Роль УИД в общей корпоративной системе ИБ
В этом обзоре обобщены мнения представителей разработчиков и корпоративных пользователей о назначении и современном состоянии средств, отвечающих за управление идентификацией пользователей в корпоративной информационной среде и доступом к ее cетевым, вычислительным и информационным ресурсам (средств УИД).
Сложность задач, решение которых возложено на эти средства, привела к созданию специализированных систем — Identity and Access Management (IAM, систем управления идентификацией и доступом, или СУИД, далее будем использовать эту аббревиатуру). Пару лет назад они появились на рынке как самостоятельные продукты, хотя любой информационно-вычислительный ресурс и до появления специализированных СУИД располагал средствами обеспечения и контроля доступа к нему. Это прежде всего относится к таким ресурсам, как ОС, СУБД, сложные прикладные программы класса ERP, CRM, SCM и т. п.
Рынок решений УИД в мире растет опережающими темпами по сравнению с показателями ИТ-рынка, как и рынок средств обеспечения информационной безопасности (ИБ) в целом. Согласно прогнозу аналитической группы IDC, к 2010 г. общемировой оборот решений на основе СУИД превысит 5 млрд. долл. По результатам исследований IDC, во всем мире в 2005 г. на закупку программного обеспечения УИД выделялось 23% от общих финансовых затрат на ИБ.
Основные задачи СУИД и ее место в общей структуре управления безопасностью
Выделение средств УИД в отдельную систему отражает потребность пользователей в объединении функций УИД под одним “зонтиком”; правда, размеры этого зонтика специалисты оценивают по-разному.
Владимир Ляшенко, директор департамента информационной безопасности “УСП Компьюлинк”, отмечает, что часто СУИД реализуются как самодостаточные продукты, слабо интегрированные с другими приложениями. При этом только иногда консоль управления СУИД выводится на рабочую станцию администратора безопасности предприятия, хотя, по мнению Константина Соколова, начальника отдела систем и методов обеспечения информационной безопасности компании “Микротест”, администратор безопасности обязательно должен так или иначе иметь доступ к СУИД, поскольку задача этой системы во многом заключается в том, чтобы облегчить труд и системных администраторов, и администраторов безопасности. Первым СУИД помогает упростить предоставление доступа, а вторым — проведение внутреннего аудита и расследований инцидентов.
В то же время некоторые эксперты смотрят на роль этой системы более широко. Например, Абдул Карим Рияз, региональный директор CA на восточных рынках EMEA, считает, что идентификация, авторизация и аутентификация во всех компонентах ИТ-инфраструктуры предприятия — в сети, в приложениях, ОС и базах данных — не должны выполняться как отдельные функции за рамками общего ИТ-процесса и бизнес-процессов, поддерживаемых ИТ-инфраструктурой. Первым шагом на пути интеграции функций УИБ в корпоративную ИТ-инфраструктуру логично считать ее взаимосвязь с системой управления безопасностью, задачи которой г-н Рияз видит в управлении событиями, влияющими на безопасность, и их учете. Эту систему необходимо интегрировать с СУИД для передачи в единый центр информации об основных инцидентах в сфере безопасности и ее обработки инструментами учета событий. Он полагает, что такая интеграция важна для успешного внедрения СУИД.
Сложность задач управления идентификацией пользователей в корпоративной информационной среде и доступом к ее ресурсам привела к созданию СУИД — специализированных систем управления идентификацией и доступом.
По мнению Евгения Акимова, заместителя начальника ЦИБ компании “Инфосистемы Джет”, СУИД автоматизирует один из наиболее важных процессов СУИБ и при этом может не выделяться в отдельную систему. “Правами доступа можно управлять и децентрализовано, отдельно внутри каждой целевой системы, — считает он. — Стоит использовать в рамах СУИБ отдельную систему УИД или нет, определяют, в основном, оценки рисков. Если риски, связанные с ошибками персонала и сложностью контроля мошеннических действий, высоки, то в их обработку нужно включить специализированный механизм СУИД. При этом следует учесть и дополнительные выгоды, такие как сокращение расходов на администрирование, снижение простоя сотрудников за счет оперативного предоставления доступа”.
Сергей Точилкин, технический руководитель направления компании “Открытые технологии”, тоже полагает, что управление ИБ как часть общей системы управления организацией должно базироваться на управлении рисками; при этом СУИД отвечает непосредственно за техническую реализацию внутренних и внешних требований к управлению идентификационными данными. Согласно его мнению, СУИД, обеспечивающая контроль доступа на уровне учетных записей, не должна отслеживать изменения в элементах контроля доступа к объектам управляемых систем (в разрешениях на использование папок, таблиц, отчетов и т. п.). Для полноценного контроля СУИД обязательно нужно дополнить системой аудита, отслеживающей такие события.
Виктор Сердюк, генеральный директор компании “ДиалогНаука”, на основании личного опыта консультанта и интегратора отметил, что интеграция системы управления ИБ и СУИД в значительной мере зависит от того, какое подразделение в компании отвечает за управление доступом — служба ИТ или служба ИБ. Сам он считает, что система управления ИБ должна сопрягаться только с модулем аудита прав пользователей СУИД, и при этом, как и другие опрошенные эксперты, тоже обращает внимание на то, что правами пользователей занимаются системные администраторы, а администраторы безопасности зачастую их только контролируют. Что же касается конкретных реализаций единой системы обеспечения ИБ, то, как полагает г-н Сердюк, они должны строиться в зависимости от концепции безопасности, принятой в конкретной организации, от разграничения полномочий между администраторами конкретных информационных систем и администраторами безопасности.
Учет и использование стандартов и нормативов при построении СУИД
В построении любых систем разумно использовать стандарты, поскольку в них обобщается лучший национальный и международный опыт. Следовать технологическим стандартам разумно, а регулирующим правилам и законодательным актам — необходимо. Поэтому и разработчикам тех или иных систем, и их пользователям надлежит знать те правила, которые регламентируют область их деятельности.
СУИД в данном смысле не является исключением. Все опрошенные в ходе подготовки обзора эксперты единодушно высказались за то, что эти системы должны опираться на стандарты, причем только открытые. В качестве основных называются общие стандарты по управлению ИТ и организации информбезопасности, такие как COBIT, ISO 17799:2005 (BS 7799), ISO 27001:2005. К ним эксперты добавляют требования, направленные на борьбу со злоупотреблениями в бизнесе, которые были выработаны на основе практики последних лет: HIPAA (Health Insurance Portability and Accountability Act), SOX 2002 (Sarbanes — Oxley Act, определяющий требования к системе внутреннего контроля и аудита для предотвращения мошенничества), BASEL II (управление рисками в финансовых учреждениях) и стандарт Банка России СТО БР ИББС для организаций банковской системы РФ.
Из технологических стандартов, как считают эксперты, создатели СУИД прежде всего должны придерживаться следующих:
- общие стандарты по информационной безопасности — XKMS, PKI, XML-SIG, XML-ENC, SSL/TLS, PKCS, S/MIME, LDAP, Kerberos, X.509 и др.;
- стандарты по обмену идентификационными данными пользователей SAML, WS-Fed, XACML, SPML и др.;
- стандарты интеграции — WSDL, WSRP, JSR-115, JCP, SOAP и др.;
- стандарты Web-сервисов — WS-Security, WS-Fed, WS-Policy, WS-Trust и др.;
- стандарты служб каталогов — X.500, DSML, LDAP, JDBC и др.
Согласно прогнозу IDC, к 2010 г. общемировой оборот решений для управления идентификацией и доступом превысит 5 млрд. долл.
Нужно отметить, что перечень используемых в УИД стандартов должен постоянно пополняться. Так, по мнению Владимира Мамыкина, директора по информационной безопасности кабинета президента Microsoft в России и СНГ, рынку УИД мешает отсутствие международно признаваемых стандартов по использованию устройств для биометрической аутентификации.
Перед внедрением СУИД
Согласно оценкам специалистов по безопасности из Microsoft, большинство современных предприятий в отношении вопросов обеспечения ИБ весьма незрелы: корпоративные пользователи находятся на самом первом, базовом уровне из четырех принятых в классификации этой компании. Поэтому не лишним будет напомнить те основные мероприятия, которые специалисты рекомендуют провести перед внедрением СУИД.
Прежде чем начать такой проект, компании надлежит провести обследование ресурсов, доступ к которым планируется упорядочить; классифицировать эти ресурсы по назначению; описать бизнес-задачи конкретных сотрудников и подразделений; формализовать реально действующий порядок согласования и технологии предоставления доступа; разработать ролевую модель доступа к ресурсам и соответствующие процессы его согласования и предоставления. После этого на существующие и разработанные заново процессы и модели можно “примерить” конкретные технологии. Среди них вполне могут оказаться и элементы наследуемой ИТ-инфраструктуры, например адресные книги или другие базы данных, содержащие профили пользователей.
Функциональный состав СУИД
Эксперты выделяют следующие базовые возможности, которые надлежит реализовать в рамках СУИД:
- единое управление учетными записями в различных системах (с возможностью делегирования части прав структурным подразделениям компании), позволяющее автоматизировать выполнение принятой в организации политики безопасности в сфере контроля доступа (в том числе мобильного) к различным информационным ресурсам, приложениям и службам;
- поддержка современных средств аутентификации (в том числе многофакторная, включающая биометрию) с возможностью однократной регистрации в системе;
- контроль жизненного цикла пользователя в системах предприятия с момента приема сотрудника на работу до его увольнения;
- автоматическая синхронизация учетных записей пользователей всех подключаемых систем (прежде всего системы кадрового учета) в соответствии с корпоративными политиками и правилами;
- гибкие и понятные средства создания политик и регулирования потоков данных от СУИД к подключенным системам и обратно;
- удобный интерфейс конечного пользователя, обеспечивающий доступ к корпоративной адресной книге и средствам самообслуживания для восстановления паролей, формирования заявок на доступ к требуемым ресурсам и контроля их прохождения;
- средства дизайна, развертывания, конфигурирования, администрирования и мониторинга работы системы;
- средства ведения журналов и независимого аудита;
- интеграция с внешними системами мониторинга, аудита безопасности и поддержки;
- масштабируемость.
Некоторые эксперты, среди которых Алексей Сабанов, коммерческий директор компании Aladdin, полагают желательным или даже обязательным использование в СУИД инфраструктуры открытых ключей с поддержкой российских стандартов шифрования и ЭЦП (ГОСТ Р 34.10—2001, ГОСТ Р 34.10—94, ГОСТ Р 34.11—94 и ГОСТ 28147—89).
Говоря о типовом функционале СУИД, Константин Соколов отметил актуальную для крупных предприятий и государственных учреждений потребность в интеграции системы с бумажным документооборотом, который полностью заменить на электронный не получится. Для этой же категории корпоративных пользователей существенным свойством СУИД является поддержка взаимодействия и идентификации в гетерогенных структурах, на что обращает внимание Владимир Мамыкин.
Функции УИД в ОС, СУБД и прикладных системах
Как отмечалось выше, корпоративные информационные ресурсы имеют собственные механизмы идентификации и предоставления пользователям прав доступа на уровне ОС, СУБД или приложений. Эксперты отмечают, что средства УИД, реализованные в современных информационно-вычислительных ресурсах, всё больше приближаются по своим возможностям к специализированным системам, между ними идет заимствование процедур и функций. С попытками получить несанкционированный доступ, по мнению Константина Соколова, они вполне успешно справляются сами. В то же время Абдул Карим Рияз обращает внимание на ограниченность возможностей ОС в области УИД, и прежде всего в сфере аудита.
У некоторых специалистов благоприятные впечатления вызывают последние достижения по управлению доступом в таких продуктах, как SAP NetWeaver, Oracle Application Server, e-Business Suite. Другие отмечают, что хотя поставщики решений класса ERP и продвинулись со своими продуктами в направлении УИД гораздо дальше разработчиков операционных систем, их проблема заключается в том, что ERP-решения нередко строятся как отдельные хранилища данных (silo), а потому они не обеспечивают должную интеграцию с корпоративными политиками УИД: ERP отвечают за идентификацию и авторизацию пользователей только для своих модулей.
По мнению Ростислава Рыжкова, директора технологической лаборатории ООО "ЭЛВИС Плюс", с позиции взаимодействия СУИД с корпоративными информационными системами перспективен отказ от агентов, устанавливаемых на управляемых объектах, и переход на безагентные схемы взаимодействия. Для облегчения взаимодействия с распространенными ERP-системами, СУБД и ОС в составе СУИД необходимо иметь широкий набор коннекторов, обеспечивающих информационную совместимость СУИД и обслуживаемых систем. Пока такую совместимость нередко приходится обеспечивать с помощью специально разрабатываемых средств.
Владимир Ляшенко как положительный факт отметил появление в Windows Vista сервиса Digital Identity Management Service (DIMS), который обеспечивает перемещение сертификатов и учетных данных по структуре Active Directory, а также поддерживает комплексные сценарии управления жизненным циклом сертификатов. “Благодаря модернизации архитектуры в Windows Vista — сказал он, — стало возможным добавлять разные способы проверки подлинности, например на основе биометрических характеристик и маркеров. Независимые поставщики собственных технологий проверки подлинности теперь могут разрабатывать специальные средства доставки учетных данных для службы Winlogon. Модель таких средств доставки значительно проще фильтров GINA [Graphical Identification and Authorization], при этом разные средства могут функционировать параллельно”.
Хотя эксперты и не усматривают революционных изменений в функционале УИД прикладных систем, ведущие разработчики постоянно наращивают эти возможности в своих продуктах, используя разные модели развития бизнеса. Так, благодаря покупке профильных разработчиков Oblix и Thor Technologies компания Oracle включила в пакет e-Business Suite полноценное управление учетными записями, однократную регистрацию пользователей и контроль Web-доступа с адаптерами для большинства других систем. Novell для своего продукта Identity Manager разрабатывает средства интеграции с основными промышленными СУБД, такими как Oracle, DB2, MS SQL Server, Informix, Sybase, Postgres, MySQL. В качестве стандартного метода взаимодействия разработчик предлагает JDBC-драйверы, а при необходимости — экспорт-импорт данных в форматах CSV, TXT, XML и т. п. Реализована интеграция Novell Identity Manager с IBM MainFrame (ACF/2, i5/OS, RACF, Top Secret), расширены возможности взаимодействия с операционными системами AIX, HP/UX, Solaris, Linux. Есть прямая поддержка ERP-систем SAP, PeopleSoft и решений компании Remedy.
Специалисты с удовлетворением отмечают совершенствование в корпоративных системах федеративных сервисов УИД, расширяющих возможности по применению партнерских пользовательских баз для взаимного доступа к ресурсам.
Направления развития СУИД
По заключению экспертов, с учетом таких требований к СУИД, как масштабируемость, иерархичность и поддержка территориальной распределенности, наиболее подходящей для этих систем на сегодняшний день является трехуровневая архитектура с тремя базовыми компонентами: реализующим бизнес-логику (workflow) УИД хранилищем идентификационных данных, сервером и консолью централизованного управления УИД. Хотя по мнению Сергея Точилкина, возможно, вскоре появятся специализированные SOA-сервисы для отдельных функций СУИД, которые сегодня воспринимаются как монолитные, неделимые приложения. “Не исключено, — считает он, — что эти сервисы будут интегрированы с другими, похожими по функционалу.
Выделение средств управления идентификацией и доступом в отдельную систему отражает потребность пользователей в объединении их функций под одним “зонтиком”.
Например, сервисы обеспечения [provisioning] и адаптеры будут интегрированы в ESB [шина сервисов предприятия, представляющая собой интеграционный продукт промежуточного уровня], workflow-движки интегрируются с BPM-сервисами [управление бизнес-процессами], а аудит — с сервисами корпоративной отчетности”.
В настоящее время на российском рынке информационной безопасности представлено довольно много программных решений, обеспечивающих управление доступом и идентификацией. Среди наиболее известных назовем следующие:
- CA Identity Manager и CA eTrust Single Sign On;
- HP OpenView Select Identity и Select Access;
- IBM Tivoli Identity и Tivoli Access Manager;
- Microsoft Identity Integration Server;
- Novell Identity Manager;
- Oracle Identity & Access Management Suite.
Из менее известных в России можно выделить Sun Java Identity Manager Suite и eTrust IAM. Отрадно отметить, что среди явно преобладающих зарубежных продуктов привлеченные к участию в данном обзоре эксперты назвали и отечественную разработку — систему КУБ компании “Информзащита”.
Усилия ведущих фирм — разработчиков средств УИД направлены на то, чтобы, во-первых, достичь максимальной функциональной полноты своих продуктов и, во-вторых, обеспечить их интероперабельность.
В конце февраля нынешнего года корпорация Oracle представила пакет программ Oracle Management Pack for Identity Management, который дает в руки системных администраторов единую консоль для всей среды управления идентификационными данными и системами на базе технологий Oracle и других поставщиков.
Реализуя концепцию унифицированного и упрощенного управления ИТ-инфраструктурой в масштабах всей организации (EITM), компания CA продолжает разрабатывать решения, позволяющие создать безопасную среду для управления учетными данными пользователей, способами аутентификации и правами доступа. Сегодня в дополнение к отдельным решениям CA предлагает интегрированный пакет IAM Suite. С его помощью пользователи получают наиболее полные возможности управления идентификацией и доступом.
Novell направляет свои усилия на расширение спектра поддерживаемых систем и приложений (через увеличение набора коннекторов к различным системам и приложениям), на совершенствование средств самообслуживания пользователей и более тесную интеграцию с системами мониторинга и аудита безопасности.
В Microsoft разработана концепция Identity Metasystem, цель которой заключается в том, чтобы унифицировать задачи идентификации в гетерогенных средах. Identity Metasystem — это архитектура идентификации, позволяющая компаниям использовать имеющуюся структуру идентификации и одновременно упрощающая переход со старых технологий на новые без потери взаимодействия между ними. “Ранее мы думали достичь единой идентификации на базе нашей системы Microsoft Passport, — сообщил Владимир Мамыкин. — Но несмотря на успех этой программы (этим идентификатором сегодня пользуются сотни миллионов людей в мире), мы поняли, что не все готовы использовать единое решение от одного вендора. Поэтому новая концепция Microsoft не зависит от производителей технологий и позволяет провайдерам идентификационных сервисов использовать различные сценарии”. Важно, что применяемые в Identity Metasystem протоколы WS-Trust, WS-Security и WS-MetadataExchange позволяют передавать идентификационную информацию селективно. Например, если какая-либо сервисная система хочет убедиться в том, что возраст обратившегося к ней пользователя больше восемнадцати лет, а в той системе, из которой он сделал запрос, содержится точная дата его рождения, то запрашивающая система получит только информацию о том, старше этот пользователь восемнадцати лет или нет.
На средства управления идентификацией и доступом российские компании расходуют всего 2% бюджета, направленного на обеспечение информбезопасности.
Такая дозированная выдача данных важна с точки зрения международных законов, а теперь и российского закона “О персональных данных”. Microsoft уже реализовала ряд подсистем в рамках этой концепции. Это прежде всего система Card Space, входящая в комплект поставки Windows Vista. Она позволяет создавать виртуальные смарт-карты, являющиеся полными аналогами реальных документов (например, кредитной карты или “Социальной карты москвича”), и использовать их в Интернете. Важно отметить, что виртуальные карты создают те же организации, которые выпускают и реальные карты, — банки, интернет-магазины, муниципальные службы и др.
Состояние рынка СУИД в России
В России увеличение спроса на СУИД наметилось недавно, и на средства УИД российские компании расходуют всего 2% бюджета информбезопасности. По мнению экспертов, это во многом обусловлено тем, что внедрение технологий УИД требует наличия в компании пакета нормативно-методических документов, обеспечивающих строгую формализацию процесса предоставления доступа пользователей к информационным ресурсам. Именно из-за отсутствия комплексного документационного обеспечения в области ИБ многие российские предприятия пока не готовы к внедрению СУИД.
Если же говорить о стимулах внедрения УИД, то основными из них считаются необходимость соответствовать требованиям государственного регулирования и повышать прозрачность деятельности ИТ-служб. Как сдерживающий фактор распространения данных продуктов эксперты называют высокую цену — от 60 до 100 долл. на пользователя, а также то, что данные решения находятся на стыке функций ИТ-департамента и подразделения безопасности (что затрудняет принятие и реализацию организационно-административных мер по УИД). К настоящему времени в России внедрено всего несколько СУИД. Однако можно предположить, что в ближайшем будущем в этом направлении будет осуществлен прорыв. Именно сейчас запускаются крупные и интересные проекты, которые предусматривают поэтапное развертывание УИД в течение одного-двух лет.
Сегодня в России СУИД представляют интерес для больших предприятий и организаций с развитой ИТ-инфраструктурой, таких как крупные телекомоператоры, банки, страховые компании, промышленные холдинги, нефтегазовые корпорации и госструктуры. Оценивая ежегодный объем закупок на российском рынке СУИД на несколько ближайших лет, наши эксперты приводят широкую вилку — от пяти до нескольких десятков миллионов долларов. При этом они учитывают, что количество потенциальных заказчиков, на ближайшие три-пять лет составит около сотни компаний при стоимости проекта от 1 млн. долл.