Обзор платформ управления идентификацией и доступом
Чем крупнее компания, тем больше у нее информационных систем и работников. В такой ситуации становится актуальным вопрос управления учетными записями сотрудников и их доступом к системам предприятия. В маленькой фирме это можно сделать вручную силами штатных сисадминов. Но в крупной компании возникает ряд проблем — если у нее большая и разветвленная ИТ-инфраструктура, ручное управление идентификацией и доступом будет весьма трудоемким процессом. И не забываем, что чем большую роль играет человеческий фактор, тем выше вероятность ошибок, проволочек, проблем в сфере информационной безопасности и даже намеренного саботажа.
Чтобы избежать подобных последствий, максимально автоматизировать и упростить предоставление доступа сотрудникам, существуют системы управления идентификацией и доступом (англ. Identity and Access Management, IAM). Они организуют работу с учетными записями пользователей и их доступом к корпоративным системам, приложениям и устройствам. При этом решаются все описанные выше и множество других проблем.
Подобных систем существует множество. В нашем обзоре вы познакомитесь с некоторыми из них, которые по версии экспертов Gartner и других специалистов являются одними из лучших в этом сегменте. Также вы сможете выбрать подходящий вариант при помощи специального инструмента. Сразу оговоримся, что существуют и схожие термины, например, Identity and Access Governance (IAG), Identity Management (IdM) и др. Но обозначают они фактически одно и то же, поэтому для удобства мы будем использовать именно термин Identity and Access Management или аббревиатуру IAM.
Если углубиться в анатомию IAM-систем, то мы увидим, что это комплексные решения со многими инструментами. Они отвечают за разные процедуры, среди которых выделяются несколько основных — системы единого входа, многофакторная аутентификация и работа с паролями, управление доступом и безопасное хранение данных профилей. Надежные системы управления учетными данными должны без труда справляться с этими задачами. Они включают инструменты для сбора и учета информации о входе пользователей в корпоративные ОС и подключение сотрудников к устройствам (начиная от принтеров и заканчивая серверами и хранилищами данных). При этом они существенно упрощают и автоматизируют настройку учетных записей и предоставление доступа сотрудникам. Например, при создании учетной записи нового работника, администратор выставляет его уровень доступа. В соответствии с этим параметром, пользователю сразу предоставляется возможность работать со всеми информационными системами, которые подпадают под этот уровень доступа. Для этого он может использовать пароль своей учетной записи. А вот, например, к серверу с конфиденциальной информацией при помощи своего пароля он уже подключиться не сможет.
Важно понимать, что IAM — это не тот продукт, который сразу после покупки устанавливается в два клика и начинает работу. У каждой компании своя уникальная ИТ-инфраструктура, под которую любую платформу нужно подгонять и интегрировать. В рамках IAM-платформы зачастую присутствует ряд независимых продуктов, которые можно использовать вместе, а можно и по отдельности. Тут все зависит от целей и потребностей компании.
Поэтому при выборе нужно сперва отталкиваться от технических моментов. Например, стоит взглянуть, насколько конкретная платформа совместима с ИТ-инфраструктурой: есть ли необходимые коннекторы (модули, которые взаимодействуют с корпоративными инструментами), какие возможности расширения и масштабирования, какое количество обслуживаемых учетных записей, сколько стоят те или иные продукты. Также не помешает проверить, насколько система удобна в работе. И это не только понятный интерфейс и уровень автоматизации, но и легкость добавления и удаления учетных записей новых сотрудников, предоставление постоянного или временного доступа, а также другие распространенные процедуры. У большинства продуктов есть возможность оценки функциональности при помощи демо-версий. Это основные моменты, на которые стоит обратить внимание. Сейчас на рынке присутствует много продуктов категории IAM, как от именитых производителей, так и не очень известных компаний. При помощи таблицы сравнение IAM продуктов вы сможете сравнить функциональность некоторых из этих средств и выбрать для своего бизнеса оптимальный вариант.
Если углубиться в анатомию IAM-систем, то мы увидим, что это комплексные решения со многими инструментами. Они отвечают за разные процедуры, среди которых выделяются несколько основных — системы единого входа, многофакторная аутентификация и работа с паролями, управление доступом и безопасное хранение данных профилей. Надежные системы управления учетными данными должны без труда справляться с этими задачами. Они включают инструменты для сбора и учета информации о входе пользователей в корпоративные ОС и подключение сотрудников к устройствам (начиная от принтеров и заканчивая серверами и хранилищами данных). При этом они существенно упрощают и автоматизируют настройку учетных записей и предоставление доступа сотрудникам. Например, при создании учетной записи нового работника, администратор выставляет его уровень доступа. В соответствии с этим параметром, пользователю сразу предоставляется возможность работать со всеми информационными системами, которые подпадают под этот уровень доступа. Для этого он может использовать пароль своей учетной записи. А вот, например, к серверу с конфиденциальной информацией при помощи своего пароля он уже подключиться не сможет.
Важно понимать, что IAM — это не тот продукт, который сразу после покупки устанавливается в два клика и начинает работу. У каждой компании своя уникальная ИТ-инфраструктура, под которую любую платформу нужно подгонять и интегрировать. В рамках IAM-платформы зачастую присутствует ряд независимых продуктов, которые можно использовать вместе, а можно и по отдельности. Тут все зависит от целей и потребностей компании.
Поэтому при выборе нужно сперва отталкиваться от технических моментов. Например, стоит взглянуть, насколько конкретная платформа совместима с ИТ-инфраструктурой: есть ли необходимые коннекторы (модули, которые взаимодействуют с корпоративными инструментами), какие возможности расширения и масштабирования, какое количество обслуживаемых учетных записей, сколько стоят те или иные продукты. Также не помешает проверить, насколько система удобна в работе. И это не только понятный интерфейс и уровень автоматизации, но и легкость добавления и удаления учетных записей новых сотрудников, предоставление постоянного или временного доступа, а также другие распространенные процедуры. У большинства продуктов есть возможность оценки функциональности при помощи демо-версий. Это основные моменты, на которые стоит обратить внимание. Сейчас на рынке присутствует много продуктов категории IAM, как от именитых производителей, так и не очень известных компаний. При помощи таблицы сравнение IAM продуктов вы сможете сравнить функциональность некоторых из этих средств и выбрать для своего бизнеса оптимальный вариант.
Теперь же перейдем к рассмотрению конкретных решений.
Oracle Identity Management
У Oracle Identity and Access Management есть продвинутая аналитическая система. Например, он может находить неиспользуемые учетные записи, а также внесение несанкционированных изменений в права доступа администраторами ИТ-систем предприятия. И, конечно же, выдает текущие и архивные данные аудита прав доступа сотрудников. Также можно получить отчет об истории принятия решений о предоставлении прав доступа.
Идя в ногу со временем, разработчики внедрили в продукт поддержку механизма аутентификации Social Sign-on для социальных сетей Facebook, Twitter и LinkedIn, а также учетных записей Google и Yahoo. Это позволяет выполнять вход на определенные корпоративные ресурсы при помощи учетных записей из этих сайтов или просто копировать оттуда информацию при создании рабочих аккаунтов. Довольно удобно, а главное экономит время.
Okta Identity and Access Management
Компания Okta предлагает ряд облачных продуктов для комфортного управления доступом пользователей и их учетными данными при работе с веб-приложениями. Это исключительно облачный сервис, но он совместим как с облачными приложениями, так и с собственной ИТ-инфраструктурой компании. Всего Okta в рамках своей IAM-платформы предлагает шесть продуктов. Среди них выделим систему единого входа и универсальный каталог, дающий доступ ко всем пользователям, группам и устройствам. Также есть средство мультифакторной аутентификации, управление доступом к API и жизненному циклу компании. Okta также предоставляет собственные API-интерфейсы и готовые инструменты, которые можно использовать в приложениях. Инструменты Okta совместимы с разными типами каталогов, в том числе Active Directory и протоколом LDAP, а также могут интегрироваться со сторонними средствами управления учетными данными и доступом.
Продукты Okta дают администратором очень высокий уровень контроля. В них можно задать ряд условий для внедрения пользователя в ту или иную систему на основе определенных условий, например, есть ли у него готовая учетная запись. Администраторы также могут получать отчеты о безопасности в режиме реального времени, что помогает выявлять уязвимости или нетипичное поведение пользователей. Так как продукт полностью облачный, но его развертка и настройка занимает минимальное количество времени. А опробовать инструменты можно бесплатно в течение 30 дней.
SailPoint IdentityIQ
Комплексное решение для управления идентификацией и доступом, которое работает на основе ролевых моделей, правил и политик. Кроме непосредственно управления доступом, оно выдает подробнейшую информацию о взаимодействии сотрудников с приложениями и данными. Также у IdentityIQ есть необходимые средства контроля и инструменты для пресечения несанкционированного доступа, а также функция анализа рисков, связанных с предоставлением доступа. Продукт обеспечивает систему единого входа пользователей бизнес-приложений. При этом доступна работа как с облачными, так и с локальными сервисами.
Помимо IdentityIQ, у SailPoint есть также облачный продукт под названием IdentityNow. Оба имеют схожую функциональность и интерфейс, который, к слову, весьма простой и наглядный. Доступна также и бесплатная пробная версия продуктов.
IBM Security Identity Manager
Компания IBM уже несколько лет подряд попадает в список лидеров Gartner со своей IAM-платформой. Ее продукт — Security Identity Manager — это средство, работающее на основе использования ролей и политик. У него очень высокий уровень автоматизации, при правильной настройке роль администраторов тут минимальна и сводится к созданию учетных записей и слежению за корректностью работы системы. Кстати, настроить Security Identity Manager при первом запуске весьма просто, для этого существует специальный пошаговый инструмент.
Платформа может одновременно работать с несколькими организациями и проектами. Например, она предоставляет доступ к тем или иным ресурсам не только собственным сотрудникам компании, но и бизнес-партнерам или сторонним разработчикам. Также тут есть аудит и подробные отчеты о доступе пользователей. Это обеспечивает высокий уровень безопасности и уменьшает связанные с предоставлением доступа риски. Степени риска, к слову, оцениваются при помощи искусственного интеллекта. Также большое внимание уделяется работе с привилегированными учетными записями. Для них тоже есть подробный аудит и отчеты, а в случае несанкционированного доступа применяются средства, минимизирующие возможный вред от действий злоумышленников. Для этого используется отдельный инструмент под названием IBM Security Secret Server. Решение доступно как для работы на оборудовании предприятия, так и в облачном варианте. В последнем случае обеспечивается доступ ко множеству популярных SaaS-приложений.
Microsoft Identity Manager
Корпорация Microsoft славится своими программными продуктами и облачными сервисами, поэтому неудивительно, что и в сфере управления идентификацией у нее есть что предложить. Microsoft Identity Manager может работать с доступом учетных записей к приложениям, каталогам базам данных и др. Он функционирует на основе наборов политик, правил и ролей, а также обеспечивает для пользователей интеграцию между разнородными системами. Это дает возможность работать с ними из одного места с помощью одной учетной записи.
В продукте есть мощные средства для работы с паролями и мультифакторной аутентификацией, а также привилегированными учетными записями. В его состав входит Azure Active Directory — облачное решение, позволяющее комфортно взаимодействовать с облачными приложениями и обеспечивающее высокий уровень безопасности. Платформа также делает очень сильный упор на работу с мобильными устройствами. Для этого в ней есть отдельный инструмент Enterprise Mobility + Security, который обеспечивает контроль и идентификацию пользователей мобильных устройств, а также предоставляет надежную защиту данных и приложений на них.
CA Technologies Identity and Access Management
Платформа, которую предлагает компания CA Technologies, состоит из пяти продуктов. Основной называется CA Identity Suite. Как понятно из названия, он отвечает за идентификацию и предоставление доступа. Программа умеет работать с локальными и облачными приложениями, интегрироваться с различными ИТ-системами и масштабироваться в зависимости от потребностей и изменений в инфраструктуре предприятия. В Identity Suite есть удобные отчеты и анализ рисков, которые можно устранять и минимизировать «не отходя от кассы». Также поддерживается работа на основе ролей и политик.
За продвинутую аутентификацию и единый вход отвечают инструменты CA Advanced Authentication и CA Single Sign-On. Оба обеспечивают высокий уровень безопасности при работе с веб- и мобильными приложениями, но при этом существенно упрощают доступ для сотрудников (а если необходимо, клиентов и партнеров). Кроме этих инструментов, CA Technologies предлагает средство работы с каталогами CA Directory, а также инструмент безопасности при работе с приложениями CA Rapid App Security. С помощью последнего доступ к приложениям осуществляется на основе сопоставления данных об устройстве, учетной записи пользователя и самого приложения. Но и кроме этого в арсенале Rapid App Security есть много других инструментов, например, сканирование отпечатка пальца или лица.
Ping Intelligent Identity Platform
Платформа от компании Ping Identity — это комплексное решение, которое может работать как в качестве обычного корпоративного ПО, так и облачного сервиса. А при необходимости возможна и гибридная модель использования. Intelligent Identity Platform предлагает пользователям много необходимых для качественного управления идентификацией и доступом средства. Тут есть единый вход и многофакторная аутентификация, поддерживается работа с политиками, выводятся подробные отчеты с оценкой рисков и др. Много внимания также уделяется безопасности доступа. Для этого используются не только стандартные методы и политики, но и фирменный прокси-сервер компании (если речь идет об облаке) или же настроенный корпоративный прокси.
В облаке Ping есть тысячи предварительно настроенных приложений, с которыми можно через него работать. Также платформа обеспечивает удобную работу с каталогами, поддерживает все распространенные типы устройств и обеспечивает безопасность при помощи искусственного интеллекта.
NetIQ Identity & Access Management
Универсальная платформа от компании NetIQ имеет инструменты для покрытия всех основных потребностей управления идентификацией и доступом сотрудников. Используемые в ней политики одинаково продуктивно работают в локальной, мобильной и облачной среде, а высокий уровень защиты делает работу надежной и безопасной.
Продукт NetIQ позволяет использовать многофакторную аутентификацию и систему единого входа, а также предоставляет мощное средство по работе с паролями. Администраторам системы доступны подробные отчеты. Причем особый упор делается на привилегированных пользователях с высоким уровнем доступа, которые в случае взлома своими действиями могут нанести вред компании. Все эти инструменты доступны для клиентов в качестве отдельных решений, испытать их функциональность возможно в течение бесплатного пробного периода.
Краткие итоги
IAM-платформы, возможно, не относятся к категории инструментов первой необходимости. Тем не менее, они могут существенно помочь ИТ-отделу компании. Использование таких систем позволяет существенно сократить время вынужденных пауз в работе сотрудников, связанных с задержками в предоставлении доступа или других подобных проблем. А это в свою очередь повышает общую производительность сотрудников.--
Автор: Владислав Миронович, для ROI4CIO
Leave a Comment