Обзор IdM/IAM-систем на мировом и российском рынке

Обзор IdM/IAM-систем на мировом и российском рынке

В данном обзоре рассматриваются популярные IdM/IAM-системы в контексте мирового и российского рынков. Дается определение базовой терминологии, история возникновения и развития IdM/IAM -систем, приводятся краткие обзоры наиболее популярных решений.

 

 

 

 

 

1. Введение

2. Что такое IdM-системы?

3. Принцип работы IdM-системы

4. Мировой IdM-рынок

5. Российский IdM-рынок

6. Краткий обзор IdM-систем

7. Выводы

 

Введение

Как правило, обслуживание ИТ-инфраструктуры небольших компаний выполняется  малым штатом системных администраторов (в большинстве случаев это может быть и вовсе один сотрудник). Для крупных же компаний управление всей ИТ-инфраструктурой превратилось в сложнейший процесс, в котором участвует несколько подразделений.

Один из самых острых вопросов при наличии большой ИТ-инфраструктуры — как управлять доступом сотрудников (а также сторонних пользователей) к информационным ресурсам компании. В ситуации, когда таких ресурсов много, расположены они в разных информационных системах, имеют различных владельцев, ручное управление доступом представляется очень трудоемким процессом. Это отнимает много времени как административного персонала (кадровые службы, ИТ-службы, ИБ-службы и т. д.), так и конечных пользователей информационных систем, которые критически долго ожидают доступ для выполнения рабочих задач.

Для решения таких проблем на рынке и стали появляться IdM/IAM-решения, призванные оптимизировать затраты компаний на администрирование постоянно развивающейся ИТ-инфраструктуры.

Детальное сравнение самых известных и популярных в России IdM/IAM-систем приведено в отдельной статье «Сравнение систем управления доступом (IdM/IAM) 2015».

 

 

Что такое IdM-системы?

Аббревиатуру IdM (Identity Management) можно расшифровать как «система управления учетными или идентификационными данными». Первоначально системы этого класса именовались именно так и подразумевали под собой управление учетными записями. С развитием функционала IdM-систем стали появляться новые классы решения, включающие в себя более широкий функционал (т. е. они уже не ограничивались только процессом управления учетными записями, а стали способны сами управлять полноценным доступом к информационным системам). К таким решениям относятся IAM-решения (Identity and Access Management), IAG-решения (Identity and Access Governance), IGA-решения (Identity Governance and Administration).

Рынок систем управления доступом в России довольно молодой, потому такие системы имеют популярное и обобщенное на сегодняшний день название — IdM-системы (далее по тексту будет использоваться именно это название). При этом их функционал подразумевает не только управление учетными данными, а также иными идентификационными данными и правами доступа к различным информационным ресурсам.

Основным функционалом IdM-систем является централизованное управление учетными записями, правами на доступ к информационным ресурсам, паролями и другими атрибутами в различных информационных системах, что позволяет автоматизировать процессы управления правами доступа, снизить нагрузку на ИТ-подразделения и обеспечить более высокий уровень информационной безопасности.

 

Принцип работы IdM-системы

Работа IdM-системы выглядит следующим образом: система подключается к различным информационным ресурсам компании посредством коннекторов, и в последующем весь процесс управления учетными данными и правами доступа осуществляется посредством установленной IdM-системы.

Как правило, схема реализуется с помощью следующих компонентов:

  • сервер IdM;
  • база данных IdM;
  • коннекторы (для подключения к конечным информационным системам);
  • консоль администратора;
  • консоль различных групп пользователей.

Входной информацией для IdM-системы служат так называемые доверенные источники, обычно это приложения кадровых служб. Получив информацию от доверенного источника (прием, отпуск, увольнение сотрудника и т. д.), IdM-система вносит изменения в учетные данные в различных информационных системах (создание, блокирование, удаление учетных записей, изменение прав доступа и т. д.). Эти изменения могут вноситься как автоматически, так и в ручном режиме.

Также в IdM-системах реализована возможность организации процесса по запросу изменений в учетных данных пользователей. Такие запросы могут создаваться различными группами пользователей: администраторами, руководителями подразделений, конечными сотрудниками и т. д. Для этих целей в IdM-системе реализован функционал работы с заявками, который предполагает процесс согласования таких изменений всеми заинтересованными сторонами.

Кроме того, в IdM-системах реализован функционал, позволяющий ИБ-службам контролировать управление правами доступа в компании. С этой целью в системе реализованы различные функции по выполнению аудитов, а также поддерживается механизм построения отчетов.

 

Мировой IdM-рынок

Мировой IdM-рынок развивается уже более десяти лет и на смену аббревиатуре IdM пришли такие названия, как IAM-, IAG- и IGA-решения, которые отличаются более широким функционалом. Но системы данного класса все по старинке называют IdM.

Такие решения получили на Западе широкое распространение и пользуются уверенным спросом. Как и в любом сегменте продуктов, здесь не обошлось без поглощений. Постепенно крупные игроки рынка — такие как, например, Oracle — поглотили небольших разработчиков. На сегодняшний день западный рынок IdM-систем выглядит следующим образом (с учетом изменений названия IdM-системы Gartner на сегодняшний день использует в названии своего магического квадранта аббревиатуру IGA):

 

Рисунок 1. Магический квадрант Gartner по IGA-системам, 2014 год

Магический квадрант Gartner по IGA-системам, 2014 год 

 

Российский IdM-рынок

Российский рынок является не таким развитым, как западный. Решения данного класса востребованы в основном крупными компаниями (ИТ-инфраструктура включает более 1000 пользователей, для компании критичны финансовые риски из-за некорректно предоставленного доступа), в том числе из-за их высокой стоимости. Но сейчас в данном направлении наметился прогресс, о чем свидетельствует появление и активное развитие отечественных продуктов.

Российские IdM-системы представляют такие компании, как «Аванпост», «ТрастВерс» и Solar Security. Также достаточно молодым представителем систем данного класса является IdM-система компания 1IDM, построенная на базе открытых платформ (1С: Предприятие, OpenIDM, OpenICF).

Зарубежные IdM-системы, которые получили признание в нашей стране и имеют своих клиентов, представлены компаниями IBM и Oracle. Также в России с недавнего времени появилась компания SailPoint, которая хорошо известна на Западе и является лидером магического квадранта Gartner.

 

Краткий обзор IdM-систем

Аванпост 

«Аванпост»

Компания «Аванпост» является разработчиком систем идентификации и управления доступом к информационным ресурсам предприятия. Компания работает на рынке информационных технологий и информационной безопасности с 2007 года.

Avanpost IDM предназначен для централизованного управления учетными записями и правами доступа пользователей в различных информационных системах, подключаемых к Avanpost IDM посредством коннекторов. Avanpost IDM предоставляет пользователю веб-интерфейс для создания заявок на доступ, согласования доступа, а также иных пользовательских действий.

Преимущества:

  • полная функциональность;
  • небольшие начальные затраты на внедрение;
  • низкая стоимость владения;
  • наличие готовых коннекторов, позволяющих связать IdM-решение с прикладными элементами корпоративной информационной системы организации;
  • возможность разработки дополнительных коннекторов практически к любым информационным системам, использующимся в организации;
  • наличие функционала «виртуальных коннекторов», позволяющего подключить к IdM любую систему, даже не имеющую реальной связи с IdM и подразумевающую исключительно ручное управление;
  • наличие функционала Role mining, позволяющего без дополнительных трат (что называется, «из коробки») существенно упростить создание ролевой матрицы доступа по компании на стадии внедрения;
  • сохранение полной истории изменений прав пользователей и их учетных данных, что позволяет службе безопасности производить оперативное и эффективное расследование инцидентов;
  • возможность расширения без потери качества обслуживания и устойчивости, а также возможность тиражирования на новые информационные системы для централизованного управления доступом к ним;
  • лицензирование осуществляется по количеству пользователей и по количеству коннекторов к информационным системам.

Подробнее с IdM-системой Avanpost IDM можно ознакомиться здесь.

IBM

IBM

IBM Security Identity Manager обеспечивает эффективный контроль идентификационных данных и управление в масштабе предприятия, что способствует росту безопасности и более точному выполнению требований. IBM Security Identity Manager также доступен в виде виртуального устройства, автоматизирует процессы создания, модификации, повторной выдачи и аннулирования полномочий пользователей на протяжении всего жизненного цикла. Продукт обладает интуитивно понятным интерфейсом, который упрощает обработку запросов и помогает менеджерам принимать обоснованные решения, касающиеся прав доступа сотрудников. Кроме того, продукт содержит расширенные возможности составления отчетов и выполнения аналитики для мониторинга прав и действий пользователей.

Преимущества:

  • предоставляет поддержку установленным корпоративным требованиям;
  • обеспечивает возможность управления идентификационными данными, причем основной упор делается на управление функциональными ролями;
  • поддерживает отдельные пользовательские интерфейсы, которые показывают пользователям только те задачи, которые им нужно выполнять, основываясь на их роли пользователя;
  • упрощает и автоматизирует процесс периодической проверки пользователей, учетных записей и прав доступа;
  • поддерживаются отчеты, которые уменьшают время подготовки к аудиту и обеспечивают интегрированное отображение прав доступа и действий по предоставлению доступа к учетным записям для всех управляемых пользователей и систем;
  • имеются статические и динамические роли;
  • есть возможность настройки электронного документооборота по заявкам на получение прав доступа (рабочий поток);
  • два варианта лицензирования: по физическим сотрудникам, имеющим доступ к системе, и безлимитное лицензирование по процессорным мощностям серверов ядра системы.

Подробнее с IdM-системой IBM можно ознакомиться здесь.

Oracle 

Oracle

Oracle Identity Manager (OIM) спроектирован для управления привилегиями доступа пользователей ко всем ресурсам корпорации на протяжении целого жизненного цикла  учетных данных — от приема сотрудника на работу или саморегистрации до увольнения или отказа от сервиса.  OIM представляет собой интегрированную платформу для управления идентификационными данными и корпоративными ролями, а также для аудита и выполнения требований законодательства. Oracle предлагает OIM как в виде отдельного продукта, так и в составе прединтегрированных наборов решений:

  • Identity Governance Suite (IGS) – вместе с системой оптимизации состава ролей на основе анализа фактических данных и средством управления привилегированными учетными записями
  • Identity & Access Management Suite (IAMS) – вместе с системой контроля доступа к корпоративным и федеративным web-ресурсам, средством организации SSO и производительной службой каталогов

Преимущества:

  • позволяет консолидировать ранее фрагментированные учетные данные в едином хранилище;
  • автоматически создает и изменяет учетные данные сотрудников во всех целевых системах на основе данных кадровой системы (прием, увольнение, отпуск, перевод, временное замещение) в соответствии с должностными обязанностями, политиками безопасности и результатами процессов согласования;
  • выявляет неиспользованные учетные записи и несанкционированные изменения прав доступа администраторами целевых систем;
  • делегирует различные функции администрирования, в том числе – периодическую проверку неизбыточности прав;
  • обеспечивает регистрацию мобильных устройств для корпоративного использования, управление каталогом мобильных приложений и правами пользователей по использованию мобильных приложений и данных (включая политики DLP)
  • использует промышленный сервис согласования заявок любого уровня сложности, «песочницу» для внесения изменений в Web-интерфейс «на лету», удобный сервис самообслуживания (например, Корзину Покупателя при выборе требуемых ресурсов);
  • позволяет предоставлять оперативные и архивные данные аудита прав доступа сотрудников и истории принятия решений о предоставлении доступа к целевым системам;
  • позволяет снизить нагрузки на администраторов целевых систем;
  • лицензирование сервера осуществляется по пользователям или по процессорам, коннекторов — по типам, сервер OIM лицензируется отдельно либо в составе IAMS или IGS.

Подробнее с IdM-системой Oracle можно ознакомиться здесь.

 

SailPoint

SailPoint

Компания SailPoint является крупным американским представителем и сравнительно недавно появилась на российском рынке.

SailPoint IdentityIQ — это единое решение по управлению учетными записями и пользовательским доступом для осуществления централизованного управления жизненным циклом учетных записей пользователей и их правами доступа к информационным ресурсам организации на основе ролевых моделей, политик и правил. Продукт также реализует управление и контроль прав доступа (аттестация и сертификация) на предмет соответствия корпоративной модели безопасности.

Преимущества:

  • удобный пользовательский интерфейс (с возможностью индивидуальной настройки, отсутствует русскоязычный интерфейс);
  • достаточно широкий набор функций, присущий IdM-системам;
  • автоматизированная политика управления учетными данными и правами доступа;
  • реализован портал самообслуживания;
  • есть анализ рисков, связанных с предоставлением прав доступа;
  • поддерживается единая точка авторизации пользователей бизнес-приложений с любого устройства, в любое время, управление мобильными приложениями и данными;
  • поддерживается управление доступом как к приложениям, установленным локально, так и к облачным средам;
  • централизованное хранение данных по учетным записям, а также возможность определения единых политик, ролей и рисковой модели для управления пользователями и ресурсами;
  • предоставляет полностью интегрированное, унифицированное решение, расширяющее возможности управления правами доступа, позволяющее пользователям легко разворачивать, обслуживать, а также использовать систему;
  • большая часть функционала настраивается непосредственно через графический интерфейс;
  • возможность масштабирования в соответствии с увеличением количества пользователей, покрытия приложений и добавления новых бизнес-единиц.

Подробнее с IdM-системой SailPoint можно ознакомиться здесь.

 

Solar Security 

Solar Security

Компания Solar Security основана компанией «Инфосистемы Джет» в 2015 году. Представленная ими IdM-система Solar inRights является продолжением продукта Jet inView Identity Manager.

Solar inRights — это система IdM, которая создана по опыту внедрения IdM в крупных российских компаниях. В основу Solar inRights положен большой опыт доработки западных IdM-решений под требования российских пользователей IdM. Основной отличительной чертой Solar inRights является красивый и удобный пользовательский интерфейс, который разработан по заказу Solar Security одной из лучших компаний в области юзабилити. Solar inRights быстро внедряется, учитывает множество требований российских компаний, может настраиваться под нетиповые требования и поддерживает шаблоны конфигурации. Уникальной особенностью Solar inRights является возможность обновления без потери доработок, которая обеспечивается специальным механизмом расширений и позволяет всегда иметь самую последнюю версию продукта и сохранять поддержку производителя.

Преимущества:

  • красивый, удобный веб-интерфейс;
  • небольшой срок внедрения, в большинстве случаев продукт используется без существенных доработок;
  • настраивается под нетиповые требования там, где это требуется;
  • обновляется без потери доработок;
  • поддерживает управление учетными записями, правами доступа, группами, ролями, оргструктурой и т. д.;
  • интегрируется с распространенными кадровыми системами: 1C, Босс-Кадровик, SAP HCM и др.;
  • интегрируется с популярными информационными системами ERP, CRM, АБС, СУБД, LDAP, порталами, системами электронной почты и др.;
  • может использовать встроенную систему создания и согласования заявок или внешнюю систему управления заявками (ITSM, СЭД);
  • функционирует как на базе коммерческого, так и на базе открытого программного обеспечения (ОС, СУБД);
  • простая схема лицензирования — оно осуществляется по количеству штатных работающих сотрудников.

Подробнее с IdM-системой inRights можно ознакомиться здесь.

 Также можно посмотреть подробный Обзор Solar inRights.

 

ТрастВерс

 «ТрастВерс»

Компания «ТрастВерс» является независимым разработчиком автоматизированных средств управления доступом и защиты информации. Флагманский продукт компании — КУБ — представляет собой сертифицированное решение для автоматизации процесса управления учетными записями и правами доступа при эксплуатации автоматизированных систем  различного назначения и любого уровня сложности.

Управление должностными правами доступа происходит в автоматическом режиме на основе кадровых операций: приема на работу, увольнения, смены должности и т. д. Дополнительные права доступа могут быть запрошены сотрудниками через веб-интерфейс самообслуживания путем создания заявки на доступ. После ее согласования с ответственным сотрудником (руководителем или сотрудником ИБ) система автоматически произведет изменения в целевых системах, подключенных посредством коннекторов. Также продукт обеспечивает непрерывный контроль состояния прав доступа в целевых системах для выявления несанкционированных изменений с последующим оповещением о них и возможностью их отмены в случае необходимости.

Преимущества:

  • автоматизация и координация между основными бизнес-процессами и управлением правами и полномочиями;
  • формализация политики информационной безопасности, четкое определение субъектов и объектов ИБ, а также зон ответственности;
  • разграничение прав и обязанностей администраторов информационных систем и администраторов ИБ, участвующих в процессе управления доступом;
  • унификация и оптимизация процесса согласования и управления правами и полномочиями пользователей;
  • автоматическое ведение полной истории изменений прав доступа;
  • расследование инцидентов информационной безопасности;
  • предоставление требуемой информации в формате, адаптированном для сотрудников различных уровней ответственности и направлений деятельности;
  • контроль несанкционированных изменений прав и полномочий пользователей;
  • возможность расширения функциональности и интеграции с внешними системами.

Подробнее с IdM-системой КУБ можно ознакомиться здесь.

Также можно посмотреть подробный Обзор IDM-системы КУБ.

 

Выводы

IdM-система — это решение, которое оптимизирует время и затраты ИТ-служб, дает возможность контролировать права доступа и их изменения во всей компании. Для бизнеса IdM-система экономит средства за счет минимизации простоя сотрудников в процессе согласования и выдачи различных прав доступа.

Учитывая то развитие, которое получили IdM-системы в нашей стране, можно сказать, что рынок еще очень молодой, но стремительно эволюционирует, и все чаще IdM-системы становятся неотъемлемой частью ИТ-инфраструктуры крупных компаний.

Полезные ссылки: 

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любых продуктов или сервисов по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.