Современная компания является сложной, распределенной и многомерной цифровой системой. Для производства и доставки товаров и услуг задействованы различные информационные системы, клиентами которых могут быть сотрудники, партнеры, поставщики услуг, клиенты, устройства, приложения, процессы. Доступ к цифровым активам компании осуществляется из различных мест, сами активы могут находиться в офисах компании, корпоративных ЦОД, в облачных хранилищах. Классическая корпоративная сеть с четко определенными границами и разделением на «своих» и «чужих» уступила место новой гибридной ИТ-реальности. А концепция периметра безопасности сменилась концепцией Zero Trust. Важнейшей компонентой Zero Trust является Identity Security, отвечающая за уверенную идентификацию клиентов ИТ-систем. И чем более распределенная ИТ система, тем сложнее обеспечить необходимый уровень доверия к ее пользователю.

Инструментом реализации концепции Identity Security являются системы управления идентификацией и доступом — Identity and Access Management, IAM. IAM перестала быть только средством авторизации пользователей при входе в корпоративную сеть. К ней предъявляются требования обеспечить доступ из любого места к любому сервису, сделав это удобным для пользователей способом, без компромиссов с безопасностью.

Управление идентификацией и доступом включает три основные области: управление и администрирование идентификационными данными (IGA), управление доступом (access management) и управление привилегированным доступом (PAM). Давайте посмотрим, какие возможности предлагают современные производители решений этих классов для защиты ИТ-ресурсов.

Управление и администрирование идентификационными данными (IGA)

Компаниям с большим числом сотрудников и/или с частыми кадровыми изменениями требуется динамическое управление правами и разрешениями специалистов. Необходимо создавать и удалять учетные записи, наделять сотрудников новыми правами на основании изменения бизнес роли. Автоматизировать эти задачи позволяют системы IGA (Identity Government and Administration).

Решения IGA решают две большие задачи: управление жизненным циклом идентификационными данными и администрирование прав доступа клиента ИТ системы.

Управление жизненным циклом включает создание, контроль целостности, защиту, обновление, отзыв и удаление идентификационных данных клиента: учетных записей, сертификатов, ключей, токенов и прочее. IGA-системы представляют собой сложные механизмы, синхронизирующие учетные данные в широком диапазоне форматов. Для этого они считывают данные из исходных систем (например, HR), обрабатывают их и записывают в целевые системы (например, LDAP, Active Directory и приложения).

Администрирование прав доступа заключается в применении политик доступа к идентификационным данным, управлении процессами, связанными с идентификацией, сборе информации об идентификационных данных и правах, ее анализе, оценке рисков и разработке предложений по совершенствованию политики. Для выполнения этой функции платформе IGA необходим доступ на чтение ко всем подключенным системам, позволяющий получать и анализировать все данные, связанные с идентификацией (учетные записи, группы, роли и другие права, организационные структуры и т.д.). Для администрирования идентификационных данных в IGA используются модули (подсистемы) обработки политик. Большая часть политик обрабатывается в автоматическом режиме, некоторые требуют взаимодействия с пользователями и администраторами.

Основными возможностями современных решений IGA являются:

• автоматизированное предоставление пользователям прав и разрешений,
• наличие коннекторов как к облачным сервисам, так и к локальным приложениям,
• наборы инструментов для настройки коннекторов,
• интеграция и/или синхронизация со службами каталогов,
• самостоятельное управление пользователями учетными данными и профилями,
• рабочие процессы запроса и утверждения доступа,
• управление правами доступа, включая управление ролями,
• управление и применение средств контроля разделения обязанностей (Segregation of Duty, SoD),
• сертификация доступа,
• аналитика идентификации и доступа,
• аудит, генерирование отчетности и централизованные панели с данными.

Управление доступом

Управление доступом (Access Management, AM) связано с аутентификацией и (частично) авторизацией пользователей и механизмами безопасности, необходимыми при доступе пользователя к конкретной системе. По сути, это управление сеансами пользователей ИТ-систем.

Качественная идентификация клиента сейчас, как правило, ассоциируется с использованием многофакторной аутентификацией (MFA), которая фактически стали стандартной практикой в большинстве компаний, и технологией единого входа (SSO). Однако управление доступом включает в себя и множество других технологий.

Компаниям со сложной ИТ-инфраструктурой и необходимостью охватить управлением доступом все ресурсы могут потребоваться, например, такие возможности, как федерация идентификационных данных, управление веб-доступом (WAM) для устаревших сред, адаптивная аутентификация и повышение прав в приложениях при помощи ступенчатой аутентификации.

Современные вендоры решений управления доступом предлагают следующий функционал:

• поддержка федерации идентичности и основных стандартов, включая SAML и OAuth,
• WAM для интеграции приложений без встроенной поддержки федерации,
• интеграция или синхронизация со службами каталогов,
• поддержка стандартов 2FA/MFA и FIDO2,
• ступенчатая аутентификация (step-up authentication),
• адаптивная аутентификация с учетом рисков и контекста,
• беспарольная аутентификация,
• рабочие процессы ввода и регистрации пользователей,
• интерфейсы самообслуживания для управления учетными данными и профилями пользователей,
• аудит, генерирование отчетности, визуализация данных.

Управление привилегированным доступом (PAM)

Функционирование современной компании зависит от ИТ-ресурсов, поэтому контроль доступа к управлению такими активами требует особого внимания. Администраторы могут изменять настройки оборудования и систем, скачивать, модифицировать и удалять данные и даже отключать системы информационной безопасности компании. Такие пользователи называются привилегированными. Несанкционированные действия привилегированного пользователя может представлять угрозу всему бизнесу.   Для управления учетными записями с такими привилегиями и действиями таких пользователей нужно применять более строгие средства контроля. В этом заключается основное отличие системы управления привилегированным доступом или PAM от инструментов Access Management.

Управление привилегированным доступом (PAM) направлен на обеспечение контроля над повышенным («привилегированным») доступом и разрешениями для идентификационных данных, пользователей, учетных записей, процессов и систем в ИТ-среде. Благодаря правильной организации контроля привилегированного доступа PAM помогает организациям сократить площадь атаки и предотвратить или смягчить ущерб от внешних атак и внутренних угроз.

Современные PAM-инструменты могут предлагать следующий функционал:

• управление жизненным циклом привилегированных учетных данных;
• хранение паролей/учетных данных в зашифрованном виде в защищенном хранилище;
• ротация паролей;
• управление сеансами привилегированного доступа;
• повышение привилегий;
• управление привилегиями на конечных точках;
• управление секретами межмашинного взаимодействия;
• управление секретами в конвейере DevOps;
• предоставление доступа Just in Time;
• обнаружение привилегированных учетных данных;
• анализ поведения привилегированных пользователей;
• мониторинг и запись сеансов привилегированного доступа;
• автоматизация доступа;
• поддержка эфемерных учетных данных;
• управление правами в облачных средах (CIEM);
• аудит, генерирование отчетности, визуализация данных.

IAM — это интеграция

Защита учетных данных на уровне компании — сложная задача из-за разрозненного технологического стека, наличия унаследованных систем, широкого разнообразия идентификационных данных. И на рынке сегодня крайне мало систем, которые могли бы в одиночестве решить все задачи по защите идентификационных данных. Рынок решает эту проблему разными способами. Если обратиться к опыту западных производителей, то мы увидим примеры интеграций даже у лидеров рынка. Например, Okta, вендор IGA и PAM интегрирован с SailPoint и Saviynt, производителями IGA. В IBM Security Verify реализованы возможности IGA и управления доступом, а OEM-соглашение с Thycotic позволяет дополнить их функционалом PAM. Многие вендоры идут по пути приобретения и слияния компаний, как, например, OneIdentity, которая приобрела OneLogin, решение для управления доступом. Крупные вендоры объединяют собственные решения в большой «комбайн», как, например, Broadcom.

В условиях необходимости оперативного реагирования на новые вызовы, наиболее оптимальным вариантом для российской экономики видится интеграция решений отечественных производителей IGA/IdM, служб каталогов, управления доступом, PAM в единые экосистемы. И здесь, следуя опыту мировых лидеров, желательно наличие у таких решений широкого набора API, микросервисной архитектуры, широкой поддержки различных технологий и различных моделей развертывания, чем могут похвастаться пока не многие отечественные продукты.

Согласно концепции Zero Trust, ни один ресурс, ни один пользователь не может считаться доверенным только на основе нахождения в периметре компании. Это требует периодической, а лучше непрерывной аутентификации в сеансе, предоставления ему только наименьших необходимых привилегий и адаптивный контроль правомерности доступа. Zero Trust предполагает постоянное наблюдение и верификацию того, кто и что именно делает в вашей сети.  Все это в той или иной мере реализовано в современных решений по управлению идентификаций и доступом, причем в большей степени в решениях класса PAM.