От IDM к IGA: семь примеров, когда простого Identity Management уже не хватает
Изображение: recraft
Сегодня мы хотим поговорить об управлении доступом к учетным записям на базе систем класса IGA (Identity Governance and Administration), которые существенно прокачивают базовый процесс управления учетными записями по сравнению с традиционными IDM-системами.
Большое количество ИТ-систем, запутанная инфраструктура, целый набор различных политик доступа – всё это приводит к тому, что следить за процессами идентификации оказывается не так-то просто, а управлять рисками – еще сложнее.
Ключевые отличия IGA и IDM
IGA и IDM – два взаимосвязанных, но разных класса систем управления цифровыми идентификациями. IDM можно охарактеризовать как базовую систему для управления учетными записями (а также автоматизации их создания и удаления), в то время как IGA – стратегическая система, которая включает в себя функции IDM + контроль, аудит и соответствие требованиям безопасности. Системы класса IGA помогают организациям эффективно управлять доступом к учетным записям и контролировать риски, связанные с аутентификацией и авторизацией.
| Система | IGA (Identity Governance and Administration) | IDM (Identity Management) |
| Задачи | Управление идентификацией + контроль и аудит доступа | Управление идентификацией и автоматизация учетных записей |
| Основные функции | Управление доступом, сертификация, аудит, аналитика рисков | Создание, изменение, удаление учетных записей, автоматизация управления правами доступа |
| Контроль привилегий | Есть механизмы сертификации и подтверждения доступа | Акцент на администрирование учетных записей |
| Соответствие стандартам | Помогает соблюдать законы о защите информации и персональных данных | Может не обеспечивать полный аудит и контроль доступа |
| Мониторинг и аудит | Встроенные инструменты анализа рисков и отчетности | Ограниченные возможности отчетности |
Когда IGA становится необходимостью
Переход на уровень IGA необходим сегодня в любой крупной компании, где насчитываются тысячи сотрудников, у которых есть доступ к разным системам: в их числе CRM, ERP, корпоративные облачные сервисы, внутренние порталы и т.п. А, учитывая, что сегодня в подобных компаниях, как правило, используется сразу несколько IDM-систем (например, Okta + SAP Identity Management), и в компании постоянно происходят изменения, которые создают новые сложности в управлении ролями, появление хаоса в сфере IDM становится «новой нормальностью», с которой приходится бороться организованно.
Простейший пример: учетная запись уволенного сотрудника может быть удалена в одной системе, а в других — нет. В итоге возникает огромный риск утечки данных. IGA могут автоматически отозвать права доступа во всех системах, например, если их интегрировать с HRM-платформами (такими как Directum HR Pro, Mirapolis HCM [u2] или любыми другими).
Ключевые проблемы, с которыми помогает справиться IGA
Давайте пройдемся по ключевым проблемам, которые помогают решить IGA и обсудим, как именно это происходит.
Проблема №1. Избыточные права доступа
Избыточные права появляются, когда сотрудник получает больше разрешений, чем необходимо для его работы. Не будем сейчас останавливаться на вопросах порядочности – в любом случае избыточные права доступа увеличивают вероятность злоупотреблений или утечек данных. От избыточных прав доступа не застрахован никто – они могут появляться по мере карьерного роста, лишние права может по ошибке дать системный администратор и так далее.
Механизмы IGA ценны тем, что позволяют проводить регулярные аттестации прав доступа. В соответствии с актуальными бизнес-процессами, которые в большинстве организаций постоянно меняются, системы IGA помогают поддерживать в актуальном состоянии права доступа каждого сотрудника и внешнего подрядчика.
Системный администратор или служба безопасности, используя IGA, может настроить систему на выдачу доступов по принципу наименьших привилегий. В этом случае сотрудникам будут выдаваться только минимально необходимые права. В случае необходимости предоставления дополнительных прав доступа к внутренним ресурсам компании, сотрудник получит временные привилегии (доступ на 24 часа, к примеру), которые IGA-система автоматически отзовет по истечении срока их действия.
Чтобы ситуаций с избыточными правами не возникало наверняка, поможет периодическая сертификация доступа. Она становится возможной за счет того, что IGA умеет автоматически проверять, соответствуют ли текущие права сотрудника его роли. Системные администраторы и специалисты по информационной безопасности, опять же, могут настроить периодичность таких проверок (например, раз в квартал или раз в полгода). После этого в соответствии с заданной периодичностью руководители подразделений будут получать запросы на подтверждение или отзыв доступа сотрудников.
Проблема №2. Доступ бывших сотрудников
Системы IDM сами по себе могут обеспечить контроль за отзывом доступа уволенных или переведенных в другой офис сотрудников, но как быть с подрядчиками и партнерами, которые уже не работают над проектом? Ситуация с сохранением доступа тех, кто вообще больше не имеет отношения к компании, – распространенная проблема, которая создает серьезную угрозу безопасности. И если даже этой учетной записью не воспользуется сам сотрудник, наличие аккаунта с давно не менявшимся паролем может стать точкой входа для злоумышленника или вредоносного ПО.
С IGA можно настроить автоматическое отключение и удаление учетных записей при завершении проектов или изменении статуса каждого из пользователей. И как только сотрудник перестает числиться на проекте, за отделом или департаментом, IGA-система мгновенно отзовёт у него все доступы, связанные с предыдущими ролями.
Проблема №3. Несоответствие требованиям регуляторов (Compliance Risk)
Хорошо, если наличие аккаунтов с доступами, которых у них не должно быть, не приводит ни к каким потерям и утечкам. Однако сам факт нарушений в контуре безопасности может приводить к штрафам со стороны регуляторов. Это касается как международных стандартов безопасности (GDPR, ISO 27001, SOX, NIST), так и российских (например, ГОСТ Р ИСО/МЭК 27001–2022, Стандарт СТБ КИИ).
Поскольку нарушение требований регуляторов может привести к штрафам и репутационным потерям, системы IGA используют для подготовки автоматизированных отчетов, регулярного аудита всех действий пользователей, контроля доступа к критически важным данным. Вместе с IGA эта информация становится прозрачной, а на любые вопросы проверяющих находятся быстрые и правильные ответы.
Проблема №4. Несовместимые полномочия
Сочетания некоторых полномочий недопустимы. Например, если выдать лишние права одному и тому же человеку в финансовой организации, он сможет провести какую-либо транзакцию за третье лицо. Подобные коллизии на самом деле встречаются и в других сферах – один и тот же человек не должен быть проверяющим и проверяемым, не должен делать запрос и подтверждать его и так далее. Допустим, речь идет о противоречиях в рамках одной системы. Но что если требуется управлять правами доступа в различных микросервисах, где просто необходима внешняя система контроля доступа и разделения прав?
В крупных компаниях, в которых существуют сотни и тысячи процессов с постоянно меняющимися параметрами, добиться исключения подобных нарушений вручную невозможно. Поэтому соблюдение принципов SoD ложится как раз на IGA-системы. Принцип решения противоречий следующий: в современных системах IGA создаются многомерные модели определения соотношений между различными множествами доступов. Так, благодаря IGA становится возможной как проверка наличия избыточных прав у пользователей, так и проактивная проверка возможности получить очередной доступ или присвоение роли с учетом уже имеющихся.
Проблема №5. Проблема привилегированных пользователей
Администраторы и другие сотрудники с высоким уровнем доступа могут совершать мошеннические действия или стать жертвами атак, фактически открывая инфраструктуру компании злоумышленникам. Чтобы бороться с этим, в системах IGA применяется сложная модель оценки рисков. Она позволяет, во-первых, идентифицировать тех пользователей, которые могут нанести урон компании по сумме своих привилегий, а, во-вторых, следить за их действиями в режиме реального времени, чтобы выявить аномальную или подозрительную активность.
Кроме этого, решения класса IGA позволяют минимизировать риски для привилегированных учетных записей за счет дополнительной защиты на уровне многофакторной аутентификации (MFA), использования временных прав доступа и постоянного аудита для отключения лишних ролей и сохранения принципов минимально возможных прав для выполнения должностных обязанностей сотрудником.
Проблема №6. Отсутствие прозрачности и отчетности по доступам
Многие организации не могут дать точного ответа, кто и какие ресурсы использовал, в какой момент времени, с какой целью. Это затрудняет расследование инцидентов и вообще не позволяет навести порядок в работе с данными и информационными системами.
IGA помогают консолидировать отчетность за счет наличия централизованной панели управления доступом. В IGA можно просмотреть подробные логи действий всех пользователей.
Проблема №7 . Низкий уровень вовлеченности бизнеса
Нередко встречается ситуация, при которой вопросы доступа остаются в компетенции исключительно специалистов по информационной безопасности, в то время как бизнес-подразделения воспринимают эти процессы как препятствие для своей деятельности. В таких случаях ролевые модели не актуализируются (или вовсе не используются), доступ выдается по запросу, а любые попытки его ограничить вызывают недовольство. Сами ИБ-инженеры оказываются не так сильно погружены в деятельность отделов компании, чтобы подготовить правильные ролевые модели, соответствующие реальным бизнес-процессам, и своевременно развивать их.
Но в том и состоит особенность IGA, что решения этого класса позволяют руководителям и топ-менеджерам самостоятельно принимать участие в процессе управления доступом: влиять на распределение ролей, запускать процессы аудита и сертификации пользователей. С одной стороны, IGA позволяет собрать в одной точке и визуализировать все важные показатели, а с другой – сделать проблемы дублирования, избыточности и конфликтов доступа, в том числе, ответственностью руководителей. В этом случае значимость управления доступом существенно возрастает.
Выводы
Системы IGA – фундаментальный элемент кибербезопасности, который снижает риски утечек данных, защищает критические системы и упрощает управление доступом. Подобные системы особенно важны для компаний с большим количеством сотрудников и подрядчиков, практикой удаленной работы и высокими требованиями к безопасности.
Однако далеко не все IDM-решения позволяют реализовать сценарии IGА. Очень часто пользователи сталкиваются с невозможностью эволюционно развивать свою экосистему управления доступом. Если вам в будущем понадобится IGA, стоит обратить внимание на IDM-систему, которая поддерживает переход к современным процессам управления доступом.
Автор: Максим Тарасов, руководитель отдела технической экспертизы, Avanpost
