Управління ідентифікацією і доступом (Identity and Access Management), Інтеграція додатків і даних, Бази даних, статті

У цьому огляді узагальнені думки представників розробників і корпоративних користувачів про призначення та сучасний стан засобів, що відповідають за управління ідентифікацією користувачів в корпоративній інформаційному середовищі і доступом до її мережевим, обчислювальним та інформаційних ресурсів (коштів УІД).

Складність завдань, вирішення яких покладено на ці кошти, привела до створення спеціалізованих систем – Identity and Access Management (IAM, Систем управління ідентифікацією та доступом, або СУІД, Далі будемо використовувати цю абревіатуру). Пару років тому вони з’явилися на ринку як самостійні продукти, хоча будь інформаційно-обчислювальний ресурс і до появи спеціалізованих СУІД розпорядженні засобами забезпечення та контролю доступу до нього. Це перш за все відноситься до таких ресурсів, як ОС, СУБД, Складні прикладні програми класу ERP, CRM, SCM і т. п.

Ринок рішень УІД в світі зростає випереджаючими темпами в порівнянні з показниками ІТ-ринку, як і ринок засобів забезпечення інформаційної безпеки (ІБ) в цілому. Згідно із прогнозом аналітичної групи IDC, до 2010 р. загальносвітовий оборот рішень на основі СУІД перевищить 5 млрд. дол За результатами досліджень IDC, в усьому світі в 2005 р. на закупівлю програмного забезпечення УІД виділялося 23% від загальних фінансових витрат на ІБ.

Основні завдання СУІД та її місце в загальній структурі управління безпекою


Виділення коштів УІД в окрему систему відображає потребу користувачів в об’єднанні функцій УІД під одним “парасолькою”; правда, розміри цього парасольки фахівці оцінюють по-різному.

Володимир Ляшенко, Директор департаменту інформаційної безпеки “УСП Компьюлинк”, відзначає, що часто СУІД реалізуються як самодостатні продукти, слабо інтегровані з іншими додатками. При цьому тільки іноді консоль управління СУІД виводиться на робочу станцію адміністратора безпеки підприємства, хоча, на думку Костянтина Соколова, Начальника відділу систем і методів забезпечення інформаційної безпеки компанії “Мікротест”, адміністратор безпеки обов’язково повинен так чи інакше мати доступ до СУІД, оскільки завдання цієї системи багато в чому полягає в тому, щоб полегшити працю і системних адміністраторів, та адміністраторів безпеки. Першим СУІД допомагає спростити надання доступу, а другим – проведення внутрішнього аудиту та розслідувань інцидентів.

У той же час деякі експерти дивляться на роль цієї системи більш широко. Наприклад, Абдул Карім Ріяз, Регіональний директор CA на східних ринках EMEA, вважає, що ідентифікація, авторизація та аутентифікація у всіх компонентах ІТ-інфраструктури підприємства – в мережі, в додатках, ОС і базах даних – не повинні виконуватися як окремі функції за рамками загального ІТ-процесу і бізнес-процесів, підтримуваних ІТ-інфраструктурою. Першим кроком на шляху інтеграції функцій УІБ в корпоративну ІТ-інфраструктуру логічно вважати її взаємозв’язок з системою управління безпекою, завдання якої пан Ріяз бачить в управлінні подіями, що впливають на безпеку, і їх обліку. Цю систему необхідно інтегрувати з СУІД для передачі в єдиний центр інформації про основні інциденти в сфері безпеки та її обробки інструментами обліку подій. Він вважає, що така інтеграція важлива для успішного впровадження СУІД.

На думку Євгенія Акімова, Заступника начальника ЦІБ компанії “Інфосистеми Джет”, СУІД автоматизує один з найбільш важливих процесів СУІБ і при цьому може не виділятися в окрему систему. “Правами доступу можна керувати і децентралізовано, окремо всередині кожної цільової системи, – вважає він. – Варто використовувати в рамах СУІБ окрему систему УІД чи ні, визначають, в основному, оцінки ризиків. Якщо ризики, пов’язані з помилками персоналу та складністю контролю шахрайських дій, високі, то в їх обробку потрібно включити спеціалізований механізм СУІД. При цьому слід врахувати і додаткові вигоди, такі як скорочення витрат на адміністрування, зниження простою співробітників за рахунок оперативного надання доступу “.

Сергій Точилкіна, Технічний керівник напрямку компанії “Відкриті технології”, теж вважає, що управління ІБ як частина загальної системи управління організацією повинно базуватися на управлінні ризиками; при цьому СУІД відповідає безпосередньо за технічну реалізацію внутрішніх та зовнішніх вимог до управління ідентифікаційними даними. Згідно з його думку, СУІД, що забезпечує контроль доступу на рівні облікових записів, не повинна відстежувати зміни в елементах контролю доступу до об’єктів керованих систем (у дозволах на використання папок, таблиць, звітів і т. п.). Для повноцінного контролю СУІД обов’язково потрібно доповнити системою аудиту, що відстежує такі події.

Віктор Сердюк, Генеральний директор компанії “ДіалогНаука”, на підставі особистого досвіду консультанта і інтегратора зазначив, що інтеграція системи управління ІБ і СУІД в значній мірі залежить від того, який підрозділ в компанії відповідає за управління доступом – служба ІТ або служба ІБ. Сам він вважає, що система управління ІБ повинна сполучатися тільки з модулем аудиту прав користувачів СУІД, і при цьому, як і інші опитані експерти, теж звертає увагу на те, що правами користувачів займаються системні адміністратори, а адміністратори безпеки часто їх тільки контролюють. Що ж до конкретних реалізацій єдиної системи забезпечення ІБ, то, як вважає пан Сердюк, вони повинні будуватися в залежності від концепції безпеки, прийнятої в конкретній організації, від розмежування повноважень між адміністраторами конкретних інформаційних систем і адміністраторами безпеки.

Облік і використання стандартів і нормативів при побудові СУІД


У побудові будь-яких систем розумно використовувати стандарти, оскільки в них узагальнюється кращий національний та міжнародний досвід. Слідувати технологічним стандартам розумно, а регулюючим правилам і законодавчим актам – необхідно. Тому і розробникам тих чи інших систем, і їх користувачам слід знати ті правила, які регламентують область їх діяльності.

СУІД в даному сенсі не є винятком. Всі опитані в ході підготовки огляду експерти одностайно висловилися за те, що ці системи повинні спиратися на стандарти, причому тільки відкриті. В якості основних називаються загальні стандарти з управління ІТ та організації інформбезпеки, такі як COBIT, ISO 17799:2005 (BS 7799), ISO 27001:2005. До них експерти додають вимоги, спрямовані на боротьбу зі зловживаннями в бізнесі, які були вироблені на основі практики останніх років: HIPAA (Health Insurance Portability and Accountability Act), SOX 2002 (Sarbanes – Oxley Act, що визначає вимоги до системи внутрішнього контролю та аудиту для запобігання шахрайства), BASEL II (управління ризиками у фінансових установах) і стандарт Банку Росії СТО БР Іббс для організацій банківської системи РФ.

З технологічних стандартів, як вважають експерти, творці СУІД перш за все повинні дотримуватися наступних:


Потрібно зазначити, що перелік використовуваних в УІД стандартів повинен постійно поповнюватися. Так, на думку Володимира Мамикіна, директора з інформаційної безпеки кабінету президента Microsoft в Росії і СНД, ринку УІД заважає відсутність міжнародно визнаних стандартів з використання пристроїв для біометричної аутентифікації.

Перед впровадженням СУІД


Згідно з оцінками фахівців з безпеки з Microsoft, Більшість сучасних підприємств щодо питань забезпечення ІБ дуже незрілі: корпоративні користувачі знаходяться на самому першому, базовому рівні з чотирьох прийнятих в класифікації цієї компанії. Тому не зайвим буде нагадати ті основні заходи, які фахівці рекомендують провести перед впровадженням СУІД.

Перш ніж почати такий проект, компанії належить провести обстеження ресурсів, доступ до яких планується впорядкувати; класифікувати ці ресурси за призначенням; описати бізнес-завдання конкретних співробітників і підрозділів; формалізувати реально діючий порядок погодження та технології надання доступу; розробити рольову модель доступу до ресурсів і відповідні процеси його погодження та надання. Після цього на існуючі та розроблені заново процеси і моделі можна “приміряти” конкретні технології. Серед них цілком можуть виявитися і елементи успадковане ІТ-інфраструктури, наприклад адресні книги або інші бази даних, що містять профілі користувачів.

Функціональний склад СУІД


Експерти виділяють наступні базові можливості, які належить реалізувати в рамках СУІД:


Деякі експерти, серед яких Олексій Сабанов, Комерційний директор компанії Aladdin, вважають бажаним або навіть обов’язковим використання в СУІД інфраструктури відкритих ключів з підтримкою російських стандартів шифрування і ЕЦП (ГОСТ Р 34.10-2001, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94 і ГОСТ 28147-89).

Говорячи про типовий функціоналі СУІД, Костянтин Соколов зазначив актуальну для великих підприємств і державних установ потреба в інтеграції системи з паперовим документообігом, який повністю замінити на електронну не вийде. Для цієї ж категорії корпоративних користувачів істотним властивістю СУІД є підтримка взаємодії та ідентифікації в гетерогенних структурах, на що звертає увагу Володимир Мамикін.

Функції УІД в ОС, СУБД і прикладних системах


Як зазначалося вище, корпоративні інформаційні ресурси мають власні механізми ідентифікації та надання користувачам прав доступу на рівні ОС, СУБД або додатків. Експерти відзначають, що кошти УІД, реалізовані в сучасних інформаційно-обчислювальних ресурсах, все більше наближаються за своїми можливостями до спеціалізованих систем, між ними йде запозичення процедур і функцій. З спробами отримати несанкціонований доступ, на думку Костянтина Соколова, вони цілком успішно справляються самі. У той же час Абдул Карім Ріяз звертає увагу на обмеженість можливостей ОС в області УІД, і насамперед у сфері аудиту.

У деяких фахівців сприятливі враження викликають останні досягнення з управління доступом в таких продуктах, як SAP NetWeaver, Oracle Application Server, e-Business Suite. Інші зазначають, що хоча постачальники рішень класу ERP і просунулися зі своїми продуктами в напрямку УІД набагато далі розробників операційних систем, їх проблема полягає в тому, що ERP-рішення нерідко будуються як окремі сховища даних (silo), а тому вони не забезпечують належну інтеграцію з корпоративними політиками УІД: ERP відповідають за ідентифікацію і авторизацію користувачів тільки для своїх модулів.

На думку Ростислава Рижкова, Директора технологічної лабораторії ТОВ “Елвіс Плюс”, з позиції взаємодії СУІД з корпоративними інформаційними системами перспективний відмову від агентів, що встановлюються на керованих об’єктах, і перехід на безагентние схеми взаємодії. Для полегшення взаємодії з поширеними ERP-системами, СУБД і ОС в складі СУІД необхідно мати широкий набір конекторів, які забезпечують інформаційну сумісність СУІД і обслуговуються систем. Поки таку сумісність нерідко доводиться забезпечувати за допомогою спеціально розроблених засобів.

Володимир Ляшенко як позитивний факт відзначив появу в Windows Vista сервісу Digital Identity Management Service (DIMS), який забезпечує переміщення сертифікатів та облікових даних по структурі Active Directory, а також підтримує комплексні сценарії управління життєвим циклом сертифікатів. “Завдяки модернізації архітектури в Windows Vista – сказав він, – стало можливим додавати різні способи перевірки автентичності, наприклад на основі біометричних характеристик і маркерів. Незалежні постачальники власних технологій перевірки автентичності тепер можуть розробляти спеціальні засоби доставки облікових даних для служби Winlogon. Модель таких засобів доставки значно простіше фільтрів GINA (Graphical Identification and Authorization), при цьому різні засоби можуть функціонувати паралельно “.


Хоча експерти і не вбачають революційних змін в функціоналі УІД прикладних систем, провідні розробники постійно нарощують ці можливості у своїх продуктах, використовуючи різні моделі розвитку бізнесу. Так, завдяки покупці профільних розробників Oblix і Thor Technologies компанія Oracle включила в пакет e-Business Suite повноцінне управління обліковими записами, одноразову реєстрацію користувачів і контроль Web-доступу з адаптерами для більшості інших систем. Novell для свого продукту Identity Manager розробляє засоби інтеграції з основними промисловими СУБД, такими як Oracle, DB2, MS SQL Server, Informix, Sybase, Postgres, MySQL. В якості стандартного методу взаємодії розробник пропонує JDBC-драйвери, а при необхідності – експорт-імпорт даних в форматах CSV, TXT, XML і т. п. Реалізована інтеграція Novell Identity Manager з IBM MainFrame (ACF / 2, i5/OS, RACF, Top Secret), розширені можливості взаємодії з операційними системами AIX, HP / UX, Solaris, Linux. Є пряма підтримка ERP-систем SAP, PeopleSoft і рішень компанії Remedy.


Фахівці із задоволенням відзначають вдосконалення в корпоративних системах федеративних сервісів УІД, що розширюють можливості щодо використання партнерських користувацьких баз для взаємного доступу до ресурсів.

Напрямки розвитку СУІД


За висновком експертів, з урахуванням таких вимог до СУІД, як масштабованість, ієрархічність і підтримка територіальної розподіленості, найбільш підходящою для цих систем на сьогоднішній день є трирівнева архітектура з трьома базовими компонентами: реалізують бізнес-логіку (workflow) УІД сховищем ідентифікаційних даних, сервером і консоллю централізованого управління УІД. Хоча на думку Сергія Точилкіна, можливо, незабаром з’являться спеціалізовані SOA-сервіси для окремих функцій СУІД, які сьогодні сприймаються як монолітні, неподільні програми. “Не виключено, – вважає він, – Що ці сервіси будуть інтегровані з іншими, схожими за функціоналом. Наприклад, сервіси забезпечення (provisioning) і адаптери будуть інтегровані в ESB (шина сервісів підприємства, що представляє собою інтеграційний продукт проміжного рівня), workflow-движки інтегруються з BPM-сервісами (управління бізнес-процесами), а аудит – з сервісами корпоративної звітності “.

В даний час на російському ринку інформаційної безпеки представлено досить багато програмних рішень, які забезпечують управління доступом та ідентифікацією. Серед найбільш відомих назвемо наступні:


З менш відомих в Росії можна виділити Sun Java Identity Manager Suite і eTrust IAM. Відрадно відзначити, що серед явно переважаючих зарубіжних продуктів залучені до участі в даному огляді експерти назвали і вітчизняну розробку – систему КУБ компанії “Інформзахист”.

Зусилля провідних фірм – розробників засобів УІД спрямовані на те, щоб, по-перше, досягти максимальної функціональної повноти своїх продуктів і, по-друге, забезпечити їх інтероперабельність.

Наприкінці лютого нинішнього року корпорація Oracle представила пакет програм Oracle Management Pack for Identity Management, який дає в руки системних адміністраторів єдину консоль для всього середовища управління ідентифікаційними даними і системами на базі технологій Oracle та інших постачальників.

Реалізуючи концепцію уніфікованого та спрощеного управління ІТ-інфраструктурою в масштабах всієї організації (EITM), компанія CA продовжує розробляти рішення, що дозволяють створити безпечне середовище для управління обліковими даними користувачів, способами аутентифікації і правами доступу. Сьогодні на додаток до окремих рішень CA пропонує інтегрований пакет IAM Suite. З його допомогою користувачі отримують найбільш повні можливості керування ідентифікацією та доступом.

Novell спрямовує свої зусилля на розширення спектра підтримуваних систем та програм (через збільшення набору конекторів до різних систем і додатків), на вдосконалення засобів самообслуговування користувачів і тіснішу інтеграцію з системами моніторингу та аудиту безпеки.

В Microsoft розроблено концепцію Identity Metasystem, мета якої полягає в тому, щоб уніфікувати завдання ідентифікації в гетерогенних середовищах. Identity Metasystem – це архітектура ідентифікації, що дозволяє компаніям використовувати наявну структуру ідентифікації і одночасно спрощує перехід зі старих технологій на нові без втрати взаємодії між ними. “Раніше ми думали досягти єдиної ідентифікації на базі нашої системи Microsoft Passport, – повідомив Володимир Мамикін. – Але незважаючи на успіх цієї програми (цим ідентифікатором сьогодні користуються сотні мільйонів людей у ​​світі), ми зрозуміли, що не всі готові використовувати єдине рішення від одного вендора. Тому нова концепція Microsoft не залежить від виробників технологій і дозволяє провайдерам ідентифікаційних сервісів використовувати різні сценарії “. Важливо, що застосовуються в Identity Metasystem протоколи WS-Trust, WS-Security і WS-MetadataExchange дозволяють передавати ідентифікаційну інформацію селективно. Наприклад, якщо яка-небудь сервісна система хоче переконатися в тому, що вік звернувся до неї користувача більше вісімнадцяти років, а в тій системі, з якої він зробив запит, міститься точна дата його народження, то запитуюча система отримає тільки інформацію про те, старше цей користувач вісімнадцяти років чи ні. Така дозована видача даних важлива з точки зору міжнародних законів, а тепер і російського закону “Про персональні дані”. Microsoft вже реалізувала ряд підсистем в рамках цієї концепції. Це насамперед система Card Space, що входить в комплект поставки Windows Vista. Вона дозволяє створювати віртуальні смарт-картки, що є повними аналогами реальних документів (наприклад, кредитної картки або “Соціальної картки москвича”), і використовувати їх в Інтернеті. Важливо відзначити, що віртуальні карти створюють ті ж організації, які випускають і реальні карти, – банки, інтернет-магазини, муніципальні служби та ін

Стан ринку СУІД в Росії

У Росії збільшення попиту на СУІД намітилося недавно, і на кошти УІД російські компанії витрачають усього 2% бюджету інформбезпеки. На думку експертів, це багато в чому обумовлено тим, що впровадження технологій УІД вимагає наявності в компанії пакета нормативно-методичних документів, що забезпечують строгу формалізацію процесу надання доступу користувачів до інформаційних ресурсів. Саме через відсутність комплексного документаційного забезпечення в області ІБ багато російських підприємства поки не готові до впровадження СУІД.

Якщо ж говорити про стимули впровадження УІД, то основними з них вважаються необхідність відповідати вимогам державного регулювання та підвищувати прозорість діяльності ІТ-служб. Як стримуючий фактор розповсюдження даних продуктів експерти називають високу ціну – від 60 до 100 дол на користувача, а також те, що дані рішення знаходяться на стику функцій ІТ-департаменту і підрозділи безпеки (Що ускладнює прийняття і реалізацію організаційно-адміністративних заходів по УІД). До теперішнього часу в Росії запроваджено лише кілька СУІД. Однак можна припустити, що в найближчому майбутньому в цьому напрямку буде здійснено прорив. Саме зараз запускаються великі і цікаві проекти, які передбачають поетапне розгортання УІД протягом одного-двох років.

Сьогодні в Росії СУІД представляють інтерес для великих підприємств і організацій з розвиненою ІТ-інфраструктурою, таких як великі телекомоператора, банки, страхові компанії, промислові холдинги, нафтогазові корпорації і держструктури. Оцінюючи щорічний обсяг закупівель на російському ринку СУІД на кілька найближчих років, наші експерти наводять широку вилку – від п’яти до декількох десятків мільйонів доларів. При цьому вони враховують, що кількість потенційних замовників, на найближчі три-п’ять років складе близько сотні компаній при вартості проекту від 1 млн. дол


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*