процедур управления учетными записями, отслеживания конфликтов полномочий, применения риск-ориентированного подхода к управлению доступом, автоматизации рутинных операций в рамках работы с учетными записями.

Применение IdM/IGA-системы Solar inRights для оптимизации процесса регистрации учетных записей и обеспечения безопасного использования пользовательских аккаунтов

IdM/IGA-платформа Solar inRights позволяет управлять полным циклом жизни УЗ  — от регистрации до блокировки или удаления, применять отдельные правила и процедуры управления техническими учетными записями. С ее помощью можно автоматически или в ручном режиме создавать любые учетки согласно внутренним правилам компании. Также наше решение позволит управлять паролями: генерировать сложные комбинации, устанавливать параметры паролей в соответствии с положениями парольной политики, применять парольные политики как одновременно для всех используемых организацией информационных систем, так и для конкретных ресурсов и учетных записей.

Какие еще задачи в отношении УЗ решает Solar inRights:

  • Аннулирование доступа для учетной записи при увольнении работника или переходе на другую штатную позицию.
  • Аудит всех операций, связанных с учетками пользователей ИС для проверки на соответствие положениям внутренних политик безопасности.
  • Блокировка и разблокировка УЗ.
  • Назначение дополнительных полномочий по заявкам пользователей.

Процессы, связанные с регистрацией учетных записей и другими операциями, касающимися предоставления доступа, могут исполняться автоматически или требовать согласования ответственных лиц. Однако даже при втором сценарии трудозатраты будут намного меньше, чем при создании аккаунтов и назначении прав вручную.

регистрация учетных записей с помощью IdM/IGA-системы

Выводы

Регистрация учетных записей для использования ИС и сервисов, организация управления пользовательским доступом к информационным ресурсам — задачи, с которыми сталкивается каждое предприятие независимо от масштабов деятельности. Зачастую управление происходит вручную, либо применяется лоскутная автоматизация, то есть организации автоматизируют некоторые операции путем применения разрозненных средств. Оба сценария приводят к высоким рискам ИБ, несогласованности отделов ИБ и ИТ, значительным временным и трудозатратам. Прийти к централизованному управлению жизненным циклом УЗ и пользовательскими полномочиями поможет IdM/IGA-платформа Solar inRights. Она позволит оперативно регистрировать учетки с опорой на внутренние политики безопасности компании, минимизировать превышение полномочий и соблюдать отраслевые требования.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Визуальный конструктор бизнес-логики на основе Camunda BPM

Визуальный конструктор бизнес-логики на основе Camunda BPM

Узнать больше
Результат от внедрения системы управления доступом

Результат от внедрения системы управления доступом

Узнать больше