Технологии построения эффективной системы управления доступом к информационным ресурсам

Начать данную статью хотелось бы с простого и понятного всем постулата – управление доступом - это краеугольный камень любой системы информационной безопасности. Думаю, с этим мало кто станет спорить.

В современных компаниях, - а мы сегодня будем говорить о крупных компаниях и структурах, - работает огромное количество сотрудников – это сотни, тысячи а порой и десятки тысяч человек. Более того, с течением времени, это количество постоянно меняется, приходят новые сотрудники, кто-то увольняется, происходят постоянные перемещения сотрудников внутри компании, сопровождающиеся сменой должностных обязанностей.

С другой стороны, практически в каждой компании сегодня используются десятки различных информационных систем. На картинке представлен перечень систем, который пришел мне в голову буквально за пять минут, пока я рисовал эту картинку, и даже тут - два десятка информационных систем. Да простят меня те компании, о которых я не вспомнил.

И все это пестрое разнообразие остро нуждается в управлении доступом.

По долгу службы я очень часто общаюсь со специалистами из ИТ- и ИБ- подразделений различных компаний. Да чего уж там говорить, несколько лет назад я тоже был администратором безопасности и работал в компании численностью около 1000 человек.

Так вот, я часто вижу, что в реальности для многих специалистов управление доступом выглядит так. Это совокупность учетных записей, логинов, паролей, групп безопасности, токенов и смарт-карт, сертификатов и прочего. Это то, с чем люди работают ежедневно и это то, на что, как правило, тратится колоссальное количество времени.

Но давайте взглянем на процесс управления доступом с точки зрения технологий. Ведь на самом деле эффективность системы управления доступом можно оценить именно с точки зрения применяемых технологий.
 
Меняющие классику

Так, например, последние полгода очертили новые интересные тенденции, которые непосредственно касаются нашей сегодняшней темы.
 
Сначала вице-президент корпорации Google по безопасности выступил с заявлениями о том, что современные средства аутентификации более не способны обеспечивать пользователей должным уровнем безопасности. Он имел ввиду классические системы на базе логинов и паролей. И буквально через пару недель после этого заявления Google объявила о начале тестирования новой системы аутентификации в своих сервисах совместно с производителем токенов – Yubico.

Затем мы увидели активность со стороны FIDO Alliance на тему активного перехода к системам двухфакторной аутентификации. Даже основной слоган ассоциации звучит как призыв – Forget Passwords! Да и состав участников альянса - крупные и уважаемые компании, так что к их мнению, безусловно, прислушивается все мировое сообщество.
 
А буквально в мае мы увидели анонс Twitter о том, что они запускают в промышленную эксплуатацию систему двухфакторной аутентификации, основанную на одноразовых смс-паролях.

Все это говорит об одном – мы с вами являемся свидетелями смены технологий. Массовый переход к системам двухфакторной аутентификации запущен и обратного пути просто нет, а с учетом современных угроз, и быть не может. Но давайте вернемся к технологиям.

Ключевые технологии управления доступом

Как я уже упоминал, именно применяемые технологии являются тем самым показателем, который помогает оценить эффективность системы управления доступом. Можно сказать, что без технологий современное крупное предприятие с распределенной инфраструктурой просто не сможет быть эффективным. С точки зрения подсистемы управления доступом, есть три ключевые технологии, применение которых существенно влияет на итоговый результат.

Первая – IDM (Identity Management) или, в более широком смысле, IAM (Identity&Access Management) - технология управления учетными записями и правами пользователей к информационным ресурсам. Основное назначение подобных систем заключается в автоматизации процесса создания учетных записей и предоставлении необходимых прав доступа пользователям. Фактически, IDM-система способна свести ежедневные рутинные операции сотрудников ИТ- и ИБ-подразделений к минимуму. И вы всегда будете знать, кому из пользователей, какой доступ предоставлен, на каком основании, и кто это согласовал. Это решит одну из важнейших задач, за которую ратуют специалисты по информационной безопасности – в любой момент времени у вас будет актуальная матрица доступа, о которой 99% ИБ-шников могут только мечтать.

Вторая технология – управление PKI-инфраструктурой. Данная технология является прямым следствием из описанного выше перехода к двухфакторной модели аутентификации. Важнейшей задачей подобных систем является управление всеми элементами инфраструктуры открытых ключей (токенами, смарт-картами, сертификатами и ключевыми парами) на протяжении всего их жизненного цикла. Важность этой системы нельзя недооценивать, ведь именно подобные системы могут дать информацию о том, кому из сотрудников какой токен выдан, какой сертификат на него записан, и каков срок действия этого сертификата. Более того, если говорить о российских реалиях и применении ГОСТ криптоалгоритмов, то некоторые из этих систем так же способны вести, к примеру, поэкземплярный учет лицензий и дистрибутивов СКЗИ (средств криптографической защиты информации), что очень важно, с точки зрения проверки со стороны ФСБ.

Ну и третьей технологией о которой хотелось бы поговорить – это SSO (Single Sign-On). Технология единого входа, или в более широком смысле управления аутентификацией. Изначально у специалистов по информационной безопасности к данной технологии было двоякое отношение. Не скрою, несколько лет назад я и сам относился к ней настороженно, так как считал, что внедрение подобной системы несколько снижает общий уровень информационной безопасности в компании. Но время все расставило на свои места, и лавинообразный рост количества информационных систем серьезно усугубил жизнь пользователям. Они просто перестали соблюдать парольные политики, т.к. такое количество логинов и паролей просто невозможно было запомнить. Начали применяться простые и одинаковые пароли, а особо хитрые стали клеить стикеры со своими паролями на мониторы… Технология SSO способна решить эту проблему, предоставив пользователю один единственный секретный пароль или ПИН-код и пускать его во все его приложения. При этом многие SSO-системы могут по заданному интервалу времени менять пароли пользователей в конечных информационных системах, а пользователи даже не будут об этом догадываться. Пароли можно менять, к примеру, раз в неделю и делать их 20-символьными, полностью исключив риск несанкционированного доступа путем подбора. Но, пожалуй, достаточно теории, давайте ближе к практике.

Применение трех озвученных технологий в рамках управления доступом помогут построить эффективную систему. А эффективность проще всего измерить на практике, поэтому я приведу пример из жизни.

Это компания, принадлежащая к сектору энергетики, в которой в прошлом году мы внедряли систему управления доступом на базе технологий IDM, PKI и SSO. У компании центральный офис в Москве и несколько филиалов по стране. Трудится в ней порядка 700 сотрудников.

Если выделить ключевые результаты, то мы выяснили, что время предоставления доступа ко всем необходимым системам для новых сотрудников сократилось с 4 дней до 3 часов. Был автоматизирован процесс управления сертификатами и время, затрачиваемое оператором удостоверяющего центра на обработку одного запроса, сократилось в 5 раз. Были реализованы журналы учета лицензий СКЗИ и ключевых носителей, -  соответственно, время, затрачиваемое на аудит этих данных, сократилось в 3 раза. Это,  - уже не говоря о повышении лояльности пользователей и полному исчезновению из офисов этих несчастных стикеров с паролями.

Ну и самое главное – плановая окупаемость проекта наступает через 13 месяцев. Что, на мой взгляд, очень и очень быстро.

Ну а в заключении хотелось бы сказать. Я сегодня не открыл ничего нового, не презентовал какую-то уникальную технологию или разработку. Я лишь рассказал о том, к чему пришло ИТ- и ИБ- сообщество в части систем управления доступом  к информационным ресурсам во всем мире. Россия - тут не исключение и для того, чтобы создать эффективную систему, не нужно изобретать велосипед, нужно лишь обратиться к опыту и технологиям.

Александр Санин, коммерческий директор компании Аванпост

Sec.ru