Журнал "Information Security/ Информационная безопасность" #4, 2020

Раннее внедрение IAM позволит избежать появле- ния приложений, вход в которые требовал бы дополнительных усилий со стороны пользователя или был бы невозможен. Выбор решений IAM на рынке достаточно разнооб- разен. Есть решения, кото- рые можно устанавливать на серверах компании, и решения, которые можно арендовать в формате облачного сервиса (Identity as a Service). Можно также разработать свой IAM на основе Open Source-реше- ний или внедрить проприе- тарное ПО. Достаточно часто информационные техно- логии копируют привыч- ные ситуации из жизни. Например, представим пропускную систему в обычном бизнес-центре, где сотрудник компании-арендато- ра формирует заявку на госте- вой пропуск, посетитель предъ- являет свой паспорт при про- хождении охраны, которая, в свою очередь, выдает ему разовый пропуск, используемый в том числе и для выхода. В цифровом мире информа- ционные системы и приложения подобны арендаторам офисов в бизнес-центрах. Приложениям нужна своя пропускная систе- ма, и в этой системе для поль- зователя должна быть заведена учетная запись и назначены полномочия. Каждый пользо- ватель должен проходить иден- тификацию и аутентификацию, подобно прохождению через охрану в бизнес-центре. Вот только вместо паспорта для входа ему понадобятся логин и пароль, а вместо пропуска будет создана сессия и выдан маркер безопасности, так назы- ваемый Security Token. Тогда приложению останется прове- рить, что предъявленный поль- зователем маркер безопасно- сти не просрочен, не отозван, а указанные в нем права соот- ветствуют запрашиваемому доступу. Компании используют в своей работе множество различных приложений, в том числе клас- сические десктопные, мобильные и веб-приложения. Они могут быть развернуты на серверах компании или представлять собой облачные сервисы. И каж- дое приложение пытается решать задачи управления доступом самостоятельно, а пользователь при этом вынужден запоминать пароли от множества учетных записей и снова проходить иден- тификацию/аутентификацию. Давайте представим, что все арендаторы в бизнес-центре вдруг решат установить свои тур- никеты, создать свои бюро про- пусков и утвердить отдельные формы пропуска – это кажется абсурдным. Но в цифровом мире часто так и происходит. С ростом числа используемых приложений и развитием парольного хаоса компании приходят к осознанию потреб- ности в централизованном управлении доступом. Что же должна представлять такая система? Компоненты системы управления доступом Система управления досту- пом может включать в себя следующие сервисы: 1. Сервисы управления иден- тификационными данными (Identity Management, IDM) обес- печивают синхронизацию учет- ных записей пользователя в приложениях, автоматизируют создание и удаление учетных записей, а также назначение и отзыв полномочий. 2. Сервисы управления иден- тификацией и контролем досту- па (Identity & Access Manage- ment, IAM) обеспечивают еди- ный вход и однократную аутен- тификацию (Single Sign-On, SSO), двухфакторную аутенти- фикацию, а также контроль доступа к веб-приложениям и сервисам (Web Proxy, API Gate- way). 3. Сервисы каталога (Directory Services) обеспечивают хране- ние учетных записей пользова- телей, их атрибутов, полномо- чий и паролей. С чего следует начинать Обычно начинают с внедре- ния решений IDM, но у проектов в рамках такого подхода есть недостатки: l они обычно занимают много времени; l имеют высокую организа- ционную сложность; l требуют глубокой проработки бизнес-процессов компании. Лучшей альтернативой таким трудоемким процедурам будет внедрение решений IAM и сер- 10 • ТЕХНОЛОГИИ Что такое IAM и как его выбрать? ехнологии Identity & Access Management (IAM) предоставляют всем приложениям компании единый сервис управления идентификацией, что существенно упрощает жизнь пользователей и повышает безопасность систем. Чтобы избежать распространенных ошибок (например, внедрения перегруженных технологий и, как следствие, существенной траты ресурсов), начинать построение системы управления доступом в компании следует именно с внедрения сервисов IAM. Т Михаил Ванин, генеральный директор “РЕАК СОФТ”