Обзор SailPoint SecurityIQ


SailPoint SecurityIQ

В обзоре рассматривается комплексное решение по управлению и контролю доступа к неструктурированным данным SailPoint SecurityIQ. В обзоре представлены архитектура решения, его функциональные возможности и описание основных интерфейсов системы.

Сертификат AM Test Lab

Номер сертификата: 165

Дата выдачи: 30.06.2016

Срок действия: 30.06.2021

Реестр сертифицированных продуктов »

1. Введение

2. Компания SailPoint Technologies

3. Описание SailPoint SecurityIQ

4. Архитектура SailPoint SecurityIQ

5. Функциональные возможности SailPoint SecurityIQ

6. Работа с SailPoint SecurityIQ

6.1. Административная консоль SailPoint SecurityIQ

6.2. Пользовательская бизнес консоль SailPoint SecurityIQ

7. Выводы

 

 

Введение

Управление доступом к информационным ресурсам является важной задачей любой современной компании. По этой причине сейчас пользуются популярностью различные решения по централизованному управлению учетными записями, правами на доступ к информационным ресурсам, паролями и другими атрибутами в информационных системах.

Для управления учетными записями, правами доступа к различным базам данных и  приложениям используются продукты класса IdM/IAM-систем (Обзор IdM/IAM-систем на мировом и российском рынке). При этом остается неохваченной информация, расположенная на файловых серверах и сетевых хранилищах, корпоративных и совместных порталах, ящиках электронной почты и папках в облачных сервисах.

Для управления и контроля доступа к такому классу данных компания SailPoint Technologies представила комплексное решение по управлению и контролю доступа к неструктурированным данным SecurityIQ.

 

Компания SailPoint Technologies

SailPoint Technologies — американская компания, основанная в 2005 году. Основным направлением ее деятельности являются решения по управлению учетными записями и пользовательским доступом, управлению доступом к структурированным и неструктурированным данным.

Решения компании SailPoint Technologies успели получить известность на Западе и прочно утвердились на лидирующих позициях в сравнительных обзорах рейтинговых аналитических агентств.

Так, уже на протяжении нескольких лет решения компании SailPoint Technologies занимают лидирующие позиции в магическом квадранте Gartner по системам класса Identity Governance and Administration (IGA-системы).

Компания SailPoint Technologies представляет на рынке два продукта:

  • IdentityIQ — решение по управлению учетными записями и пользовательским доступом для централизованного управления жизненным циклом учетных записей пользователей и их правами доступа к информационным ресурсам организации;
  • SecurityIQ — комплексное решение по управлению доступом к неструктурированным данным.

На российском рынке решения компании SailPoint Technologies появились сравнительно недавно и не получили еще широкого распространения, как на Западе.

В данном обзоре будет рассмотрено комплексное решение по управлению и контролю доступа к неструктурированным данным SailPoint SecurityIQ (версия 4.2).

 

Описание SailPoint SecurityIQ

В 2015 году компания SailPoint Technologies приобрела Whitebox Security и ее решение Whitebox Suite, которое получило новое имя — SecurityIQ.

Оно классифицируется как корпоративное решение по управлению и контролю доступа к неструктурированным данным. Под неструктурированными данными понимаются файлы в разделяемых папках, сетевых хранилищах, облачных сервисах и на корпоративных порталах (например, Microsoft SharePoint), сообщения электронной почты (например, Microsoft Exchange).

Это могут быть файлы различного формата (docx, pdf и т. д.) и содержащие различную информацию (например, финансовые данные, персональные данные и т. д.).

Решение SecurityIQ позволяет решать следующие задачи:

  1. Поиск и классификация данных

Помогает определить, где хранится критически важная информация, и классифицировать ее. При этом SecurityIQ позволяет выполнить следующее:

  • проанализировать файлы на предмет содержания важной информации, используя ключевые слова, символы расширения и регулярные выражения;
  • использовать алгоритмы проверки для распространенных типов данных с целью повышения точности и устранения ложных срабатываний;
  • применить гибкие методы при классификации важных данных, используя контекстные и поведенческие подходы;
  • использовать мониторинг активности и классифицировать данные, основываясь на том, как они используются.
  1. Управление правами доступа

Позволяет определить, кто и к каким данным имеет доступ. При этом SecurityIQ позволяет выполнить следующее:

  • отобразить на одном графике полную картину эффективного доступа ко всем данным предприятия;
  • выявить и исправить избыточный доступ к важным данным (открытые папки общего доступа, сайты, почтовые ящики и т. п.);
  • обнаружить и устранить неиспользуемые права доступа с помощью перекрестной проверки эффективного доступа и мониторинга активности;
  • обеспечить соответствие управления доступом лучшим практикам, внедренным на предприятии.
  1. Контроль активности пользователей при работе с данными:

Позволяет определить, кто и когда открывал файлы. SecurityIQ позволяет выполнить тщательную проверку и аудит использования данных и ответить на следующие вопросы:

  • Кто имеет доступ к этой папке?
  • Какие данные доступны этому пользователю?
  • Кто открывал не принадлежавший ему ящик электронной почты?
  • Кто изменил состав группы пользователей?
  • Какие данные и как давно перестали быть актуальными?

SecurityIQ позволяет контролировать следующие системы (в списке ниже приведены все системы, которые интегрируются с рассматриваемым решением из «коробки»):

  • любые файловые сервисы от Microsoft Windows  и NFS (файловые серверы, хранилища);
  • внешние массивы хранения данных от Hitachi, EMC и NetApp;
  • порталы Microsoft SharePoint, SharePoint Online;
  • почта Microsoft Exchange;
  • Microsoft Windows Server Active Directory как объект (т. е. мониторинг членства в группах, кто менял, кто создавал аккаунты и т. д.);
  • внешние системы хранения информации Dropbox, Office 365, Box, Google Drive, Microsoft OneDrive.

 

Рисунок 1. Решение SailPoint SecurityIQ

Решение SailPoint SecurityIQ

 

Кроме того, SecurityIQ может интегрироваться с другим решением компании SailPoint Technologies — IdentityIQ, а также со сторонними системами данного класса. Таким образом, клиент получает комплексное решение по управлению доступом к структурированным данным (базы данных, приложения) и к неструктурированным данным.

 

Рисунок 2. Комплексное решение IdentityIQ и SecurityIQ

Комплексное решение IdentityIQ и SecurityIQ

 

В рамках комплексного решения системы SecurityIQ и IdentityIQ обмениваются данными между собой, тем самым образуя целостное решение по управлению доступом к обоим типам данных. На приведенном выше рисунке представлены функции, которые выполняет каждый из продуктов в составе интегрированного решения.

Также продукт SecurityIQ позволяет осуществлять интеграцию с системами мониторинга. Интеграция с SecurityIQ позволяет расширить систему мониторинга, добавив в обработку новый класс событий, относящихся к информационной безопасности.

 

Архитектура SailPoint SecurityIQ

Решение представляет собой набор сервисов, которые работают на центральной площадке информационной инфраструктуры (в ЦОД), и набор выносных сервисов, которые работают в подразделениях или удаленных площадках за пределами ЦОД.

В состав решения входят следующие основные сервисы:

  • Event Handling — здесь ядром является механизм, который обрабатывает поступающий поток событий. Каждое событие, которое получает SecurityIQ, собирается здесь и оценивается.
  • Мonitors — эти сервисы подключаются непосредственно к контролируемой системе, осуществляют мониторинг активностей при работе с данными и последующую отправку информации по этим активностям в сервис Event Handling.
  • General Services — SecurityIQ содержит много сервисов для поддержки своего функционирования, которые включают генератор отчетов, планирование задач и пользовательский интерфейс.
  • Entitlements Collectors — сервис, выполняющий сбор и анализ действующих прав доступа в конечных информационных системах.
  • Data Classification — сервис, выполняющий функции по классификации неструктурированных данных.

Для ряда сервисов (например, Data Classification), а также для конкретных приложений требуется установка коннекторов (агентов) для интеграции с SecurityIQ.

В качестве базы данных может использоваться только Microsoft SQL Server.

Решение является масштабируемым и может быть развернуто как на одном сервере, так и на группе серверов (распределенным способом). Таким образом, решение поддерживает несколько вариантов развертывания:

  • минимальный;
  • средний;
  • расширенный.

Предлагаемые варианты приведены на рисунках ниже.

 

Рисунок 3. Архитектура SailPoint SecurityIQ (минимальная)

Архитектура SailPoint SecurityIQ (минимальная)

 

Рисунок 4. Архитектура SailPoint SecurityIQ (средняя)

Архитектура SailPoint SecurityIQ (средняя)

 

Рисунок 5. Архитектура SailPoint SecurityIQ (расширенная)

Архитектура SailPoint SecurityIQ (расширенная)

 

Функциональные возможности SailPoint SecurityIQ

SecurityIQ представляет собой комплексное решение по управлению доступом к неструктурированным данным, которое позволяет выявить ценные с коммерческой точки зрения данные, предоставляя возможность централизованно управлять, а также контролировать к ним доступ с применением целостной системы административных процессов, политик и руководств.

На рисунке 6 представлены основные функции, которые решает SecurityIQ.

 

Рисунок 6. Функциональные возможности SailPoint SecurityIQ

Функциональные возможности SailPoint SecurityIQ

 

Функциональные возможности SecurityIQ делятся на 4 группы. Ниже приведено их описание:

  1. Visibility (наглядность в предоставлении информации по неструктурированным данным):
  • Data Classification — возможность выполнять классификацию хранимых данных по нескольким признакам (по анализу контента или по поведению пользователей);
  • Real-time Activity Monitoring — возможность в режиме реального времени отслеживать обращения пользователей к данным (кто к каким данным обращается, какие функции выполняет);
  • Permissions Analysis — возможность анализировать пользовательские полномочия (кто получил права на конкретные файлы).
  1. Control (функциональные возможности по управлению неструктурированными данными):
  • Data Owners Election — возможность выбора владельца ресурса (файла); владелец ресурса может быть выбран административным способом (выбор одним пользователем) или путем голосования;
  • Real-time Unified Access Policies — возможность в режиме реального времени отслеживать операции пользователей с контролируемыми объектами на соответствие созданным политикам доступа;
  • Access Requests — возможность управлять запросами на доступ к объектам.
  1. Compliance (соответствие требованиям компании и внешних регуляторов):
  • Access&Compliance Insights — возможность просмотра информации о нарушениях, связанных с правами доступа;
  • Access Reviews — возможность проведения пересмотра прав доступа;
  • Access Simulations («What if») –— возможность имитации отзыва доступа или добавления доступа с целью увидеть, что может произойти после выполненных действий (например, к каким данным пользователь получит доступ вследствие добавления его учетной записи в новую группу AD).
  1. Remediation (функциональные возможности по реагированию):
  • Real-time Responses — возможность в режиме реального времени реагировать на попытки получить несанкционированный доступ к объектам или файлам; методами реагирования являются предупреждения (alerts), которые могут рассылаться по электронной почте;
  • Access Fulfillment — возможность выполнения заявок в автоматическом режиме без участия системного администратора;
  • Actionable Dashboards — возможность отображения информации, собранной SecurityIQ, за длительный период времени для последующего анализа (набор Dashboards).

 

Работа с SailPoint SecurityIQ

Работа с продуктом осуществляется посредством веб-интерфейса. SecurityIQ предоставляет для работы две консоли: одна административная и одна пользовательская.

Для начала работы с SecurityIQ необходимо вести идентификационные и аутентификационные данные на стартовой странице продукта. В зависимости от прав пользователя откроется административная или пользовательская консоль.

 

Рисунок 7. Стартовая страница в SailPoint SecurityIQ

Стартовая страница в SailPoint SecurityIQ

Административная консоль SailPoint SecurityIQ

В административной консоли предоставляется функционал по администрированию и настройке системы SailPoint SecurityIQ.

В интерфейсе административной консоли пользователю для работы доступно следующее меню:

  • Activities;
  • Compliance;
  • Entitlements;
  • Policies;
  • Systems.

В качестве дополнительного инструмента администратору доступен функционал по созданию различных запросов (Advanced Forensics Control), посредством которого осуществляется формирование представленных данных по выбранным критериям (фильтрация данных). Все созданные администратором запросы сохраняются и могут использоваться в дальнейшей работе.

В меню Activities администратор может просматривать информацию об активности пользователей по доступу к контролируемым данным. Информация представлена в виде журнала событий, в котором можно увидеть, кто получал доступ, к каким данным был получен доступ и в какое время этот доступ был осуществлен.

 

Рисунок 8. Информация об активности пользователей по доступу к контролируемым данным в SailPoint SecurityIQ

Информация об активности пользователей по доступу к контролируемым данным в SailPoint SecurityIQ

 

В меню Compliance представлен функционал по контролю соответствия различным внутренним правилам. Здесь администратор может выполнять следующие действия:

  • создавать предупреждения по различным нарушениям заданных правил;
  • выполнять контроль соответствия классификации данных;
  • выполнять контроль соответствия различным установленным требованиям внутри компании;
  • выполнять контроль соответствия установленным политикам SoD (Segregation of Duties).

 

Рисунок 9. Контроль соответствия установленным правилам в SailPoint SecurityIQ

Контроль соответствия установленным правилам в SailPoint SecurityIQ

 

В меню Entitlements представлен функционал по контролю доступа к данным. Здесь администратор может выполнять следующие действия:

  • создавать предупреждения по различным нарушениям заданных правил;
  • имитировать действия по отзыву доступа или добавлению доступа с целью увидеть, что может произойти вследствие выполненных действий;
  • выполнять пересмотр предоставленных прав доступа;
  • управлять запросами на доступ к объектам.

 

Рисунок 10. Контроль доступа к контролируемым данным в SailPoint SecurityIQ

Контроль доступа к контролируемым данным в SailPoint SecurityIQ

 

В меню Policies представлен функционал по созданию политик доступа и классификации данных. Здесь администратор может создавать политики доступа и политики классификации данных.

 

Рисунок 11. Политики доступа и классификации данных в SailPoint SecurityIQ

Политики доступа и классификации данных в SailPoint SecurityIQ

 

В меню Systems представлен функционал по настройке и конфигурированию системы, в рамках которого администратору доступно следующее:

  • добавление в систему различных приложений (здесь также доступны функции по конфигурации системы);
  • мониторинг всех задач в системе за определенный период времени;
  • управление задачами, которые выполняются по расписанию;
  • просмотр настроенных отчетов;
  • определение статического и динамического процесса по пересмотру прав доступа;
  • конфигурирование внешних источников данных;
  • настройка выполнения заявок на автоматическое предоставление доступа к данным;
  • мониторинг внутреннего состояния различных сервисов системы;
  • просмотр данных о самой системе;
  • управление лицензиями;
  • обновление системы и установка патчей.

Также здесь отображается список всех подключенных к системе ресурсов (Business Resources Tree).

 

Рисунок 12. Настройка SailPoint SecurityIQ

Настройка SailPoint SecurityIQ

 

Пользовательская консоль SailPoint SecurityIQ

На рисунке 13 представлена пользовательская консоль владельца ресурсов, который может выполнять следующие действия:

  • пересматривать предоставленные права доступа;
  • управлять запросами на доступ к объектам;
  • просматривать настроенные отчеты;
  • контролировать соответствие различным установленным требованиям внутри компании.

 

Рисунок 13. Консоль владельца ресурса в SailPoint SecurityIQ

Консоль владельца ресурса в SailPoint SecurityIQ

 

На рисунке 14 представлена пользовательская консоль рядового пользователя.

 

Рисунок 14. Консоль рядового пользователя в SailPoint SecurityIQ

Консоль рядового пользователя в SailPoint SecurityIQ

 

На стартовой странице отображается следующая информация:

  • информация по набранным баллам пользователя (за различные действия в системе);
  • список выполненных задач;
  • информация по последним действиям пользователя и полученным за них баллам;
  • информация по последним действиям с ресурсами, владельцем которых является пользователь системы;
  • информация по пользователям-лидерам относительно полученных баллов.

Здесь пользователь может получить перечень пользователей, которые осуществляли какие-либо действия с ресурсами, владельцем которых он является (рисунок 15).

 

Рисунок 15. Список пользователей, которые имели доступ к контролируемым ресурсам в SailPoint SecurityIQ

Список пользователей, которые имели доступ к контролируемым ресурсам в SailPoint SecurityIQ

 

В отдельном окне пользователю предоставляется информация по невыполненным задачам (мероприятия, в которых пользователь системы должен принять участие). К таким мероприятиям, например, может относиться процедура голосования по выбору владельца ресурса.

 

Рисунок 16. Просмотр невыполненных задач в SailPoint SecurityIQ

Просмотр невыполненных задач в SailPoint SecurityIQ

 

По каждой такой невыполненной задаче пользователь может посмотреть детальную информацию (рисунок 17).

 

Рисунок 17. Процедура голосования по выбору владельца объекта
в Sail
Point SecurityIQ

Процедура голосования по выбору владельца объекта в SailPoint SecurityIQ

 

Выбор владельца ресурса может осуществляться как администратором системы, так и путем проведения голосования. При этом пользователи могут самостоятельно предлагать кандидатуры.

 

Рисунок 18. Выбор дополнительных кандидатов при выборе владельца ресурса в SailPoint SecurityIQ

Выбор дополнительных кандидатов при выборе владельца ресурса в SailPoint SecurityIQ

 

Пользователю доступен функционал, в рамках которого он может:

  • посмотреть активность пользователей при доступе к контролируемым ресурсам;
  • получить информацию по правам доступа пользователей к контролируемым ресурсам;
  • получить информацию по частоте обращений к принадлежащим ему ресурсам;
  • настроить предупреждения (alerts) по различным действиям с ресурсами;
  • получить статистическую информацию по использованию ресурсов.

На странице, отображающей «Top-10 пользователей», можно увидеть, кто наиболее часто осуществлял доступ к ресурсу владельца за соответствующий период времени (период времени может задаваться пользователем системы).

 

Рисунок 19. Top 10 пользователей в SailPoint SecurityIQ

Top 10 пользователей в SailPoint SecurityIQ

 

Здесь же предоставляется возможность выбрать пользователя и посмотреть, к каким именно ресурсам этот пользователь осуществлял доступ (рисунок 20).

 

Рисунок 20. Перечень ресурсов в SailPoint SecurityIQ

Перечень ресурсов в SailPoint SecurityIQ

 

Просматривая информацию по правам доступа пользователей к контролируемым ресурсам, пользователь может:

  • посмотреть перечень пользователей, которые имеют доступ к выбранному ресурсу;
  • посмотреть информацию по выбранному пользователю (учетная запись, департамент);
  • выяснить, каким образом пользователь получил права доступа к выбранному ресурсу.

 

Рисунок 21. Информация по правам доступа к ресурсам в SailPoint SecurityIQ

Информация по правам доступа к ресурсам в SailPoint SecurityIQ

 

Рисунок 22. Информация по предоставлению прав доступа в SailPoint SecurityIQ

Информация по предоставлению прав доступа в SailPoint SecurityIQ

 

Информация по правам доступа к ресурсу может быть представлена как в упрощенном режиме (в виде таблицы), либо в графическом режиме (в виде дерева). Для владельца ресурса имеется дополнительный интерфейс с расширенными возможностями по контролю и управлению доступом к своему ресурсу.

 

Рисунок 23. Расширенные возможности для владельца данных по контролю и управлению доступом к своему ресурсу

Расширенные возможности для владельца данных по контролю и управлению доступом к своему ресурсу

 

Также пользователю в графическом виде доступна информация по частоте использования ресурсов, владельцем которых является пользователь системы. Здесь частота использования ресурсов отображается посредством цветовых индикаторов (например, серым индикатором закрашивается ресурс, который используется чаще всего).

 

Рисунок 24. Информация по частоте использования данных в SailPoint SecurityIQ

Информация по частоте использования данных в SailPoint SecurityIQ

 

Кроме того в системе предоставляется возможность по сертификации прав доступа, которая позволяет отобразить информацию по доступу к ресурсу (кто имел доступ, как давно, каким образом получил доступ и т.д.). Таким образом, могут отслеживаться данные, с которыми пользователи не работают. Процесс сертификации может быть представлен как в табличном режиме, так и в графическом режиме.

 

Рисунок 25. Процесс сертификации прав доступа в SailPoint SecurityIQ

Процесс сертификации прав доступа в SailPoint SecurityIQ

 

Рисунок 26. Графический режим отображения процесса сертификации доступа с отображения контекстного меню

Графический режим отображения процесса сертификации доступа с отображения контекстного меню

 

Для ресурсов, которые принадлежат пользователю, доступна настройка предупреждений (alerts) по различным действиям с этими ресурсами. Здесь могут настраиваться оповещения о таких действиях, как, например, удаление, перемещение ресурса, изменение прав доступа и т. д.

 

Рисунок 27. Настройка предупреждений (alerts) в SailPoint SecurityIQ

Настройка предупреждений (alerts) в SailPoint SecurityIQ

 

Также пользователю доступна статистика по использованию его ресурсов за выбранный период времени. Кроме того, здесь предоставляется возможность передать или добавить права на владение выбранным ресурсом.

 

Рисунок 28. Статистика по использованию данных в SailPoint SecurityIQ

Статистика по использованию данных в SailPoint SecurityIQ

 

Выводы

Мы познакомились с комплексным решением по управлению и контролю доступа к неструктурированным данным SailPoint SecurityIQ. Рассмотренное решение обладает следующими ключевыми преимуществами:

  • обеспечивает всеобъемлющий поиск, классификацию и мониторинг неструктурированных данных, хранящихся как внутри организации, так и в облаке;
  • с легкостью обеспечивает совместное использование данных с решениями IAM различных поставщиков, включая решение IdentityIQ компании SailPoint для централизованного администрирования и управления всеми приложениями и данными предприятия — как структурированными, так и неструктурированными;
  • SecurityIQ может быть развернут в кратчайшие сроки, с быстрой инсталляцией коннекторов, в соответствии с лучшими практиками в сфере мониторинга и классификации данных, прямо из коробки.

Из явных недостатков в настоящее время можно выделить следующие:

  • отсутствие русскоязычного интерфейса от вендора, только партнерская разработка;
  • в список контролируемых систем не входят ряд распространенных в России систем (так, например, не поддерживаются файловые сервисы от Linux и Mac OS, почтовая система IBM Lotus Notes/Domino, внешние системы хранения информации Яндекс.Диск, Облако@mail.ru);
  • отсутствие у продукта сертификации по требованиям ФСТЭК России (это может являться существенным ограничением при использовании продукта в организациях государственного сектора и во многих частных компаниях).

В целом, решение SailPoint SecurityIQ представляет собой довольно большой набор инструментов по управлению и контролю доступа к информации, расположенной на файловых серверах и сетевых хранилищах, корпоративных и совместных порталах, в ящиках электронной почты и папках облачных сервисов. Решение может являться  хорошей отправной точной для компаний, которые находятся на этапе обсуждения возможности внедрения решения класса  IDM/IAM, а также достойным дополнением к ним.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.