Ключевые слова: управление, доступ.
IAM (Identity and Access Management) система — это решение, являющееся неким ядром, которое объединяет все данные о сотруднике в организации: не только ФИО и уникальный идентификатор, но и когда он устроился, какую должность занимает, какие права имеет, и, соответственно, к каким системам он может иметь доступ [1].
Управление удостоверениями и доступом гарантирует, что нужные люди, компьютеры и компоненты программного обеспечения получают доступ к нужным ресурсам в нужное время. Во-первых, человек, компьютер или программный компонент доказывает, что он является именно тем, кем он себя называет. Затем пользователю, компьютеру или программному компоненту разрешается или запрещается доступ к определенным ресурсам или их использование.
В том или ином виде в любой компании выполняются процессы управления доступом, однако зачастую они выполняются вручную что влечет за собой огромные трудозатраты и ослабляет информационную безопасность предприятия, поэтому на рынке появились автоматизированные системы управления доступом.
При выборе системы управления доступом (IAM) следует обратить внимание на ряд ключевых аспектов, которые помогут определить, какая система лучше всего подходит для вашей организации:
- Наличие функциональности для работы с многоуровневой ролевой моделью: многоуровневая ролевая модель позволяет создавать роли на разных уровнях доступа, что позволяет точно определять права доступа для каждого пользователя в зависимости от их роли и полномочий в организации.
- Интеграция: важно, чтобы IAM-система была легко интегрируема с существующими системами и приложениями в вашей инфраструктуре, такими как каталоги LDAP, корпоративные каталоги, облачные сервисы и другое.
- Поддержка развертывания в ОС Linux, включая российские дистрибутивы: необходимо для соблюдения требований безопасности для некоторых предприятий.
- Управление доступом технологических и привилегированных учетных записей: необходимо, так как технологические и привилегированные учетные записи часто имеют расширенные права доступа к системным ресурсам и данным, что делает их особенно ценными для злоумышленников. Управление доступом к таким учетным записям позволяет максимально ограничить и контролировать их использование, снижая риски утечки данных, нарушения безопасности и несанкционированного доступа.
- Сохранение полной истории изменений прав пользователей: полная история изменений позволяет администраторам отслеживать, какие изменения произошли с правами доступа пользователей, когда они были сделаны, и кем они были сделаны. Это обеспечивает прозрачность и позволяет быстро выявлять и реагировать на любые несанкционированные или ошибочные действия.
- Наличие функциональности по созданию новых и изменению существующих бизнес-процессов: быстрая реакция на изменения внутренней или внешней среды организации может стать ключевым конкурентным преимуществом. Возможность быстрого создания и изменения бизнес-процессов в IAM-системе помогает организации лучше адаптироваться к изменяющимся условиям рынка и оперативно реагировать на новые возможности или вызовы.
- Наличие долгосрочной технической поддержки: техническая поддержка может предоставлять обучение и консультации пользователям по использованию и оптимизации функциональности IAM-системы, что помогает повысить эффективность её использования в организации, также при расширении бизнеса или изменении требований организации может потребоваться масштабирование или адаптация IAM-системы. Экспертная помощь со стороны техподдержки поможет в этом процессе, обеспечивая плавное и эффективное расширение функциональности системы.
- Наличие сертификата ФСТЭК: наличие данного сертификата подтверждает, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.
Использование IAM-системы, удовлетворяющей этим критериям позволит повысить уровень информационной безопасности, и эффективно автоматизировать сложные процессы по предоставлению доступа к информационным ресурсам.
Для сравнительного анализа были выбраны следующие автоматизированные системы управления доступом Avanpost IDM, Solar Inrights, 1IDM, Roox UIDM. Данные системы были выбраны так, как они являются наиболее представленными на данном рынке, а также являются российскими, что влечет за собой соответствие необходимым сертификатам безопасности. В ходе работы был проведен анализ соответствия каждой автоматизированной системы управления доступом сформированным критериям. Сведем данные исследования в таблице 1.
Таблица 1
Результаты сравнительного анализа представленных на рынке IAM -систем
Наименование |
Работа с ролевой моделью |
Возможности по интеграции |
Поддержка Linux |
Управление техническими и привилегированными учетными записями |
Журнал аудита |
Инструменты для работы с бизнес-процессами |
Долгосрочная поддержка |
Наличие сертификата ФСТЭК |
Avanpost IDM |
есть |
Присутствует возможность разработки коннекторов к информационным системам организации |
Благодаря микросервисной архитектуре и использованию отдельного сервиса коннекторов достигается полная кроссплатформенность |
Достигается благодаря Indeed Privileged Access Manager, компоненту отвечающему за работу с привилегированными и техническими учетными записями |
есть |
Присутствует графический редактор с поддержкой скриптовых языков |
есть |
есть |
Solar Inrights |
есть |
Присутствует возможность разработки коннекторов к информационным системам организации |
Благодаря микросервисной архитектуре и использованию отдельного сервиса коннекторов достигается полная кроссплатформенность |
Достигается благодаря Solar SafeInspect, компоненту отвечающему за работу с привилегированными и техническими учетными записями |
есть |
Присутствует графический редактор, однако отсутствует поддержка скриптовых языков, что сужает пользовательские возможности |
есть |
есть |
1IDM |
есть |
Присутствует возможность разработки коннекторов к информационным системам организации |
Присутствует возможность развернуть систему на Linux, однако из-за отсутствия сервиса посрденика между интеграционными решениями и IAM-системы возможны проблемы при модульном развертывании на разных операционных системах |
Функциональность отсутствует |
есть |
Функциональность отсутствует |
есть |
есть |
Roox UIDM |
есть |
В составе продукта имеются SDK: серверная Java (Spring, Pure Java), C#, Android, IOS |
Благодаря микросервисной архитектуре и использованию отдельного сервиса коннекторов достигается полная кроссплатформенность |
Функциональность отсутствует |
есть |
Функциональность отсутствует |
есть |
есть |
Литература:
1. Определение IAM-системы. [сайт] — URL: https://www.tadviser.ru/index.php/ %D0 %A1 %D1 %82 %D0 %B0 %D1 %82 %D1 %8C %D1 %8F:Identity_and_Access_Management_-_ %D0 %BE %D0 %BF %D1 %80 %D0 %B5 %D0 %B4 %D0 %B5 %D0 %BB %D0 %B5 %D0 %BD %D0 %B8 %D1 %8F?ysclid=ls7zm3hg70663055229 (Дата обращения 11.09.2023).