Журнал "Information Security/ Информационная безопасность" #4, 2025

В теории разграничение выглядит пре- дельно ясным. Identity Governance and Administration (IGA, или в более привыч- ной терминологии – IDM) управляет жиз- ненным циклом Identity 1 : кто получает доступ, по каким правилам он назнача- ется и когда отзывается. PAM работает на другом уровне – фиксирует и контро- лирует, как именно используются выдан- ные привилегии, снижая риск злоупо- треблений. Получается вполне красивая схема: IGA отвечает за "что и кому", PAM – за "как и когда". Но на практике этот порядок начинает сбоить. ИТ-среды строятся на временных, автоматизированных и неперсонализиро- ванных доступах, которые не вписываются в строгие границы двух элементов общей системы контроля доступа. В результате ИБ сталкивается с зонами неопределен- ности: где кончается ответственность IGA и где начинается зона PAM? Именно на стыке двух систем возни- кает много конфликтов. IGA может фор- мально отработать свой процесс и выдать доступ, но в PAM при этом остаются висящие сессии, которые никто не спешит завершать. Или наоборот: PAM фиксирует все действия админи- стратора, но у IGA нет данных, что он уже месяц как не должен обладать при- вилегиями. В быстро меняющихся инфраструктурах такие ситуации, к сожа- лению, становятся новой нормой, а не исключением. Между тем по данным Solar 4RAYS за I кв. 2025 г., компрометация учетных записей стала вторым по частоте спосо- бом проникновения (40% случаев), а повышение привилегий стабильно вхо- дит в топ-техники атак. Дополняют кар- тину исследования KuppingerCole: инци- денты в управлении доступом нередко происходят именно в серой зоне между IGA и PAM. Для ИБ это означает, что нарушение может произойти не потому, что IGA или PAM плохо справились с задачей, а из-за того что никто не управляет гра- ницей между ними. Даже исключив из рассмотрения злой умысел пользователей, ясно, что эти разрывы бьют по устойчивости процес- сов. Неразграниченные сервисные аккаунты становятся черными ящиками, ведь невозможно понять, кто отвечает за аномальные действия. Виртуальные машины и контейнеры живут часы или дни, но их привилегии висят неделями. В итоге любой аудит превращается в поиск серых зон, где контроль вроде бы есть, но ответственности – нет. Есть ли выход? Если выход из этого тупика и есть, то он точно не в том, чтобы окончательно провести линию между IGA и PAM, а в том, чтобы признать: часть процессов всегда будет общей. И задача ИБ – сде- лать эту общую зону управляемой. Здесь на первый план выходит мониторинг и работа с широким спектром показате- лей: если время жизни сессии не соот- носится с жизненным циклом учетной записи, это должно быть видно сразу; если у доступа нет владельца, система должна сигнализировать о нарушении; и далее в этом же роде. Важно выстраивать общие сценарии – например, продолжая приведенные выше случаи, автоматически закрывать активные сессии при отзыве прав, конт- ролировать владельца каждого сервис- ного аккаунта, вести единый журнал событий для анализа и расследований. Такой подход меняет логику: не два инструмента рядом, а один сквозной процесс управления привилегиями, где нет слепых зон. Причем если сегодня границы уже размыты, то завтра они могут и вовсе исчезнуть. Первый сценарий – посте- пенное растворение PAM внутри IGA: когда управление цифровыми идентич- ностями становится настолько динамич- ным, что контроль сессий превращается в естественное продолжение процессов жизненного цикла УЗ. Возможен и дру- гой, обратный сценарий: PAM становится "источником правды", где видно, что происходит с привилегиями в момент применения, а все решения IGA стано- вятся для этого мониторинга лишь под- готовительным слоем. Обе траектории в известной степени спорны. Для специалистов по ИБ вопрос не в выборе, чья зона шире, а в том, какую модель стоит поддерживать с при- целом на будущее: централизованную иерархию управления доступами или распределенный контроль за действия- ми в реальном времени. Оба подхода имеют свою цену и свои риски, и именно это решение формирует стратегию управления правами доступа на годы вперед. Выводы IGA и PAM задумывались как два самостоятельных инструмента, но реаль- ность лишила их права на изоляцию. Теперь приходится решать не вопрос разграничения, а вопрос стратегии: строить единый контур управления или сознательно поддерживать конкуренцию двух подходов. Удобного и очевидного компромисса здесь нет – каждый выбор подталкивает к своей модели дальней- шего развития. И именно это делает тему не академической, а стратегиче- ской: кто сумеет управлять стыком сего- дня, тот определит контролируемость своей инфраструктуры завтра. l 48 • СПЕЦПРОЕКТ IGA, PAM и серая зона между ними опрос разграничения зон ответственности IGA и PAM уже давно вроде бы решен. Но в реальности именно здесь формируются болезненные разрывы, которые не устраняются ни новыми релизами продуктов, ни бумажными регламентами. Там, где по теории прохо- дит четкая граница, на практике возникает зона неопределенности, и она становится главным источником рисков и одновременно поводом для поиска новых решений. В Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.itsec.ru/articles/chto-takoe-identity-i-pochemu-ego-vazhno-zashchishchat-ot-kiberugroz