…Всё началось с отдела маркетинга. Эти милые люди подумали и решили, что нам (специалистам пресейла и сервисов) следует написать некоторое количество статей «на разные интересные темы». Темы они, как водится, придумали сами, исходя из видящихся им «потребностей рынка». (При этом, если взглянуть на них с нашего ракурса, темы были, мягко говоря, «не очень»…)
Нашей команде, отвечающей за развитие системы управления доступом и учётными записями пользователей Solar inRights, пришла в голову идея миссионерства (как бы громко это ни звучало): если уж писать обращение «к граду и миру», то пусть оно будет полезным инструментом для принятия взвешенных решений. Поэтому решено составить целостный цикл материалов, который поможет чётко осознать, какие действия и процедуры сопровождают внедрение IdM-решения.
Постараемся избегать непонятной терминологии и всё пояснять. Если что-то будет непонятно или вызовет вопросы, всегда можете задавать их в комментариях. Мы открыты и для ваших предложений — каким аспектам уделить особое внимание.
На начальном этапе мы видим следующее разбиение по темам:
- Что такое IdM?
- Как определить, что стоит задумываться о внедрении IdM?
- Мы поняли, что IdM нужен – что дальше?
- О финансах…
- Мы заключили договор. С чего начнётся работа?
- Подготовка к внедрению.
- Работы в процессе собственно внедрения (несколько дней из жизни инженера внедрения).
- Перевод системы «в продуктив» и сопутствующие процедуры.
- «Мы строили, строили и наконец построили…». Что дальше?
Перечень и количество тем может несколько меняться в зависимости от интереса аудитории и вдохновения авторов :)
Итак, ближе к делу!
Часть 1. Что такое IdM?
Разговор об IdM стоит начать с пояснения, что же такое управление учётными записями и правами пользователей и что такое управление доступом.
Давайте разбираться. В первую очередь стоит понять, откуда пошло название класса IdM-решений. Это сокращение от «Identity Management», т.е. «управление учётными данными». Обратимся к Википедии (да, именно к ней, это же первая ссылка в Гугле):
«Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД) с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач». (Источник).
Это – выдержка из статьи на русском языке, которая, впрочем, этим абзацем и ограничивается, если не считать ссылок на статьи об идентификации, аутентификации, авторизации и контроле доступа. Определение не настолько плохо, как можно было бы ожидать. На что стоит обратить внимание в приведённом отрывке? Специально выделю для акцента курсивом:
«Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД), с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач.»
Т.е. мы видим, что суть управления учётными данными и доступом не сводится просто к какой-то одной системе, которая будет своеобразной кнопкой «сделать, чтобы было хорошо». Это целый комплекс, включающий:
- определение целей вышеуказанной деятельности,
- конкретизацию подхода к достижению выбранных целей и решению поставленных задач,
- выстраивание процессов и процедур,
- распределение ролей в бизнес-структуре,
- выбор решения, которое будет осуществлять управление учётными данными и правами пользователей,
- а также, уже ближе к завершению – собственно процесс внедрения IdM-решения.
Хорошо, с этим разобрались. Но всё же:
- Что именно включает в себя управление учётными данными?
- Какие процедуры и процессы относятся к этой деятельности?
Мы подошли к самой интересной части. Интересна она тем, что сложно найти точное указание на то, что относится к управлению доступом и учётными данными, а что – уже не относится. Identity Management – очень широкий и, если позволите, «загруженный» и «безграничный» термин, который включает в себя массу понятий. На практике мы систематически сталкиваемся с тем, что в каждой организации свой подход к управлению доступом и свои представления о том, что относить к IdM-тематике, а что – нет.
Вспоминается притча о трёх слепых, пытающихся описать слона: один из них подошёл к слону сзади, ощупал хвост и сказал, что слон похож на верёвку; второй подошёл спереди, ощупал хобот и сказал, что слон похож на змею; третий же подошёл сбоку, ощупал ногу и сообщил, что слон напоминает столб или колонну. Суть в том, что каждый в отдельности имел неполные сведения и потому не мог осознать слона как целое, до этого со слоном не сталкиваясь и не имея понятия о том, что он такое.
С IdM похожая история – слишком много различных функций и возможностей, чтобы осознать системно всю полноту. Иногда возникают совсем неожиданные темы, о которых до начала работы с решением никто и не задумывался. Профессионалам ИБ и ИТ важно понимать не только техническую составляющую управления доступом и учётными данными, но и то, каковы потребности в отношении связанных с IdM процессов в каждой конкретной компании. Стоит учитывать, что с каждым годом инфраструктурный ландшафт усложняется, и прежде эффективные методы управления доступом и учётными данными (ручное управление группами доступа, службами каталога, попытки вести ролевые модели на бумаге, профили пользователей и т.д.) оказываются уже не способными соответствовать потребностям бизнеса. Потому со временем они будут заменены современными средствами управления идентификацией, аутентификацией, авторизацией (совокупно – управления доступом) и системами аудита.
Когда начинаем говорить о внедрении какого-то IdM-решения, представители компаний часто с удивлением открывают для себя, что ещё до запуска собственно процесса внедрения нужно во всей полноте понимать:
- Какие кадровые процессы есть в компании.
- Кто и как принимает решение о том, куда каждый из пользователей должен иметь доступ.
- Какие есть роли.
- Какие сервисы должны быть доступны каждому из пользователей.
- Как синхронизировать обновление данных в различных бизнес-системах.
- Какие процедуры должны применяться.
- Какой аудит должен осуществляться в системе и т.д.
Стоит вспомнить о том, что есть несколько уровней управления доступом:
- Административный (политики и процедуры, контроль и обучение персонала).
- Физический (обеспечение безопасности периметра, разделение рабочих зон, резервирование данных).
- Технический (разграничение логического и физического доступа к системам, пересмотр сетевой архитектуры, безопасность данных, аудит).
Все они влияют на то, каким будет процесс управления учётными данными и правами пользователей.
Общаясь с коллегами, которые уже пережили внедрение IdM-решения, я пыталась выяснить, а что же нового в связи с внедрением и освоением IdM приходилось делать ИТ- и ИБ-специалистам компаний-заказчиков. В ходе бесед выяснилось, что им пришлось пересмотреть подходы к управлению доступом, внести изменения в существующие бизнес-процессы, в ряде информационных систем произошли изменения и т.д.
Всё указанное привожу здесь не для того, чтобы отбить у кого-либо желание связываться с внедрением IdM-решений, а для того, чтобы каждому приблизительно стал понятен фронт работ, и чтобы не было обманутых ожиданий типа: «А мы-то думали, что с внедрением IdM сразу можно расслабиться…».
Внедрение IdM – это история не о том, как инженеры интегратора развернули выбранное вами решение, и «всё сразу стало хорошо».
Это история о том, как в процессе трансформации и роста зрелости сервисов ИТ и ИБ создаётся целая система управления доступом с понятными всем участникам процесса целями и задачами, учётными записями и правами пользователей, которая включает в себя перечень процессов и процедур, физических, технических и административных мер, а также само IdM-решение или IGA-платформу.
О том, как взвешенно и грамотно подойти к созданию такой системы, мы будем рассказывать в серии статей максимально подробно.
В качестве анонса приведу то, о чём расскажем в следующей статье:
- Как понять, что конкретной компании уже стоит внедрять IdM? Частые ситуации и проблемные истории.
- Возможные варианты внедрения процессов управления доступом сотрудников и использования IdM-решения.
- Про аудит и комплаенс.
Кроме того, полезно, на мой взгляд, ознакомиться со статьей нашего коллеги из Solar Security о том, как IdM работает в связке с ITSM.
Автор: SolarSecurity