Меню 1 (mobile)
Avanpost Identity Security Platform: современное представление о комплексной защите учетных данных
2025-10-01
Предпосылки развития концепции Identity Security
По мнению экспертов, сложная система управления учетными данными в каждой компании является основой для обеспечения безопасности.
Александр Махновский, технический директор компании Avanpost.
«Атаки на ИТ-инфраструктуру практически всегда происходят либо через конкретного сотрудника, либо через его учетные данные. Даже если злоумышленник взламывает информационную систему, он начинает с учетных данных. Это основной вектор атак. Поэтому безопасность в компании стоит выстраивать, опираясь именно на защиту учетных данных. Причем это не только учетные записи — логин и пароль. Конечно, мы защищаем их, придумываем сложные пароли, добавляем многофакторную аутентификацию, но при желании и достаточном количестве времени всё это можно обойти. И самое главное — любые подобные методы защиты хорошо проявляют себя на масштабе: например, условно говоря, компания предотвратила 90% атак благодаря сложным паролям. Но остаются эти 10%, которые не закрыты ничем. И здесь нужно применять другие подходы».
«Атаки на ИТ-инфраструктуру практически всегда происходят либо через конкретного сотрудника, либо через его учетные данные. Даже если злоумышленник взламывает информационную систему, он начинает с учетных данных. Это основной вектор атак. Поэтому безопасность в компании стоит выстраивать, опираясь именно на защиту учетных данных. Причем это не только учетные записи — логин и пароль. Конечно, мы защищаем их, придумываем сложные пароли, добавляем многофакторную аутентификацию, но при желании и достаточном количестве времени всё это можно обойти. И самое главное — любые подобные методы защиты хорошо проявляют себя на масштабе: например, условно говоря, компания предотвратила 90% атак благодаря сложным паролям. Но остаются эти 10%, которые не закрыты ничем. И здесь нужно применять другие подходы».
Для обеспечения максимальной защиты учетных данных требуется комплексный, платформенный подход
Александр Махновский, технический директор компании Avanpost.
«Безопасность учетных данных в компаниях традиционно строилась как лоскутное одеяло: отдельными средствами закрывались отдельные задачи. В любой крупной компании десятки и сотни информационных систем, у каждой свои особенности работы с учетными данными. И бывает достаточно одного слабого звена, одной системы, которая не очень хорошо справляется с защитой учетных данных, чтобы злоумышленник получил возможность скомпрометировать всю инфраструктуру».
«Безопасность учетных данных в компаниях традиционно строилась как лоскутное одеяло: отдельными средствами закрывались отдельные задачи. В любой крупной компании десятки и сотни информационных систем, у каждой свои особенности работы с учетными данными. И бывает достаточно одного слабого звена, одной системы, которая не очень хорошо справляется с защитой учетных данных, чтобы злоумышленник получил возможность скомпрометировать всю инфраструктуру».
Проблематика защиты учетных данных начала подниматься достаточно давно, и прежде всего — за рубежом. Основу концепции Identity Security, вероятно, заложили разработчики систем класса Identity Management. Они осознали, что пользователи — не единственные субъекты идентификации, доступ которых к системам необходимо контролировать: есть еще смежные системы и сервисы, хосты и другие сущности. Такие образом, Identity Security предполагает тесное взаимодействие систем и сервисов, управляющих идентификационными и связанными с ними данными обо всех субъектах, участвующих в процессах авторизации, идентификации и аутентификации.
Сегодня наиболее активно на западном рынке эту тематику продвигает Identity Security Alliance, который занимается популяризацией платформенного подхода и выпускает материалы об интеграции компонентов безопасности учетных данных. Помимо Identity Security, в зарубежных источниках можно встретить другие близкие по значению термины: например, Identity Fabric. Но в российской практике наиболее распространен первый вариант. Кроме того, на Западе традиционно высокий интерес к облачным и гибридным инфраструктурам, который в России на данный момент проявляется не так сильно.
Сегодня наиболее активно на западном рынке эту тематику продвигает Identity Security Alliance, который занимается популяризацией платформенного подхода и выпускает материалы об интеграции компонентов безопасности учетных данных. Помимо Identity Security, в зарубежных источниках можно встретить другие близкие по значению термины: например, Identity Fabric. Но в российской практике наиболее распространен первый вариант. Кроме того, на Западе традиционно высокий интерес к облачным и гибридным инфраструктурам, который в России на данный момент проявляется не так сильно.
Идея Avanpost Identity Security Platform
Компания Avanpost попыталась обобщить мировой опыт и российскую специфику, разработав собственную концепцию комплексного управления учетными данными — Identity Security Platform. Цель предлагаемого решения — в переосмыслении сложившейся системы и повышения ее эффективности за счет улучшенного взаимодействия инструментальных средств.
Концепция подразумевает выстраивание цепочки из четырех основных процессов.
Концепция подразумевает выстраивание цепочки из четырех основных процессов.
- Первый — идентификация, то есть сообщение пользователя системе о том, кем он является.
- Второй — аутентификация, то есть процедура проверки подлинности данных, указанных на этапе идентификации. Осуществляется, в частности, посредством верификации — процесса подтверждения достоверности данных. Для надежности компания может установить двухфакторную аутентификацию или многофакторную, в которой применяется еще большее число факторов.
- Третий — авторизация, то есть определение того, какими полномочиями обладает субъект, входящий в систему.
- Четвертый — контроль. Система должна отслеживать действия пользователя и контролировать, чтобы они не выходили за рамки его прав и полномочий.
Александр Махновский, технический директор компании Avanpost.
«Существует концепция Zero Trust, которая отвергает идею о том, что компании нужно строить защищенную крепость с высокими стенами, но если кто-то попал внутрь, то максимально свободен в своих действиях. Наоборот, она исходит из того, что злоумышленник может оказаться и внутри, поэтому никому нельзя доверять изначально. Identity Security — о том же. Например, когда в компании много сотрудников, большая текучка и ограниченное количество специалистов ИБ, ей необходимо каким-то образом автоматизировать создание новых учетных записей, управление ими. Компания приобретает IDM — тот самый лоскуток нашего одеяла. Но чтобы выстроить экосистему, нужно организовать цельное хранилище учетных данных, использовать другие средства защиты, исходя из того, какого результата мы хотим достичь, чтобы ключевые процессы происходили максимально прозрачно».
«Существует концепция Zero Trust, которая отвергает идею о том, что компании нужно строить защищенную крепость с высокими стенами, но если кто-то попал внутрь, то максимально свободен в своих действиях. Наоборот, она исходит из того, что злоумышленник может оказаться и внутри, поэтому никому нельзя доверять изначально. Identity Security — о том же. Например, когда в компании много сотрудников, большая текучка и ограниченное количество специалистов ИБ, ей необходимо каким-то образом автоматизировать создание новых учетных записей, управление ими. Компания приобретает IDM — тот самый лоскуток нашего одеяла. Но чтобы выстроить экосистему, нужно организовать цельное хранилище учетных данных, использовать другие средства защиты, исходя из того, какого результата мы хотим достичь, чтобы ключевые процессы происходили максимально прозрачно».
Таким образом, по мнению экспертов Avanpost, структура Identity Security Platform должна состоять из целого ряда взаимосвязанных программных компонентов.
Структура Identity Security Platform
О компании AVANPOST:
Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
- Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
- Avanpost SmartPAM для контроля привилегированного доступа;
- Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
- Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
- Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
- Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.
Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.
Другие новости
Получайте свежие новости первыми!
