Меню 1 (mobile)
Технологии построения эффективной системы управления доступом к информационным ресурсам
2013-06-21
Начать данную статью хотелось бы с простого и понятного всем постулата — управление доступом — это краеугольный камень любой системы информационной безопасности. Думаю, с этим мало кто станет спорить.
В современных компаниях, — а мы сегодня будем говорить о крупных компаниях и структурах, — работает огромное количество сотрудников — это сотни, тысячи, а порой и десятки тысяч человек. Более того, с течением времени, это количество постоянно меняется, приходят новые сотрудники, кто-то увольняется, происходят постоянные перемещения сотрудников внутри компании, сопровождающиеся сменой должностных обязанностей.
С другой стороны, практически в каждой компании сегодня используются десятки различных информационных систем. На картинке представлен перечень систем, который пришел мне в голову буквально за пять минут, пока я рисовал эту картинку, и даже тут — два десятка информационных систем. Да простят меня те компании, о которых я не вспомнил.
И все это пестрое разнообразие остро нуждается в управлении доступом.
По долгу службы я очень часто общаюсь со специалистами из ИТ- и ИБ- подразделений различных компаний. Да чего уж там говорить, несколько лет назад я тоже был администратором безопасности и работал в компании численностью около 1000 человек.
Так вот, я часто вижу, что в реальности для многих специалистов управление доступом выглядит так. Это совокупность учетных записей, логинов, паролей, групп безопасности, токенов и смарт-карт, сертификатов и прочего. Это то, с чем люди работают ежедневно и это то, на что, как правило, тратится колоссальное количество времени.
Но давайте взглянем на процесс управления доступом с точки зрения технологий. Ведь на самом деле эффективность системы управления доступом можно оценить именно с точки зрения применяемых технологий.
В современных компаниях, — а мы сегодня будем говорить о крупных компаниях и структурах, — работает огромное количество сотрудников — это сотни, тысячи, а порой и десятки тысяч человек. Более того, с течением времени, это количество постоянно меняется, приходят новые сотрудники, кто-то увольняется, происходят постоянные перемещения сотрудников внутри компании, сопровождающиеся сменой должностных обязанностей.
С другой стороны, практически в каждой компании сегодня используются десятки различных информационных систем. На картинке представлен перечень систем, который пришел мне в голову буквально за пять минут, пока я рисовал эту картинку, и даже тут — два десятка информационных систем. Да простят меня те компании, о которых я не вспомнил.
И все это пестрое разнообразие остро нуждается в управлении доступом.
По долгу службы я очень часто общаюсь со специалистами из ИТ- и ИБ- подразделений различных компаний. Да чего уж там говорить, несколько лет назад я тоже был администратором безопасности и работал в компании численностью около 1000 человек.
Так вот, я часто вижу, что в реальности для многих специалистов управление доступом выглядит так. Это совокупность учетных записей, логинов, паролей, групп безопасности, токенов и смарт-карт, сертификатов и прочего. Это то, с чем люди работают ежедневно и это то, на что, как правило, тратится колоссальное количество времени.
Но давайте взглянем на процесс управления доступом с точки зрения технологий. Ведь на самом деле эффективность системы управления доступом можно оценить именно с точки зрения применяемых технологий.
Меняющие классику
Так, например, последние полгода очертили новые интересные тенденции, которые непосредственно касаются нашей сегодняшней темы.
Сначала вице-президент корпорации Google по безопасности выступил с заявлениями о том, что современные средства аутентификации более не способны обеспечивать пользователей должным уровнем безопасности. Он имел ввиду классические системы на базе логинов и паролей. И буквально через пару недель после этого заявления Google объявила о начале тестирования новой системы аутентификации в своих сервисах совместно с производителем токенов — Yubico.
Затем мы увидели активность со стороны FIDO Alliance на тему активного перехода к системам двухфакторной аутентификации. Даже основной слоган ассоциации звучит как призыв — Forget Passwords! Да и состав участников альянса — крупные и уважаемые компании, так что к их мнению, безусловно, прислушивается все мировое сообщество.
А буквально в мае мы увидели анонс Twitter о том, что они запускают в промышленную эксплуатацию систему двухфакторной аутентификации, основанную на одноразовых смс-паролях.
Все это говорит об одном — мы с вами являемся свидетелями смены технологий. Массовый переход к системам двухфакторной аутентификации запущен и обратного пути просто нет, а с учетом современных угроз, и быть не может. Но давайте вернемся к технологиям.
Сначала вице-президент корпорации Google по безопасности выступил с заявлениями о том, что современные средства аутентификации более не способны обеспечивать пользователей должным уровнем безопасности. Он имел ввиду классические системы на базе логинов и паролей. И буквально через пару недель после этого заявления Google объявила о начале тестирования новой системы аутентификации в своих сервисах совместно с производителем токенов — Yubico.
Затем мы увидели активность со стороны FIDO Alliance на тему активного перехода к системам двухфакторной аутентификации. Даже основной слоган ассоциации звучит как призыв — Forget Passwords! Да и состав участников альянса — крупные и уважаемые компании, так что к их мнению, безусловно, прислушивается все мировое сообщество.
А буквально в мае мы увидели анонс Twitter о том, что они запускают в промышленную эксплуатацию систему двухфакторной аутентификации, основанную на одноразовых смс-паролях.
Все это говорит об одном — мы с вами являемся свидетелями смены технологий. Массовый переход к системам двухфакторной аутентификации запущен и обратного пути просто нет, а с учетом современных угроз, и быть не может. Но давайте вернемся к технологиям.
Ключевые технологии управления доступом
Как я уже упоминал, именно применяемые технологии являются тем самым показателем, который помогает оценить эффективность системы управления доступом. Можно сказать, что без технологий современное крупное предприятие с распределенной инфраструктурой просто не сможет быть эффективным. С точки зрения подсистемы управления доступом, есть три ключевые технологии, применение которых существенно влияет на итоговый результат.
Первая — IDM (Identity Management) или, в более широком смысле, IAM (Identity&Access Management) — технология управления учетными записями и правами пользователей к информационным ресурсам. Основное назначение подобных систем заключается в автоматизации процесса создания учетных записей и предоставлении необходимых прав доступа пользователям. Фактически, IDM-система способна свести ежедневные рутинные операции сотрудников ИТ- и ИБ-подразделений к минимуму. И вы всегда будете знать, кому из пользователей, какой доступ предоставлен, на каком основании, и кто это согласовал. Это решит одну из важнейших задач, за которую ратуют специалисты по информационной безопасности — в любой момент времени у вас будет актуальная матрица доступа, о которой 99% ИБ-шников могут только мечтать.
Вторая технология — управление PKI-инфраструктурой. Данная технология является прямым следствием из описанного выше перехода к двухфакторной модели аутентификации. Важнейшей задачей подобных систем является управление всеми элементами инфраструктуры открытых ключей (токенами, смарт-картами, сертификатами и ключевыми парами) на протяжении всего их жизненного цикла. Важность этой системы нельзя недооценивать, ведь именно подобные системы могут дать информацию о том, кому из сотрудников какой токен выдан, какой сертификат на него записан, и каков срок действия этого сертификата. Более того, если говорить о российских реалиях и применении ГОСТ криптоалгоритмов, то некоторые из этих систем так же способны вести, к примеру, поэкземплярный учет лицензий и дистрибутивов СКЗИ (средств криптографической защиты информации), что очень важно, с точки зрения проверки со стороны ФСБ.
Ну и третьей технологией о которой хотелось бы поговорить — это SSO (Single Sign-On). Технология единого входа, или в более широком смысле управления аутентификацией. Изначально у специалистов по информационной безопасности к данной технологии было двоякое отношение. Не скрою, несколько лет назад я и сам относился к ней настороженно, так как считал, что внедрение подобной системы несколько снижает общий уровень информационной безопасности в компании. Но время все расставило на свои места, и лавинообразный рост количества информационных систем серьезно усугубил жизнь пользователям. Они просто перестали соблюдать парольные политики, т.к. такое количество логинов и паролей просто невозможно было запомнить. Начали применяться простые и одинаковые пароли, а особо хитрые стали клеить стикеры со своими паролями на мониторы… Технология SSO способна решить эту проблему, предоставив пользователю один единственный секретный пароль или ПИН-код и пускать его во все его приложения. При этом многие SSO-системы могут по заданному интервалу времени менять пароли пользователей в конечных информационных системах, а пользователи даже не будут об этом догадываться. Пароли можно менять, к примеру, раз в неделю и делать их 20-символьными, полностью исключив риск несанкционированного доступа путем подбора. Но, пожалуй, достаточно теории, давайте ближе к практике.
Применение трех озвученных технологий в рамках управления доступом помогут построить эффективную систему. А эффективность проще всего измерить на практике, поэтому я приведу пример из жизни.
Это компания, принадлежащая к сектору энергетики, в которой в прошлом году мы внедряли систему управления доступом на базе технологий IDM, PKI и SSO. У компании центральный офис в Москве и несколько филиалов по стране. Трудится в ней порядка 700 сотрудников.
Если выделить ключевые результаты, то мы выяснили, что время предоставления доступа ко всем необходимым системам для новых сотрудников сократилось с 4 дней до 3 часов. Был автоматизирован процесс управления сертификатами и время, затрачиваемое оператором удостоверяющего центра на обработку одного запроса, сократилось в 5 раз. Были реализованы журналы учета лицензий СКЗИ и ключевых носителей, — соответственно, время, затрачиваемое на аудит этих данных, сократилось в 3 раза. Это, — уже не говоря о повышении лояльности пользователей и полному исчезновению из офисов этих несчастных стикеров с паролями.
Ну и самое главное — плановая окупаемость проекта наступает через 13 месяцев. Что, на мой взгляд, очень и очень быстро.
Ну, а в заключении хотелось бы сказать. Я сегодня не открыл ничего нового, не презентовал какую-то уникальную технологию или разработку. Я лишь рассказал о том, к чему пришло ИТ- и ИБ- сообщество в части систем управления доступом к информационным ресурсам во всем мире. Россия — тут не исключение и для того, чтобы создать эффективную систему, не нужно изобретать велосипед, нужно лишь обратиться к опыту и технологиям.
Александр Санин, коммерческий директор компании Аванпост
Первая — IDM (Identity Management) или, в более широком смысле, IAM (Identity&Access Management) — технология управления учетными записями и правами пользователей к информационным ресурсам. Основное назначение подобных систем заключается в автоматизации процесса создания учетных записей и предоставлении необходимых прав доступа пользователям. Фактически, IDM-система способна свести ежедневные рутинные операции сотрудников ИТ- и ИБ-подразделений к минимуму. И вы всегда будете знать, кому из пользователей, какой доступ предоставлен, на каком основании, и кто это согласовал. Это решит одну из важнейших задач, за которую ратуют специалисты по информационной безопасности — в любой момент времени у вас будет актуальная матрица доступа, о которой 99% ИБ-шников могут только мечтать.
Вторая технология — управление PKI-инфраструктурой. Данная технология является прямым следствием из описанного выше перехода к двухфакторной модели аутентификации. Важнейшей задачей подобных систем является управление всеми элементами инфраструктуры открытых ключей (токенами, смарт-картами, сертификатами и ключевыми парами) на протяжении всего их жизненного цикла. Важность этой системы нельзя недооценивать, ведь именно подобные системы могут дать информацию о том, кому из сотрудников какой токен выдан, какой сертификат на него записан, и каков срок действия этого сертификата. Более того, если говорить о российских реалиях и применении ГОСТ криптоалгоритмов, то некоторые из этих систем так же способны вести, к примеру, поэкземплярный учет лицензий и дистрибутивов СКЗИ (средств криптографической защиты информации), что очень важно, с точки зрения проверки со стороны ФСБ.
Ну и третьей технологией о которой хотелось бы поговорить — это SSO (Single Sign-On). Технология единого входа, или в более широком смысле управления аутентификацией. Изначально у специалистов по информационной безопасности к данной технологии было двоякое отношение. Не скрою, несколько лет назад я и сам относился к ней настороженно, так как считал, что внедрение подобной системы несколько снижает общий уровень информационной безопасности в компании. Но время все расставило на свои места, и лавинообразный рост количества информационных систем серьезно усугубил жизнь пользователям. Они просто перестали соблюдать парольные политики, т.к. такое количество логинов и паролей просто невозможно было запомнить. Начали применяться простые и одинаковые пароли, а особо хитрые стали клеить стикеры со своими паролями на мониторы… Технология SSO способна решить эту проблему, предоставив пользователю один единственный секретный пароль или ПИН-код и пускать его во все его приложения. При этом многие SSO-системы могут по заданному интервалу времени менять пароли пользователей в конечных информационных системах, а пользователи даже не будут об этом догадываться. Пароли можно менять, к примеру, раз в неделю и делать их 20-символьными, полностью исключив риск несанкционированного доступа путем подбора. Но, пожалуй, достаточно теории, давайте ближе к практике.
Применение трех озвученных технологий в рамках управления доступом помогут построить эффективную систему. А эффективность проще всего измерить на практике, поэтому я приведу пример из жизни.
Это компания, принадлежащая к сектору энергетики, в которой в прошлом году мы внедряли систему управления доступом на базе технологий IDM, PKI и SSO. У компании центральный офис в Москве и несколько филиалов по стране. Трудится в ней порядка 700 сотрудников.
Если выделить ключевые результаты, то мы выяснили, что время предоставления доступа ко всем необходимым системам для новых сотрудников сократилось с 4 дней до 3 часов. Был автоматизирован процесс управления сертификатами и время, затрачиваемое оператором удостоверяющего центра на обработку одного запроса, сократилось в 5 раз. Были реализованы журналы учета лицензий СКЗИ и ключевых носителей, — соответственно, время, затрачиваемое на аудит этих данных, сократилось в 3 раза. Это, — уже не говоря о повышении лояльности пользователей и полному исчезновению из офисов этих несчастных стикеров с паролями.
Ну и самое главное — плановая окупаемость проекта наступает через 13 месяцев. Что, на мой взгляд, очень и очень быстро.
Ну, а в заключении хотелось бы сказать. Я сегодня не открыл ничего нового, не презентовал какую-то уникальную технологию или разработку. Я лишь рассказал о том, к чему пришло ИТ- и ИБ- сообщество в части систем управления доступом к информационным ресурсам во всем мире. Россия — тут не исключение и для того, чтобы создать эффективную систему, не нужно изобретать велосипед, нужно лишь обратиться к опыту и технологиям.
Александр Санин, коммерческий директор компании Аванпост
О компании AVANPOST:
Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
- Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
- Avanpost SmartPAM для контроля привилегированного доступа;
- Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
- Avanpost CA (российский доменный сервис сертификации; универсален для различных доменов, включая MS),
- Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра),
- Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.
Другие новости
Получайте свежие новости первыми!
