Avanpost Identity Cloud
Аутентификация в облаке: почему ИБ против и как мы это исправили
10:10:10:10
Состояние и перспективы развития российских систем управления идентификацией и доступом
2026-06-02
Российский рынок систем управления идентификацией и доступом (IAM) объектов и субъектов к корпоративным ИТ-ресурсам постоянно пополняется новыми технологиями. Некоторые разработчики спешат выделить их в самостоятельные продуктовые направления. Однако это не способствует формированию четкого представления о функциональном составе систем IAM, необходимом и достаточном для решения возлагаемых на эти системы задач.
В результате рынок IAM разбился на несколько направлений: IDM/IGA (Identity Management, управление идентификацией; Identity Governance and Administration, управление идентификацией и администрирование); PAM (управление привилегированным доступом); MFA (многофакторная аутентификация); SSO (системы единого входа), IGA (identity governance and administration) и некоторые другие (в дальнейшем в обзоре будем эти направления именовать решениями управления доступом, если не потребуется уточнить их специализацию).
Вследствие такого разделения специалисты рассматривают российский рынок управления доступом в нынешнем его состоянии не как продуктовый, а как рынок проектов внедрения — именно на этапе внедрения и производится интеграция разрозненных функциональных компонентов в единое решение. Рыночные доли вендоров в этой ситуации определяются количеством внедренческих проектов, а не числом проданных на продукты лицензий.
Нынешний объем российского рынка решений управления доступом эксперты оценивают примерно в 3−3,5 млрд руб. и выделяют на нем нескольких вендоров, контролирующих основную часть внедрений.
Хотя российский рынок управления идентификацией и доступом, как считает технический директор компании Avanpost Александр Махновский, в функциональном наполнении внедряемых решений отталкивается от запросов заказчиков, а не от стандартов, он напоминает о существовании ГОСТа, который «в некотором смысле регламентирует функционал IDM-решений». Для других направлений разработки в области управления идентификацией и доступом ситуация с функциональным составом более неопределенная: стандарты для них отсутствуют. Однако, полагает он, учитывая небольшой объем функционала и понятных возможностей, которые они могут предоставлять, отдельные ГОСТы для них не имеют смысла.
Рассматривая ситуацию с функционалом с позиции заказчиков, Александр Махновский отмечает, что абсолютное большинство из них приходит к вендорам и интеграторам с достаточно четким представление о функционале требуемых решений, и вряд ли отсутствие общерыночного четкого определения технологического состава вызывает у них проблему при выборе поставщика.
Он отмечает, что вендоры, ориентированные на запросы только своих клиентов, стараются поставлять многофункциональные комплексные решения только для своего сегмента рынка. С другой стороны, вендоры, ориентированные на крупных заказчиков, развивают свои продукты в соответствии со своим видением этого процесса (по его словам, «как вендорские»), при этом они в той или иной степени следуют за мировым рынком с коррекцией в сторону российских особенностей. Их продукты развиваются примерно схожим путем с учетом возможностей собственных команд разработки.
Обращаясь к функциональному составу продуктов для управления идентификацией и доступом, Александр Махновский предлагает разделять его для разных сегментов решений.
Так, основную задачу сегмента IDM/IGA он видит в поддержке минимально достаточного доступа, а с позиции ИТ — в автоматизации управления идентификацией и доступом и делегировании управления, насколько это возможно, бизнесу. При этом для функционального наполнения он рекомендует исходить из действующих практик: ролевая модель, запрос доступа по требованию, предоставление временного доступа, пересмотр доступа, разделение ответственности, определение и контроль рисков в части управления доступом, аудит доступа, контроль за предоставлением полномочий в обход системы и обработка выявленных инцидентов; плюс к этому менее значимые практики, такие как контроль использования и неиспользования учетных записей, наряду с другими мерами минимизации рисков, связанных с избыточным доступом.
Функционал сегмента SSO, по мнению Александра Махновского, в основном ограничивается поддержкой стандартов в этой области и различных протоколов аутентификации: OpenID Connect и SAML, Kerberos, различные варианты поддержки наследованных систем. Есть функционал SSO, который относится к самообслуживанию, восстановлению доступа, потере пароля и других аутентификаторов. Дальнейшее развитие решений этого сегмента он видит в усилении контроля рисков, связанных с аутентификацией: усиленная аутентификация, многофакторная аутентификация и другие меры, которые помогают снизить риски получения доступа к учетным записям.
Как считает Александр Махновский, для решений сегментов IdP SSO, MFA важно: с позиции ИБ обеспечивать усиленную аутентификации, контроль рисков, связанных с сессиями; с позиции ИТ — облегчение аутентификации пользователей (если говорить про SSO) и корректные сценарии восстановления доступа.
Читайте продолжение на www.itweek.ru
В результате рынок IAM разбился на несколько направлений: IDM/IGA (Identity Management, управление идентификацией; Identity Governance and Administration, управление идентификацией и администрирование); PAM (управление привилегированным доступом); MFA (многофакторная аутентификация); SSO (системы единого входа), IGA (identity governance and administration) и некоторые другие (в дальнейшем в обзоре будем эти направления именовать решениями управления доступом, если не потребуется уточнить их специализацию).
Вследствие такого разделения специалисты рассматривают российский рынок управления доступом в нынешнем его состоянии не как продуктовый, а как рынок проектов внедрения — именно на этапе внедрения и производится интеграция разрозненных функциональных компонентов в единое решение. Рыночные доли вендоров в этой ситуации определяются количеством внедренческих проектов, а не числом проданных на продукты лицензий.
Нынешний объем российского рынка решений управления доступом эксперты оценивают примерно в 3−3,5 млрд руб. и выделяют на нем нескольких вендоров, контролирующих основную часть внедрений.
Хотя российский рынок управления идентификацией и доступом, как считает технический директор компании Avanpost Александр Махновский, в функциональном наполнении внедряемых решений отталкивается от запросов заказчиков, а не от стандартов, он напоминает о существовании ГОСТа, который «в некотором смысле регламентирует функционал IDM-решений». Для других направлений разработки в области управления идентификацией и доступом ситуация с функциональным составом более неопределенная: стандарты для них отсутствуют. Однако, полагает он, учитывая небольшой объем функционала и понятных возможностей, которые они могут предоставлять, отдельные ГОСТы для них не имеют смысла.
Рассматривая ситуацию с функционалом с позиции заказчиков, Александр Махновский отмечает, что абсолютное большинство из них приходит к вендорам и интеграторам с достаточно четким представление о функционале требуемых решений, и вряд ли отсутствие общерыночного четкого определения технологического состава вызывает у них проблему при выборе поставщика.
Он отмечает, что вендоры, ориентированные на запросы только своих клиентов, стараются поставлять многофункциональные комплексные решения только для своего сегмента рынка. С другой стороны, вендоры, ориентированные на крупных заказчиков, развивают свои продукты в соответствии со своим видением этого процесса (по его словам, «как вендорские»), при этом они в той или иной степени следуют за мировым рынком с коррекцией в сторону российских особенностей. Их продукты развиваются примерно схожим путем с учетом возможностей собственных команд разработки.
Обращаясь к функциональному составу продуктов для управления идентификацией и доступом, Александр Махновский предлагает разделять его для разных сегментов решений.
Так, основную задачу сегмента IDM/IGA он видит в поддержке минимально достаточного доступа, а с позиции ИТ — в автоматизации управления идентификацией и доступом и делегировании управления, насколько это возможно, бизнесу. При этом для функционального наполнения он рекомендует исходить из действующих практик: ролевая модель, запрос доступа по требованию, предоставление временного доступа, пересмотр доступа, разделение ответственности, определение и контроль рисков в части управления доступом, аудит доступа, контроль за предоставлением полномочий в обход системы и обработка выявленных инцидентов; плюс к этому менее значимые практики, такие как контроль использования и неиспользования учетных записей, наряду с другими мерами минимизации рисков, связанных с избыточным доступом.
Функционал сегмента SSO, по мнению Александра Махновского, в основном ограничивается поддержкой стандартов в этой области и различных протоколов аутентификации: OpenID Connect и SAML, Kerberos, различные варианты поддержки наследованных систем. Есть функционал SSO, который относится к самообслуживанию, восстановлению доступа, потере пароля и других аутентификаторов. Дальнейшее развитие решений этого сегмента он видит в усилении контроля рисков, связанных с аутентификацией: усиленная аутентификация, многофакторная аутентификация и другие меры, которые помогают снизить риски получения доступа к учетным записям.
Как считает Александр Махновский, для решений сегментов IdP SSO, MFA важно: с позиции ИБ обеспечивать усиленную аутентификации, контроль рисков, связанных с сессиями; с позиции ИТ — облегчение аутентификации пользователей (если говорить про SSO) и корректные сценарии восстановления доступа.
Читайте продолжение на www.itweek.ru
О компании AVANPOST:
Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
- Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
- Avanpost SmartPAM для контроля привилегированного доступа;
- Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
- Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
- Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
- Продукты линейки аутентификации Avanpost Access: FAM, MFA+, Unified SSO, Web SSO, Device Control.
Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.
Другие новости
Получайте свежие новости первыми!
