Управление идентификацией и доступом Identity and Access Management (IAM) — не та задача, которую можно решить раз и навсегда. Это длительный процесс, затрагивающий критически важную часть инфраструктуры и требующий непрерывного управления. Но даже если у вас есть полностью реализованный набор решений, никогда не поздно воспользоваться рекомендациями по непрерывному управлению важнейшей частью вашей среды.
В отрасли начинает формироваться стандартный взгляд на управление идентификацией и доступом: вопреки распространенному мнению, ИТ-специалисты не должны глубоко погружаться в управление идентификацией. Слишком часто ИТ-подразделение оказывается в роли привратника просто потому, что только у его специалистов есть инструментарий, необходимый для управления идентификацией. Но при наличии инструментов управления идентификацией ИТ-подразделение обслуживает инструменты и инфраструктуру, а остальные сотрудники управляют собственно идентификацией.
В данной статье приведены восемь важных рекомендаций, выверенных многолетним опытом, которые помогут усовершенствовать систему управления идентификацией, повысить безопасность, эффективность и соответствие требованиям.
1. Определите свои трудовые ресурсы
Трудовыми ресурсами компании управляет отдел кадров. Кроме того, его сотрудникам приходится управлять информацией о работниках, не входящих в штат компании, например подрядчиках и консультантах. Большинству из них требуется доступ к ресурсам компании.
Первая рекомендация — наиболее полно использовать системы отдела кадров в качестве надежного источника данных для системы управления идентификацией и доступом. Это позволит избежать повторной работы, ошибок, рассогласования и других проблем, возникающих по мере роста системы IAM. В идеале следует предоставить какой-нибудь управляемый внешний интерфейс, например веб-интерфейс, который можно использовать для проверки качества импортируемых данных, коррекции данных и т. д.
2. Определите учетные данные
Следующая рекомендация — внедрить единую интегрированную систему для сквозного управления идентификацией сотрудников и своевременного удаления бесхозных и ненужных учетных данных. На этом этапе начинается формальная вовлеченность ИТ-специалистов в жизненный цикл управления идентификацией. Обычно идентифицируются следующие объекты:
- основная служба каталогов (часто Active Directory);
- система обработки сообщений (такая, как Exchange Server или Lotus Notes);
- основная система планирования ресурсов предприятия (ERP) (например, SAP).
После однократной настройки эти системы интегрируются в общую архитектуру управления идентификацией. Почему следует сосредоточиться на системах этих трех типов? В первую очередь потому, что они обеспечивают «быстрый выигрыш», позволяя интегрировать удостоверения самых заметных и чаще всего используемых ресурсов, которые пользователи задействуют в своей повседневной работе. Впоследствии можно интегрировать дополнительные системы.
На практике каждая отдельная система по-прежнему будет иметь дело с собственными учетными записями пользователей. Интегрированная система просто сопоставляет удостоверения с этими учетными записями, и вам придется часто задействовать внешний веб-компонент для управления процессом сопоставления. Неизбежно будут появляться новые удостоверения, не поддающиеся автоматическому сопоставлению, и внешний интерфейс позволит обрабатывать их в порядке исключения.
3. Предоставьте информацию и управление руководителям подразделений
Вам необходимо регулярно отвечать на вопрос: «Кто к каким ресурсам имеет доступ?» ИТ-специалисты координируют список учетных данных и разрешений и передают эту информацию владельцам и хранителям производственных данных. И снова внешний веб-интерфейс идеален для этой задачи. Идея в том, чтобы позволить руководителям подразделений управлять доступом к своим данным и обеспечить централизованную подготовку отчетов и контроль над разрешениями.
4. Организуйте рабочий процесс
Технология всегда направлена на внедрение изменений, но хаотичные изменения приводят к проблемам. Реализация рабочего процесса «запрос и утверждение» — эффективный способ документировать изменения и управлять ими. Пользовательский интерфейс самообслуживания (часто на основе общедоступной сети) позволяет пользователям запросить разрешение для необходимых им ресурсов. Владельцы и хранители данных могут отвечать на эти запросы, помогая компаниям обеспечить соответствующий доступ, одновременно отстраняя ИТ-специалистов от принятия решений в сфере управления разрешениями.
Можно начать с определения различных типов наборов разрешений, каждый с собственными рабочими процессами. Это позволяет соответствующим образом работать с различными типами данных и задач, в зависимости от степени конфиденциальности. Распределите обязанности: кто может управлять этим списком служб, кто отвечает за управление проектированием рабочих процессов и т. д. Например, для финансовых данных может требоваться более строгое одобрение при изменении разрешений, чем для данных в масштабах компании, которые могут быть изменены сравнительно малыми усилиями.
5. Автоматизируйте подготовку
Вам необходимо управлять новыми сотрудниками, пользователями, покидающими компанию, и пользователями, которые перемещаются внутри компании, в том числе с повышением и понижением в должности. Подготовка, отзыв и повторная подготовка часто представляют собой задачи, выполняемые вручную и отнимающие много времени, и их автоматизация может не только снизить затраты, но и уменьшить количество ошибок и повысить согласованность.
Эти задачи в рамках подготовки обычно охватывают соединения со многими системами, в том числе электронной почты, ERP и базами данных. Определите приоритеты этих систем таким образом, чтобы самые важные из них можно было автоматизировать в первую очередь, и четко определите и документируйте поток данных между этими системами и вашим набором инструментов управления идентификацией. Сначала сосредоточьтесь на автоматизации основных задач добавления, изменения и удаления учетных записей пользователя, а затем интегрируйте дополнительные задачи, такие как разблокировка учетных записей.
6. Обеспечьте соответствие требованиям
Сегодня деятельность многих компаний зависит от одного или нескольких отраслевых или государственных нормативных актов, и ваша система управления идентификацией может сыграть главенствующую роль и помочь вам обеспечить и сохранить соответствие требованиям. От вас требуется четко определить и документировать должностные роли, имеющие контроль над вашими данными, а также роли, которые должны иметь доступ к данным аудита. Определите правила соответствия шаг за шагом и назначьте каждому шагу ответственную должностную роль. Встройте проверку правил в систему управления идентификацией и операциями рабочего процесса, чтобы было проще автоматизировать исправление неверных действий. Таким образом вы повысите согласованность и безопасность, наряду с соответствием требованиям.
7. Проверяйте и перепроверяйте
В продуманной системе управления идентификацией разрешения обычно назначаются должностным ролям, а не конкретным лицам, но компании часто просто назначают разрешения по мере необходимости и никогда их не пересматривают. Такой подход связан с определенным риском.
Необходимо периодически выполнять повторную сертификацию разрешений. Требуется проверить, кто имеет доступ к каким объектам, и решить, следует ли сохранить за ними эти полномочия. Определите должностные роли в компании, которые имеют право повторно сертифицировать разрешения. Это могут быть владельцы систем, менеджеры, инженеры по информационной безопасности и т. д. Повторная сертификация может быть определена в рабочем процессе, в котором владельцы и хранители данных просматривают имеющийся набор разрешений и проверяют, насколько он точен.
Этот процесс также должен охватывать повторную сертификацию членства в должностной роли, чтобы вы могли убедиться, что пользователи, назначенные для данной должностной роли, продолжают выполнять соответствующие обязанности в компании.
8. Продумайте управление ролями
Разрешения лучше назначать ролям, а не конкретным людям. Сопоставить роли с реальными рабочими заданиями и должностями — хороший способ управлять идентификацией и доступом в долгосрочной перспективе. Потребуется приложить некоторые усилия для инвентаризации и анализа, чтобы точно определить важнейшие роли внутри компании на основе действующих в настоящее время разрешений ресурсов. С помощью ИТ-корзины самообслуживания пользователи запрашивают доступ к соответствующим ресурсам и службам. Таким образом, например, пользователь может запросить доступ к информации неличного характера о кадрах, не вникая в технические тонкости. После того как пользователь размещает такой запрос, владелец или хранитель запрошенных данных может просмотреть и одобрить или отвергнуть запрос. ИТ-специалист при этом в управлении разрешениями не участвует.
Кроме того, потребуется определить, кто будет управлять этими ролями, чтобы только уполномоченные лица создавали, изменяли и деактивировали роли в рамках продуманного рабочего процесса.
Выбор подходящего инструмента
Традиционные подходы
К сожалению, маловероятно, что вашей компании удастся эффективно применить все восемь рекомендаций, полагаясь на собственные инструменты. Собственные наборы инструментов, такие как Microsoft Active Directory, SAP, PeopleSoft, UNIX или macOS, просто слишком многочисленны. Вам нужен центральный пункт для управления удостоверениями, используемыми во всех системах. И делать это следует согласованным, надежным, эффективным и контролируемым способом. Традиционные инфраструктуры IAM зачастую отличаются высокой ценой и требуют масштабной реализации и поэтому не всегда применимы на практике.
Многие компании отдают предпочтение специальным IAM, составляя из самостоятельно разработанных или сторонних инструментов плохо связанные решения, с помощью которых удается в основном выполнить задачу, но с большими потерями в эффективности и безопасности. В конечном итоге управление идентификацией зависит от возможностей ИТ-подразделения, а не от нужд бизнеса.
Как пример одного из решений, можно назвать продукт One Identity Manager компании Quest. С его помощью компаниям удается эффективно управлять идентификацией. Сотрудники получают полный доступ к приложениям, платформам, системам и данным в течение всего времени, пока работают в компании, а компаниям не приходится инвестировать в длительный, дорогостоящий процесс настройки или бесконечные консультации. Вы можете наделить правами управления жизненным циклом учетных данных даже сотрудников, не являющихся специалистами в сфере ИТ, через процедуру самообслуживания, передав часть ИТ-задач владельцам и хранителям бизнес-данных. Кроме того, One Identity Manager обеспечивает полный рабочий процесс, в том числе разделение обязанностей, как показано на рисунке.
Рисунок. One Identity Manager обеспечивает упрощенное управление идентификацией и доступом |