Анализ тенденций построения систем управления идентификационными данными

в 12:50, , рубрики: IdM, информационная безопасность, метки:

Системы управления идентификационными данными

Системы управления идентификационными данными (Identity Management — IdM) предназначены для автоматизации процессов управления идентификационными данными пользователей информационных систем и их доступом к интегрируемым информационным системам на основе ролевой модели. Результатом внедрения систем класса IdM является реализация автоматизированных механизмов по управлению полным жизненным циклом учетных данных, позволяющим выполнять операции создания, изменения и удаления учетных записей в интегрируемых информационных системах.

Каждому сотруднику компании соответствует пользователь IdM-системы, создаваемый на основании кадровых данных, получаемых из доверенной системы (например, HR-системы). Учетные записи в целевых информационных системах создаются только с помощью IdM-системы и привязываются к конкретному её пользователю. Таким образом, любой учетной записи в информационной системе всегда соответствует её владелец – сотрудник компании.

По своей специфике системы класса IdM ориентированы на сотрудников, обеспечивающих режим информационной безопасности компании, и обладающих специальными техническими навыками и знаниями для настройки и эксплуатации таких систем. Встроенный функционал IdM-систем не позволяет учитывать бизнес-логику компании и накладывает следующие ограничения на собственное применение:

  • доступ к ИТ-ресурсам осуществляется на основе групп доступа, не привязанных к ролевой модели доступа, бизнес-ролям компании и её организационной структуре;
  • интерфейс IdM-систем ориентирован на ИТ-пользователей, что затрудняет работу с ней бизнес-пользователей; интерфейс требует значительной кастомизации;
  • отсутствие единого реестра, отражающего взаимосвязи ИТ-ресурсов, владельцев, ролей доступа и политик доступа;
  • функционал аттестации прав доступа пользователей является ограниченным;
  • отсутствие механизма проверки совместимости полномочий;
  • отсутствие функционала анализа рисков доступа к ИТ-ресурсам;
  • встроенный функционал согласования заявок на предоставление доступа является ограниченным и требует значительной кастомизации.

Примером программного решения по управлению идентификационными данными является решение Oracle Identity Manager, Sun Java System Identity Manager и др.

Для реализации функционала, отсутствующего в IdM-системах, используют решения класса Identity and Access Governance (IAG)системы регулирования доступа пользователей. Классические IAG-системы интегрируются с IdM-системами и реализуют бизнес-логику в задаче управления идентификационными данными. Основным функционалом IAG-систем является:

  • создание единого каталога сотрудников компании, политик доступа, информационных ресурсов и их владельцев;
  • создание наиболее полного представления о доступе сотрудников к информационным ресурсам компании и выявление «сиротских» учетных записей;
  • реализация динамической ролевой модели доступа через бизнес-роли, создаваемые с учетом организационной структуры компании, бизнес процессов атрибутами целевых систем;
  • реализация управления жизненным циклом бизнес-ролей;
  • реализация процессов согласования изменения ролей, политик доступа и назначений;
  • ресертификация (аттестация) – проверка корректности доступа пользователей к информационным ресурсам компании;
  • контроль разделения (совместимости) полномочий и учет факторов риска;
  • реализация соответствия требованиям политик и регуляторов;
  • отчетность, позволяющая предоставлять наглядные кастомизированные отчеты при аудите;
  • эргономичный интерфейс, ориентированный на бизнес-пользователей.

Примером программного решения регулирования доступа пользователей является решение Oracle Identity Analytics.

Интеграция IAG и IdM систем

1. Классический подход

В зависимости от интеграционных возможностей, существующие IAG-решения подразделяются на следующие классы:

  1. интегрируемые с IdM-системами сторонних вендоров;
  2. интегрируемые только с IdM системами того же вендора;

Основным недостатком классических IAG-систем является необходимость в выполнении двухэтапной интеграции с ИТ-инфраструктурой для получения функционала уровня «Governance, Risk and Compliance» в части управления идентификационными данными:

  • первоначальное построении IdM инфраструктуры;
  • внедрение IAG-системы с учетом её интеграционных возможностей.

Таким образом, системы управления идентификационными данными строятся не на основе бизнес-задач и процессов, а исходя из задач существующей ИТ-инфраструктуры.
Следствием подобного подхода являются следующие негативные факторы:

  1. увеличивается суммарная стоимость внедрения;
  2. повышается совокупная стоимость владения;
  3. увеличивается продолжительность внедрения;
  4. увеличиваются требуемые технические ресурсы;
  5. усложняется архитектура решения;
  6. усложняется эксплуатация;
  7. увеличиваются затраты на администрирование решения
  8. ошибки внедренной IdM-инфраструктуры отражаются на разворачиваемой IAG-системе

Данный подход реализуется при интеграции продуктов Oracle Identity Manager и Oracle Identity Analytics.

2. Целостный подход

Новым подходом к построению IAG-систем является подход, в котором при построении систем управления идентификационными данными, в первую очередь решаются следующие задачи по управлению идентификационными данными:

  1. управление пользовательским доступом на основе бизнес-ролей;
  2. управление рисками доступа к активам компании;
  3. соответствие требованиям регуляторов в части управления идентификационными данными

.
Целостный подход заключается в том, что сначала выстраиваются бизнес-процессы по управлению доступом (компонента IAG), далее на основе единого процесса управления идентификационными данными происходит построение IdM-системы, непосредственно выполняющей функции создания/изменения/удаления учетных записей и их атрибутов.
При таком подходе IAG-системы строятся на модульной основе, позволяющей гармонично учитывать существующие условия бизнеса и его ИТ-инфраструктуру, что характеризуется:

  • уменьшением суммарной стоимости внедрения;
  • снижением стоимости владения;
  • уменьшением требуемых технических ресурсов;
  • упрощением архитектуры и увеличения её прозрачности;
  • снижение затрат на обслуживание и эксплуатацию решения;
  • поэтапным внедрением решения без влияния на непрерывность бизнес-процессов компании.

Данный подход в полной мере реализуется в комплексном решении по управлению идентификационными данными и регулировании доступом пользователей — SailPoint IdentityIQ.

Автор: kuzja_21

* - обязательные к заполнению поля