Управление доступом и идентификация пользователей. IDM системы

Руслан Рахметов, Security Vision

В рамках текущей статьи мы рассмотрим технические средства ( IdM, IAM, IGA), общие подходы к управлению доступом и идентификации пользователей. Чтобы не запутаться, сначала разберемся в терминах и их отличиях, потом распишем возможности технических средств и параллельно с этим разберем общие подходы и решаемые задачи.

IdM (Identity Management) можно расшифровать как управление идентификацией. ID есть у людей (пропуск в университет, библиотеку и на работу, паспорт, водительское удостоверение) и объектов (штрих-код на продуктах в магазине, серийный номер на смартфоне, номер инцидента в системе защиты информации). В общем виде номера позволяют определить, что перед вами находится по справочникам, базам и без предварительного знакомства, и этими номерами нужно управлять. Иногда менеджмент берет на себя человек (консьерж в подъезде, служба фейс-контроля на входе в ресторан), но для автоматизации разработаны специальные технические средства, которые мы и будем в этой статье называть IdM-системами.

Помимо присваивания номеров и простого журналирования системы могут применяться для быстрого доступа к чему-то (вход в библиотеку по читательскому билету, доступ к счёту в банке по номеру карты и т.д.). Эволюция систем позволила применять IdM в новом амплуа – для контроля доступа в виде IAM (Identity and Access Management). Так, например, можно зайти в офис с применением электронного пропуска через турникет (используется СКУД-система), или удаленно открыть ключницу при заселении в снимаемые апартаменты (через пароль на BnB-сервисе).

Дальнейшей эволюцией послужили развитые процессы согласования доступов, проверки на конфликты, гранулярное разграничение полномочий и другие параметры, которые позволяют называть системы новой аббревиатурой – IGA (Identity Governance and Administration).

В повседневной жизни одновременно существуют журналы посетителей, консьерж, который спрашивает в какую вы квартиру, и электронные очереди, которые распределяют клиентов по окнам в МФЦ. В жизни компаний также одновременно существуют системы классов IdM, IAM и IGA.

Рис. 1 – Эволюция систем управления доступом

Мы расскажем, какие основные функции выполняют системы контроля и управления доступами, как они устроены и какие дополнительные задачи могут решать.

Люди приходят и уходят, оборудование меняется, цепочка руководителей и базовые бизнес-процессы – также. Поэтому важно обеспечить управление жизненным циклом: вовремя обновить правила, загрузить новые данные при устройстве нового сотрудника, актуализировать процессы при переезде в новый офис. Жизненные циклы могут быть автоматизированы, как в системах классов ITSM, IRP, SOAR, также IdM-системы позволяют вручную запросить нужный доступ, когда администратор получает уведомление и действует сам. Если вы используете облачные сервисы для хранения и обмена файлами, скорее всего вы видели, что к файлам можно выдать доступ конкретным людям. Человек может сам вам позвонить или найти в мессенджерах, чтобы посмотреть альбом с фото, а может запросить доступ прямо в приложении - вы автоматом получите push-уведомление или письмо с запросом.

Чем больше в компании сотрудников, тем важнее исключить избыточность возможностей, разделив пользователей на группы, создав цепочки согласований с руководителями. Это вызвано не только задачами информационной безопасности, но и необходимостью банальной экономии ИТ ресурсов: экономией при загрузке трафика, сегментированием сети, настройкой каналов связи между офисами и смежными задачами. Важно, чтобы полезные данные были ближе, не дублировались, не «гуляли» просто так по нагруженным сетям. Иногда правила могут быть настроены и так, что одно физически невозможно при выполнении другого, поэтому дополнительно к проверке на избыточность нужно провести и проверку совместимости.

Тем не менее задачи IAM систем не ограничиваются ИТ, нужно помнить и про информационную безопасность, про удобство, скорость и автоматизацию. Мы используем защиту для входа в любой сервис: для открытия сейфов с сокровищами, оплаты покупок на карте (PIN-код), для получения доставки в постамате. Для сохранения безопасности данных одним из элементов доступа является пароль, который важно периодически обновлять (по жизненному циклу, как в примере выше или в другой нашей статье про личную кибергигиену), поэтому современные каталоги и IdM-системы позволяют напомнить о смене пароля и ограничить возможности, если пользователь этого не сделал.

Рис. 2 – Как устроено управление доступом

Все информационные системы становятся интереснее, значительнее и полезнее в совокупности с другими. Системы контроля и управления доступом – не исключение: в их работу вовлечены разные сотрудники (HR, руководители, системные администраторы), базы данных и электронные системы. В завершении обзора мы расскажем про основные интеграции, которые могут быть востребованы, и про задачи, которые они решают.

Когда мы говорим об идентификации пользователей в средних и больших компаниях, в голову не приходит мысль о ручном создании отдельного каталога с сопоставлением номеров на пропуске с конкретным человеком. Это можно сравнить с работой системы FacePay в московском метро, когда для корректной работы нужно распознавать лица, но для обработки десятка миллионов лиц применяется машинное обучение. Интеграция с каталогом – основной параметр в работе систем управления доступом – важно «подтянуть» все полезные данные из общего каталога в компании ( LDAP, AD) и сделать это автоматически.

Проход через турникет в метро или автобусе схож с приходом в офис, в котором установлена система СКУД. Её можно эффективно использовать с камерами, системой управления учетными записями и просто для оценки проходимости того или иного офиса для возможного расширения. Такая интеграция решает и задачи ИБ: можно, например, автоматически блокировать учетную запись на уровне домена при выходе из офиса в вечернее время суток и так же активировать все доступы при возвращении следующим утром. СКУД в интеграции со смежными системами позволит активировать ближайший принтер для печати, открыть ключницу для кабинетов на этаже, зайти в систему с повышенными правами, вставив карту в считыватель компьютера. В таком случае не придется создавать много учетных записей и держать в уме разные пароли.

Для решения второй задачи используется технология единого входа (SSO – single sign on), которая через доступ к одной системе позволяет получить доступ к другим. Вы скорее всего замечали, что, залогинившись в смартфоне в учетной записи Google или Apple, вы можете быстро без ввода паролей получить доступ к контактам, облаку, вкладкам в браузере. Применять один и тот же пароль для разных систем небезопасно, но если есть какая-то главная система и пользователь уже подтвердил, что это он, то процессы можно ускорить и упростить, сохранив безопасность отдельных сервисов.

Для обеспечения большей безопасности применяют шифрование и дополнительные сертификаты доступа. Такая инфраструктура называется инфраструктурой открытых ключей (PKI – Public Key Infrastructure). Системы контроля доступа могут эффективно интегрироваться с подобными системами для быстрых запросов доступа, ручного или автоматического согласования заявок. При этом значительно снизятся риски компрометации пароля.

Есть множество продуктов, которые работают вместе только эффективнее. Возможных интеграций можно придумать ещё несколько (например, доступ с многофакторной аутентификацией или совместное редактирование документов), но все их объединит одно – необходимость выдать каждому сотруднику нужную информацию просто и быстро, при этом сохранив баланс с целостностью и безопасностью этих данных.