СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
RooX
12 мая
#Статьи #Dev#ИБ#ИИ#Инфра

Как строить управление доступом «по-крупному» в 2025 году: 6 главных особенностей

Как строить управление доступом по-крупному в 2025 году: 6 главных особенностей

В небольших проектах необходимость в аутентификации выглядит как галочка в техническом чек-листе. В крупном бизнесе проект по внедрению системы управления доступом — это игра в высшей лиге, где ставками становятся бизнес-устойчивость и миллионы пользовательских данных. Что нужно учесть в этой игре, рассказывает Егор Леднев, директор по сервисам компании RooX, которая специализируется на решении сложных задач аутентификации и авторизации для крупных компаний.

Тренировки. Требования регуляторов

Вне зависимости от того, против какого соперника он будет играть, футболист должен хорошо бегать и владеть мячом. В свою очередь системы управления доступом в сегменте enterprise должны по умолчанию удовлетворять как минимум ГОСТ Р 59383-2021 «Информационные технологии. » и ГОСТ Р 59548-2022 «Защита информации. ». Далее могут добавляться дополнительные требования в зависимости от отрасли.

Пример. Финтех.
К финансовым компаниям предъявляются требования к КИИ, 683-П ЦБ РФ, ИН-014-56/6 ЦБ РФ для кредитных организаций, ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. … » и ряд других. Федеральный закон «О противодействии легализации (отмыванию) доходов …» №115-ФЗ, Закон РФ №4015-1 «Об организации страхового дела в Российской Федерации» и ряд других.

Пример. Международный сервис.
Если компания работает не только на российском рынке, требуется поддержка мультинациональных требований. Например, в разных юрисдикциях действуют свои законы по защите персональных данных: GDPR в ЕС, HIPAA в США, локальные требования в Азии и т.д..

Первый тайм. Неоднородный ИТ-ландшафт

В большой компании информационные системы могут исчисляться десятками, а иногда и сотнями. Кроме того, ИТ-ландшафт крупной компании может включать в себя разные типы устройств — серверы, стационарные компьютеры, ноутбуки, мобильные устройства, WiFi роутеры и многие другие) с различными операционными системами. Для всех этих случаев необходимо обеспечивать безопасный и удобный доступ.

Пример: У нас 58 систем, мы хотим пилот.
Компания из госсектора хотела упростить администрирование учетных записей и прав доступа. ИТ-ландшафт насчитывал 58 систем. Некоторые из систем разрабатывались достаточно давно и с ними невозможно было интегрироваться по стандартным протоколам. Более того, доработка была возможна только с использованием дорогого реверс-инжиниринга, так как разработчики были уже недоступны. Решающую роль в запуске пилота сыграла целеустремленность команды заказчика. С их помощью мы собрали аналитику по использованию систем и определили, какие из них являются бизнес-критичными. В итоге пилот закрыл наиболее горячие потребности по управлению доступом.

Второй тайм. Разные сценарии входа вплоть до экзотических и бесчеловечных

Пользователями информационных систем крупной компании могут быть сотрудники, подрядчики, поставщики, франчайзи, партнеры, надзорные органы и так далее. Каждая из этих групп тоже может быть неоднородной, причем по многим параметрам. Например, сотрудники различаются по отделам, уровню должности, работают в офисе или удаленно, постоянная штатная единица или привлечен на проект и прочее.

Добавим к этому бесчеловечности, то есть технические учетные записи, агентов на основе ИИ, а также системы и устройства, которые тоже могут быть пользователями.

Наложим слой зависимости от контекста, то есть сделаем управление доступом адаптивным. Например, из доверенной сети и со знакомого устройства вход осуществляется только по паролю и доступ дается ко всем рабочим системам, а из ресторанного Wi-Fi — с добавлением второго фактора и ограниченными правами.

В итоге получим список уникальных сценариев, которые необходимо реализовать в системе управления доступом.

Пример: Аутентификация B2B2E (Business-to-Business-to-Employee)
У крупной компании есть онлайн-сервис, которым пользуются ее клиенты — юридические лица. Для директоров этих юридических лиц в сервисе доступны дополнительные функции. Мы настроили систему аутентификации так, чтобы в сценариях доступа к онлайн-сервису учитывалась ролевая модель организаций-клиентов.

Пример: VIP-сценарии аутентификации
Руководитель высокого ранга хочет, чтобы, когда он приходит в свой кабинет, все необходимое программное обеспечение уже было открыто на нужных разделах. В этом случае в сценарий входа мы включили действия другого человека — личного помощника, который обеспечивает подготовку рабочего места.

Двухфакторная аутентификация в тайге
Филиал предприятия находится в удаленной местности. Мобильной связи нет, есть только спутниковый интернет, поставки необходимых вещей происходят редко. Один компьютер на всех, вход по логину и паролю. Поставлена задача — внедрить надежную двухфакторную аутентификацию. Анализ показал, что она, к сожалению, не имеет идеального решения. OTP по SMS невозможен. Использовать факторы, завязанные на общий компьютер, небезопасно. Варианты с отдельными устройствами (например, TOTP или сертификаты) несут риски при потере устройства. Компромиссом стал вариант второго фактора на отдельном устройстве с возможностью временно его отключить по согласованию с центральным офисом.

Дополнительное время. Расширенные потребности в интеграции

Интеграции можно сравнить с коммуникациями футболистов на поле. В топовых командах игроки понимают друг друга без слов и лишних движений. Так и система управления доступом в крупной компании должна легко интегрироваться с множеством других систем. Эти интеграции можно классифицировать по функции и по способности к поддержке стандартных протоколов.

По функции системы можно разделить на защищаемые, хранилища учетных записей, кадровые системы (поставщики данных для моделей доступа и кадровых событий), системы департамента ИБ (мониторинг, SIEM и др), смежные по части аутентификации и авторизации (сторонние IDP, поставщики факторов, удостоверяющие центры) и некоторые другие.

Что касается поддержки протоколов, некоторые системы будут поддерживать протоколы SAML, OAuth или OpenID Connect, что принесет радость и непосредственным участникам проекта, и болельщикам. Также будет достаточно систем, которые сами взаимодействуют с LDAP-каталогом пользователей и используют механизм групп для управления правами. Этот вариант менее универсален, так как механизмы аутентификации будут ограничены стандартными возможностями каталогов. Наконец, вряд ли обойдется без легаси-систем, которые все реализуют внутри себя и не поддерживают современные протоколы. Для их интеграции нужны кастомные коннекторы или Access Gateway, проверяющий доступ пользователя перед тем, как передать запрос в такую систему.

Серия пенальти. Пиковые нагрузки

Крупный бизнес в целом требователен к нагрузкам на сервисы аутентификации и авторизации просто в силу своего масштаба. Но случается, что эта нагрузка резко возрастает, иногда в разы. Характерные примеры: онлайн-банк и зарплатный день, маркетплейс и черная пятница. И система управления доступом должна быть готова к волнообразным нагрузкам, как никакая другая.

Пример. Чемпионат мира.
Во время Чемпионатов мира по футболу (или других массовых спортивных событий) кратно возрастает нагрузка на сайты, аккредитующие болельщиков на матчи и специальные мероприятия. На один и тот же сервис одновременно пытаются зайти десятки тысяч пользователей. При этом многие из них испытывают глубокие эмоции. В такой ситуации система аутентификации и авторизации ни в коем случае не должна подвести.

Пресс-конференция. Бренд-бук определяет всё.

Для крупных компаний, особенно тех, которые работают на массовом рынке, брендинг играет ключевую роль. Это касается всех элементов взаимодействия с пользователем, включая формы входа в приложения. Если система управления доступом имеет возможности, пусть даже широкие, лишь настраивать дизайн элементов форм, этого может оказаться недостаточно. Зачастую бренд-бук диктует требования к дизайну с точностью до пикселя, и компромиссы невозможны.

Пример. Умная и стильная.
Компания производит «умную» технику и уделяет повышенное внимание дизайну и UX, брендбук проработан в мельчайших деталях. В основу проекта управления доступом мы взяли систему, в которой слой интерфейсов отделен от функциональной логики. Это позволило сделать полностью кастомный интерфейс входа в личный кабинет пользователя согласно брендбуку.

***

В сфере управления доступом для крупных компаний, как и в мире большого футбола, выигрывает тот, кто умеет гибко адаптироваться к меняющимся условиям, соблюдать правила игры и максимально использовать потенциал своей команды. Разнообразие протоколов, гибкость интеграций, готовность к пиковым нагрузкам и внимание к деталям — всё это становится залогом успешной цифровой трансформации. Важно помнить: чтобы корпоративные системы работали «на победу», требуется не только технологическая продвинутость, но и умение выстраивать взаимодействие между всеми участниками процесса.

Автор: Директор по сервисам RooX Егор Леднев.

RooX
Автор: RooX
Аутентификация и авторизация от А до Я
Комментарии: