|
Навигация
|
Главная » Windows Управление идентификацией и доступом (Identity and Access Management)Источник: PCWeek Валерий Васильев В этом обзоре обобщены мнения представителей разработчиков и корпоративных пользователей о назначении и современном состоянии средств, отвечающих за управление идентификацией пользователей в корпоративной информационной среде и доступом к ее сетевым, вычислительным и информационным ресурсам (средств УИД). Сложность задач, решение которых возложено на эти средства, привела к созданию специализированных систем - Identity and Access Management (IAM, систем управления идентификацией и доступом, или СУИД, далее будем использовать эту аббревиатуру). Пару лет назад они появились на рынке как самостоятельные продукты, хотя любой информационно-вычислительный ресурс и до появления специализированных СУИД располагал средствами обеспечения и контроля доступа к нему. Это прежде всего относится к таким ресурсам, как ОС, СУБД, сложные прикладные программы класса ERP, CRM, SCM и т. п. Рынок решений УИД в мире растет опережающими темпами по сравнению с показателями ИТ-рынка, как и рынок средств обеспечения информационной безопасности (ИБ) в целом. Согласно прогнозу аналитической группы IDC, к 2010 г. общемировой оборот решений на основе СУИД превысит 5 млрд. долл. По результатам исследований IDC, во всем мире в 2005 г. на закупку программного обеспечения УИД выделялось 23% от общих финансовых затрат на ИБ. Основные задачи СУИД и ее место в общей структуре управления безопасностьюВыделение средств УИД в отдельную систему отражает потребность пользователей в объединении функций УИД под одним "зонтиком"; правда, размеры этого зонтика специалисты оценивают по-разному. Владимир Ляшенко, директор департамента информационной безопасности "УСП Компьюлинк", отмечает, что часто СУИД реализуются как самодостаточные продукты, слабо интегрированные с другими приложениями. При этом только иногда консоль управления СУИД выводится на рабочую станцию администратора безопасности предприятия, хотя, по мнению Константина Соколова, начальника отдела систем и методов обеспечения информационной безопасности компании "Микротест", администратор безопасности обязательно должен так или иначе иметь доступ к СУИД, поскольку задача этой системы во многом заключается в том, чтобы облегчить труд и системных администраторов, и администраторов безопасности. Первым СУИД помогает упростить предоставление доступа, а вторым - проведение внутреннего аудита и расследований инцидентов. В то же время некоторые эксперты смотрят на роль этой системы более широко. Например, Абдул Карим Рияз, региональный директор CA на восточных рынках EMEA, считает, что идентификация, авторизация и аутентификация во всех компонентах ИТ-инфраструктуры предприятия - в сети, в приложениях, ОС и базах данных - не должны выполняться как отдельные функции за рамками общего ИТ-процесса и бизнес-процессов, поддерживаемых ИТ-инфраструктурой. Первым шагом на пути интеграции функций УИБ в корпоративную ИТ-инфраструктуру логично считать ее взаимосвязь с системой управления безопасностью, задачи которой г-н Рияз видит в управлении событиями, влияющими на безопасность, и их учете. Эту систему необходимо интегрировать с СУИД для передачи в единый центр информации об основных инцидентах в сфере безопасности и ее обработки инструментами учета событий. Он полагает, что такая интеграция важна для успешного внедрения СУИД. По мнению Евгения Акимова, заместителя начальника ЦИБ компании "Инфосистемы Джет", СУИД автоматизирует один из наиболее важных процессов СУИБ и при этом может не выделяться в отдельную систему. "Правами доступа можно управлять и децентрализовано, отдельно внутри каждой целевой системы, - считает он. - Стоит использовать в рамах СУИБ отдельную систему УИД или нет, определяют, в основном, оценки рисков. Если риски, связанные с ошибками персонала и сложностью контроля мошеннических действий, высоки, то в их обработку нужно включить специализированный механизм СУИД. При этом следует учесть и дополнительные выгоды, такие как сокращение расходов на администрирование, снижение простоя сотрудников за счет оперативного предоставления доступа". Сергей Точилкин, технический руководитель направления компании "Открытые технологии", тоже полагает, что управление ИБ как часть общей системы управления организацией должно базироваться на управлении рисками; при этом СУИД отвечает непосредственно за техническую реализацию внутренних и внешних требований к управлению идентификационными данными. Согласно его мнению, СУИД, обеспечивающая контроль доступа на уровне учетных записей, не должна отслеживать изменения в элементах контроля доступа к объектам управляемых систем (в разрешениях на использование папок, таблиц, отчетов и т. п.). Для полноценного контроля СУИД обязательно нужно дополнить системой аудита, отслеживающей такие события. Виктор Сердюк, генеральный директор компании "ДиалогНаука", на основании личного опыта консультанта и интегратора отметил, что интеграция системы управления ИБ и СУИД в значительной мере зависит от того, какое подразделение в компании отвечает за управление доступом - служба ИТ или служба ИБ. Сам он считает, что система управления ИБ должна сопрягаться только с модулем аудита прав пользователей СУИД, и при этом, как и другие опрошенные эксперты, тоже обращает внимание на то, что правами пользователей занимаются системные администраторы, а администраторы безопасности зачастую их только контролируют. Что же касается конкретных реализаций единой системы обеспечения ИБ, то, как полагает г-н Сердюк, они должны строиться в зависимости от концепции безопасности, принятой в конкретной организации, от разграничения полномочий между администраторами конкретных информационных систем и администраторами безопасности.Учет и использование стандартов и нормативов при построении СУИДВ построении любых систем разумно использовать стандарты, поскольку в них обобщается лучший национальный и международный опыт. Следовать технологическим стандартам разумно, а регулирующим правилам и законодательным актам - необходимо. Поэтому и разработчикам тех или иных систем, и их пользователям надлежит знать те правила, которые регламентируют область их деятельности. СУИД в данном смысле не является исключением. Все опрошенные в ходе подготовки обзора эксперты единодушно высказались за то, что эти системы должны опираться на стандарты, причем только открытые. В качестве основных называются общие стандарты по управлению ИТ и организации информбезопасности, такие как COBIT, ISO 17799:2005 (BS 7799), ISO 27001:2005. К ним эксперты добавляют требования, направленные на борьбу со злоупотреблениями в бизнесе, которые были выработаны на основе практики последних лет: HIPAA (Health Insurance Portability and Accountability Act), SOX 2002 (Sarbanes - Oxley Act, определяющий требования к системе внутреннего контроля и аудита для предотвращения мошенничества), BASEL II (управление рисками в финансовых учреждениях) и стандарт Банка России СТО БР ИББС для организаций банковской системы РФ. Из технологических стандартов, как считают эксперты, создатели СУИД прежде всего должны придерживаться следующих:
Перед внедрением СУИДСогласно оценкам специалистов по безопасности из Microsoft, большинство современных предприятий в отношении вопросов обеспечения ИБ весьма незрелы: корпоративные пользователи находятся на самом первом, базовом уровне из четырех принятых в классификации этой компании. Поэтому не лишним будет напомнить те основные мероприятия, которые специалисты рекомендуют провести перед внедрением СУИД. Прежде чем начать такой проект, компании надлежит провести обследование ресурсов, доступ к которым планируется упорядочить; классифицировать эти ресурсы по назначению; описать бизнес-задачи конкретных сотрудников и подразделений; формализовать реально действующий порядок согласования и технологии предоставления доступа; разработать ролевую модель доступа к ресурсам и соответствующие процессы его согласования и предоставления. После этого на существующие и разработанные заново процессы и модели можно "примерить" конкретные технологии. Среди них вполне могут оказаться и элементы наследуемой ИТ-инфраструктуры, например адресные книги или другие базы данных, содержащие профили пользователей.Функциональный состав СУИДЭксперты выделяют следующие базовые возможности, которые надлежит реализовать в рамках СУИД:
Функции УИД в ОС, СУБД и прикладных системахКак отмечалось выше, корпоративные информационные ресурсы имеют собственные механизмы идентификации и предоставления пользователям прав доступа на уровне ОС, СУБД или приложений. Эксперты отмечают, что средства УИД, реализованные в современных информационно-вычислительных ресурсах, всё больше приближаются по своим возможностям к специализированным системам, между ними идет заимствование процедур и функций. С попытками получить несанкционированный доступ, по мнению Константина Соколова, они вполне успешно справляются сами. В то же время Абдул Карим Рияз обращает внимание на ограниченность возможностей ОС в области УИД, и прежде всего в сфере аудита. У некоторых специалистов благоприятные впечатления вызывают последние достижения по управлению доступом в таких продуктах, как SAP NetWeaver, Oracle Application Server, e-Business Suite. Другие отмечают, что хотя поставщики решений класса ERP и продвинулись со своими продуктами в направлении УИД гораздо дальше разработчиков операционных систем, их проблема заключается в том, что ERP-решения нередко строятся как отдельные хранилища данных (silo), а потому они не обеспечивают должную интеграцию с корпоративными политиками УИД: ERP отвечают за идентификацию и авторизацию пользователей только для своих модулей. По мнению Ростислава Рыжкова, директора технологической лаборатории ООО "ЭЛВИС Плюс", с позиции взаимодействия СУИД с корпоративными информационными системами перспективен отказ от агентов, устанавливаемых на управляемых объектах, и переход на безагентные схемы взаимодействия. Для облегчения взаимодействия с распространенными ERP-системами, СУБД и ОС в составе СУИД необходимо иметь широкий набор коннекторов, обеспечивающих информационную совместимость СУИД и обслуживаемых систем. Пока такую совместимость нередко приходится обеспечивать с помощью специально разрабатываемых средств. Владимир Ляшенко как положительный факт отметил появление в Windows Vista сервиса Digital Identity Management Service (DIMS), который обеспечивает перемещение сертификатов и учетных данных по структуре Active Directory, а также поддерживает комплексные сценарии управления жизненным циклом сертификатов. "Благодаря модернизации архитектуры в Windows Vista - сказал он, - стало возможным добавлять разные способы проверки подлинности, например на основе биометрических характеристик и маркеров. Независимые поставщики собственных технологий проверки подлинности теперь могут разрабатывать специальные средства доставки учетных данных для службы Winlogon. Модель таких средств доставки значительно проще фильтров GINA (Graphical Identification and Authorization), при этом разные средства могут функционировать параллельно".Хотя эксперты и не усматривают революционных изменений в функционале УИД прикладных систем, ведущие разработчики постоянно наращивают эти возможности в своих продуктах, используя разные модели развития бизнеса. Так, благодаря покупке профильных разработчиков Oblix и Thor Technologies компания Oracle включила в пакет e-Business Suite полноценное управление учетными записями, однократную регистрацию пользователей и контроль Web-доступа с адаптерами для большинства других систем. Novell для своего продукта Identity Manager разрабатывает средства интеграции с основными промышленными СУБД, такими как Oracle, DB2, MS SQL Server, Informix, Sybase, Postgres, MySQL. В качестве стандартного метода взаимодействия разработчик предлагает JDBC-драйверы, а при необходимости - экспорт-импорт данных в форматах CSV, TXT, XML и т. п. Реализована интеграция Novell Identity Manager с IBM MainFrame (ACF/2, i5/OS, RACF, Top Secret), расширены возможности взаимодействия с операционными системами AIX, HP/UX, Solaris, Linux. Есть прямая поддержка ERP-систем SAP, PeopleSoft и решений компании Remedy. Специалисты с удовлетворением отмечают совершенствование в корпоративных системах федеративных сервисов УИД, расширяющих возможности по применению партнерских пользовательских баз для взаимного доступа к ресурсам. Направления развития СУИДПо заключению экспертов, с учетом таких требований к СУИД, как масштабируемость, иерархичность и поддержка территориальной распределенности, наиболее подходящей для этих систем на сегодняшний день является трехуровневая архитектура с тремя базовыми компонентами: реализующим бизнес-логику (workflow) УИД хранилищем идентификационных данных, сервером и консолью централизованного управления УИД. Хотя по мнению Сергея Точилкина, возможно, вскоре появятся специализированные SOA-сервисы для отдельных функций СУИД, которые сегодня воспринимаются как монолитные, неделимые приложения. "Не исключено, - считает он, - что эти сервисы будут интегрированы с другими, похожими по функционалу. Например, сервисы обеспечения (provisioning) и адаптеры будут интегрированы в ESB (шина сервисов предприятия, представляющая собой интеграционный продукт промежуточного уровня), workflow-движки интегрируются с BPM-сервисами (управление бизнес-процессами), а аудит - с сервисами корпоративной отчетности". В настоящее время на российском рынке информационной безопасности представлено довольно много программных решений, обеспечивающих управление доступом и идентификацией. Среди наиболее известных назовем следующие:
Computer Associates не забывает о мэйнфреймах. Oracle и PHP - это очень просто. Oracle: ваш первый шаг к web-службам. Драйверы: Realtek HD Audio Codec Driver R2.03 для Windows 2000/XP/2003 и Windows Vista. Азбука сетевой безопасности. Главная » Windows |
© 2024 Team.Furia.Ru.
Частичное копирование материалов разрешено. |