«Проблема масштаба» управления пользователями в ИТ-инфраструктуре, или зачем нам нужен IDM.

Опубликовано 01.06.2016 в разделе Публикации в СМИ. Автор: Сергей Кильдюшев

Каждый, кому приходилось администрировать информационную систему хотя бы небольшой организации, согласиться, что управление учетными записями пользователей и правами их доступа отнимает много времени.

Что такое Identity Management?

В крупных организациях, где каждый день кто-то приходит на работу, кто-то увольняется, а кто-то переходит из подразделения в подразделение, объем работы для администраторов столь велик, что внести все изменения в срок и без ошибок практически не возможно.

Иногда возникают задачи одновременно изменить права доступа большому количеству пользователей. Например, разворачивается новое приложение и в нем необходимо создать учетные записи (с соответствующими правами) для сотен, а то и тысяч сотрудников. Если делать это «в ручную», то сроки исполнения станут неприемлемыми.

Если задуматься, то в подобных случаях выполняются всего три рутинных операции — создание, удаление или модификация учетной записи пользователя в том или иной системе, службе или приложении. Однако, количество таких операций может быть очень велико. Очевидным решением могла бы стать автоматизация их выполнения.

Обычно управление учетными записями и правами доступа осуществляется на основании набора политик, инструкций и регламентов, принятых в организации. При этом, у администраторов стоит задача их выполнить, а у службы безопасности — проверить, что реально назначенные права соответствуют этим политикам. Автоматизация управления учетными записями и правами доступа полностью решает эти задачи.

Такие средства автоматизации активно разрабатываются в течении последних пятнадцати лет и за это время выделились в отдельный класс программного обеспечения, который в современной англоязычной литературе называется Identity Management (IDM) и Identity Governance (IDG). Во втором случае система не только позволяет автоматизировать рутинные операции администрирования учетных записей, но и обеспечивает аудит предоставленных прав на предмет соответствия их внутрикорпоративным правилам и требованиям регуляторов.

В настоящее время на рынке представлены несколько проприетарных IDM решений, наиболее популярным из которых являются продукты IBM, NetIQ, Microsoft и Oracle. Развиваются и свободные решения, например OpenIDM. Вне зависимости от реализации, функционал всех современных систем этого класса примерно одинаков. Предлагаю рассмотреть его подробнее.

Как это работает?

Традиционно процесс управления учетными записями пользователей а информационной системе организации осуществлялся независимо для каждого из ее компонентов. При приеме на работу нового сотрудника его непосредственный руководитель связывался с руководителем ИТ-подразделения и далее, по указанию последнего, администраторы информационных систем (электронной почты, файловых серверов, порталов, СУБД и др.) создавали учетную запись и предоставляли этому пользователю необходимые права доступа. При увольнении сотрудника аналогичным образом осуществлялась блокировка или удаление его учетных записей. Эта проблема особенно велика для учебных заведений, где ежегодно принимается и выпускается большое количество студентов.

Даже при небольшом количестве информационных ресурсов, доступом к которым надо управлять, и умеренном количестве пользователей объем этой в общем то рутинной работы достаточно велик. Кроме того, весьма велика вероятность операторских ошибок – несвоевременное, неполное или, наоборот, избыточное предоставление доступа для новых пользователей, несвоевременная блокировка доступа для уволившихся сотрудников. Автоматизация управления учетными записями позволяет с одной стороны существенно снизить нагрузку на администраторов, а с другой стороны резко повысить безопасность и управляемость информационной системы за счет уменьшения влияния «человеческого фактора».

В любой организации предоставление доступа к ресурсам осуществляется на основании набора нормативных документов – политик безопасности, инструкций, регламентов и им подобных. Современные системы IM позволяют автоматизировать процесс управления доступом на основе этих документов.

Возможна, например, реализация следующего сценария – все постоянные и временные сотрудники могут иметь доступ к порталу организации и серверу электронной почты. Далее, сотрудники определенного подразделения должны получить доступ к определенным файловым серверам, а сотрудники бухгалтерии – к определенным финансовым приложениям.

В типичном случае исходными данными для системы IM является база данных отдела кадров. При появлении новой записи в этой базе (приеме на работу нового сотрудника) автоматически создаются учетные записи на сервере электронной почты и на портале. Создание остальных учетных записей для сотрудников осуществляется на основе информации из БД отдела кадров – если это сотрудник определенного подразделения, то его учетная запись с соответствующими политикам безопасности правами создаются в тех системах, с которыми он должен работать по штату. При увольнении сотрудника происходит обратный процесс - его учетная запись автоматически блокируется или удаляется во всех системах.

В ряде случаев политика безопасности требует, чтобы предоставление доступа к ресурсу было в явном виде одобрено или запрещено теми или иными ответственными лицами (руководителями подразделений, сотрудниками службы безопасности, администраторами ресурсов и т.д.). К примеру, для получения доступа к вычислительным ресурсам соседнего подразделения необходимо получить разрешение своего непосредственного руководителя, руководителя службы ИТ и непосредственно администратора ресурса. Для реализации подобных сценариев в состав IM входит портал, на котором пользователь может подать заявку на предоставление доступа и тем самым запустить цепочку её рассмотрения. Все лица, задействованные в этой цепочке, получат по электронной почте письмо, генерируемое по соответствующему шаблону, с динамической ссылкой на страницу того же портала, где они смогут просмотреть детали заявки и принять решение. Если запрос был одобрен, то на соответствующем ресурсе автоматически создается учетная запись и пользователю приходит письмо, что его запрос удовлетворен. В случае отрицательного ответа приходит соответствующее письмо с объяснением кем, когда и по какой причине в доступе было отказано.

При наличии соответствующей криптографической инфраструктуры (PKI) заявки и ответы могут быть подписаны электронно-цифровой подписью. Система позволяет организовать независимый аудит и мониторинг всех событий, связанных с управлением учетными записями и предоставлением доступа к ресурсам.

Таким образом единая система управления учетными записями создает для администраторов и специалистов подразделения информационной безопасности единое представление пользователей и ресурсов в масштабах всей сети. Она может послужить основой для построения, например, систем контроля доступа к облачным приложениям или средств управления рабочими станциями. В обоих случаях реализуется аналогичный подход – автоматизация выполнения соответствующих политик и регламентов, но это уже тема другой статьи.