Очень многие программные приложения предполагают идентификацию пользователя для доступа к каждому из них по определенному сценарию. Казалось бы, очевидное решение — развертывание единого сервиса идентификации. Так ли это просто? И как обеспечить «сквозную
Сплошь и рядом пользователям приходится работать одновременно в нескольких системах, в каждой из которых реализовано разграничение доступа к прикладным сервисам и данным. Как правило, действующие в компаниях политики безопасности предполагают реализацию ролевой модели доступа к этим сервисам, в рамках которой спектр возможностей конкретного пользователя определяется набором должностных ролей и функций, которые на него возложены.
Если организовать ролевую модель доступа с помощью стандартных средств идентификации, имеющихся в приложениях, то пользователям придется запоминать множество разнородных, нередко длинных, к тому же периодически меняющихся паролей. Кроме того, остается серьезная опасность злоупотреблений со стороны системных администраторов, обслуживающих отдельные приложения. Так, по результатам исследования Superjob, только 70% системных администраторов считают продажу коммерческой информации конкурентам неэтичной и недопустимой, 8% заявили, что такие действия «в принципе допустимы», а 11% готовы сделать это за большие деньги. «Уже это определяет необходимость четкого контроля доступа на основе ролевой модели с использованием как минимум двухфакторной аутентификации, также требуется постоянный мониторинг действий администраторов», — считает Алексей Гребенюк, старший консультант по информационной безопасности компании Sysnet.
Эволюция идентификации
До внедрения систем единой регистрации (Single Sign-On, SSO) сложилась ситуация, когда пользователь имел множество паролей к разным приложениям и программным сервисам. Это приводило к путанице и множеству проблем в случае утраты или дискредитации парольной информации.
«Системы SSO упростили жизнь администраторов безопасности и тут же поставили вопрос об их полномочиях. Потребовалось ввести правило “двух рук”, против которого возражали те же самые администраторы. Для решения коллизии от руководителей требовалась настойчивость в преодолении сопротивления собственных администраторов», — считает Гребенюк.
Первая проблема вызвана тем, что не все корпоративные приложения легко интегрируются с централизованными системами управления идентификацией (Identity Management, IdM). «Вторая проблема в том, что мало решить вопрос с аутентификацией, нужно также продумать вопрос авторизации доступа к защищаемым ресурсам, поскольку разные системы делают это по-разному», — отмечает Алексей Лукацкий, менеджер по развитию бизнеса компании Cisco.
По мнению Гребенюка, основная проблема заключается в том, что большинство систем SSO и многофакторной аутентификации не имеют интеграции с UNIX-подобными операционными системами. «Очевидно, что в первую очередь выпускаются драйверы для более массовых операционных систем — это требование рынка. Однако часто до интеграции с этими системами дело так и не доходит, поэтому приходится сталкиваться с техническими проблемами. Также нередко встречается противодействие со стороны администраторов ИТ-департамента. Третья серьезная проблема — это мониторинг использования средств IdM: нужно не только выдать эти средства администраторам, но и заставить их применять в своей ежедневной практике. Другими словами, необходимо обеспечить выполнение правила “двух рук”».
Гибкость или интеграция
При любой интеграции систем уместно задаваться вопросом, насколько при этом корпоративная ИТ-инфраструктура сохранит гибкость? По мнению Лукацкого, гибкость в системе, где развернуты средства IdM, только возрастает: «Вместо внесения изменений в десятки баз пользователей достаточно выполнить их только в одном месте. Правда, возникает проблема с обеспечением доступности такого места. Частичным решением является ведение локальной базы доступа. Информационная безопасность после внедрения средств IdM может как возрасти, так и снизиться: с одной стороны, снижается число человеческих ошибок, а с другой — возможна утечка или уничтожение базы пользователей».
По сути, использование средств IdM — это не только ответ на вызовы сегодняшнего дня, но и способ обеспечить требования стандартов в области безопасности. Появление инфраструктуры IdM делает систему более прозрачной при расследовании инцидентов. Не на последнем месте стоит и обучение персонала вопросам профессиональной этики системных администраторов. Они должны знать, что последствия их действий будет разбирать хоть и другой человек, но коллега.