Управление доступом — комплексный подход
Автор
Александр Санин
Современная SSO-система способна полностью управлять аутентификацией и при этом быть абсолютно прозрачной для каждого участника процесса
Первые несколько месяцев 2013 года стали довольно интересными и насыщенными событиями, связанными с переосмыслением процессов управления доступом и аутентификацией.
Началось все с заявлений представителей корпорации Google о том, что работающая много лет схема аутентификации, основанная на паре логин/пароль, полностью себя дискредитировала и уже не отвечает современным требованиям по обеспечению информационной безопасности. Затем последовала активность в СМИ со стороны FIDO Alliance (Fast IDentity Online) на тему назревшего массового перехода потребителей на системы двухфакторной аутентификации.
Кстати, тот же Google подкрепил свои слова началом сотрудничества с компанией, производящей USB-токены, и тестированием системы управления доступом к своим многочисленным сервисам посредством тех самых токенов. А уже в мае Twitter анонсировал собственную систему двухфакторной аутентификации, основанную на одноразовых паролях, присылаемых с помощью СМС-сообщений. Все эти события, безусловно, отражают общемировые тренды — пришло время двухфакторной аутентификации и серьезного перестроения процессов управления доступом! И следующие несколько лет мы, очевидно, будем наблюдать активный переход от привычных всем логинов/паролей к более совершенной и безопасной системе двухфакторной аутентификации.
Давайте обсудим, как должна выглядеть современная система управления доступом к ИТ-ресурсам предприятия. Рассмотрим комплексный подход при построении подобных систем, а также отдельные компоненты, без которых подобная система просто не может быть эффективной.
Компоненты системы управления доступом
Начнем с того, что в широком смысле система управления доступом к ИТ-ресурсам — это совокупность технологий, позволяющих предоставлять и разграничивать доступ к необходимой информации исходя из принципов легитимности пользователя. Соответственно, говорить об эффективности работы подобной системы можно, основываясь на понимании перечня технологий, входящих в ее состав.
На сегодняшний день есть три ключевых класса технологий, применение которых серьезно влияет на эффективность системы управления доступом, — это системы IDM (Identity Management), системы управления инфраструктурой открытых ключей PKI (Public Key Infrastructure) и системы однократной аутентификации SSO (Single Sign-On). Именно об этих компонентах мы и поговорим подробно.
Системы класса IDM, или в более широком смысле, как их часто называют, — IAM (Identity and Access Management) призваны автоматизировать процессы управления учетными записями пользователей в ИТ-системах и приложениях в течение всего их жизненного цикла. Важность и необходимость применения подобной технологии особенно остро ощущается в компаниях с большим количеством пользователей (от 500 человек) и корпоративных информационных систем (от 15 и выше). В таких структурах, как правило, ручное заведение пользователей и предоставление им доступа в информационную систему занимает огромное количество времени. Приходится расширять штат администраторов, увеличивать сроки реакции службы поддержки пользователей и т. п. К тому же ситуацию усугубляет текучка кадров и перемещение сотрудников внутри компании (переход из одного отдела в другой или смена должности и обязанностей). Все это влечет за собой увеличение издержек компании и часто приводит к понижению удобства работы пользователей.
Именно для устранения данных проблем и были созданы системы класса IDM. Базовые функции, выполняемые данной системой, можно описать так: IDM в автоматическом режиме на основе утвержденной матрицы доступа способна создавать учетные записи пользователей во всех необходимых информационных системах, а также на основании ролевой модели предоставлять соответствующие права доступа каждому пользователю. Этот, казалось бы, довольно тривиальный механизм позволяет повысить эффективность работы ИТ- и ИБ-службы в несколько раз. Более того, применение подобной технологии делает сам процесс более прозрачным как для пользователей, так и для ИТ- и ИБ-подразделений, — ведь больше не нужно привлекать к предоставлению доступа каждого отдельного администратора.
Могу привести яркий пример из личного опыта: в одном банке (около 1500 сотрудников) внедрение подобной системы сократило стандартный срок предоставления доступа к информационным системам новому сотруднику с 3-х дней до 4-х часов. Более того, расчеты показали экономию трудозатрат специалистов ИТ-подразделения на уровне 350 человеко-часов в месяц, то есть почти 200 тыс. рублей экономии за тот же период. Безусловно, есть еще масса важных задач, которые позволяет решать IDM-система, но это тема для отдельной большой статьи.
Теперь давайте рассмотрим еще одну чрезвычайно важную компоненту современной системы управления доступом в разрезе двухфакторной аутентификации — управление PKI-инфраструктурой. Так уж исторически сложилось, что двухфакторная аутентификация начала свой путь именно с инфраструктуры открытых ключей. Активное распространение технологий электронной подписи заставили многие компании разворачивать у себя инфраструктуру PKI, выдавать пользователям сертификаты и пары открытых и закрытых ключей. Тогда же появились первые носители ключевой информации — привычные нынче USB-токены и смарт-карты, ведь сертификаты и ключевые пары нужно было где-то надежно хранить. Параллельно начали потихоньку использовать существующую инфраструктуру PKI и для аутентификации в различных информационных системах, а не только в рамках электронной подписи.
В целом это было простым и логичным продолжением. И тут возникла одна серьезная проблема — неконтролируемое перемещение ключевых носителей внутри организации, неконтролируемый срок действия сертификатов, а также частые потери и, как следствие, выдача дубликатов ключей. Все это приводило в трепет службу информационной безопасности предприятия, ведь было совершенно непонятно, кому из сотрудников какой USB-токен выдан, какой сертификат на него записан, каков срок действия данного сертификата и в какие из приложений пользователь может получить доступ. Именно для решения этих задач и появились системы управления PKI-инфраструктурой, которые делали процесс контролируемым и гораздо более удобным.
Современные реалии показывают, что без подобной системы уже не обходится ни одно предприятие, применяющее двухфакторную аутентификацию на основе USB-токенов или смарт-карт. Подобные системы сегодня стали нормой, но и тут есть поле для развития — к примеру, если говорить о России и применении ГОСТ крипто-алгоритмов, то сразу вспоминаются требования ФСБ в части учета лицензий и дистрибутивов СКЗИ (средств криптографической защиты информации). Так вот, некоторые современные системы управления PKI разработаны с учетом указанных требований и позволяют вести учет не только носителей ключевой информации, но и каждого СКЗИ, что существенно облегчает жизнь при проверках регулирующих органов.
Еще одна компонента системы управления доступом, о которой стоит поговорить, — системы однократной аутентификации SSO. К ним у сообщества специалистов по информационной безопасности изначально было двоякое отношение. Ведь суть этой технологии в том, чтобы разрешить сотруднику, однократно авторизованному, например, в домене, получать доступ ко всем своим приложениям без необходимости ввода логина/пароля либо использовать для доступа один и тот же идентификатор и пароль.
Противники подобной технологии со стороны информационной безопасности считали, что подобная система несколько снижает общий уровень информационной безопасности на предприятии. Но, как это часто бывает по прошествии времени, а также под постоянным давлением, обусловленным лавиноподобным ростом информационных систем, скептики сдались. Произошло это довольно быстро, ведь минусы классического управления доступом, при котором у пользователя есть свой логин и пароль в каждое приложение, стали слишком очевидны: сотрудники просто перестали исполнять требования ИБ-службы в части парольных политик и прибегли к простым одинаковым паролям или же попросту наклеивали стикеры со своими паролями на мониторы. И тогда все преимущества SSO сразу стали очевидными.
Современная SSO-система способна полностью управлять аутентификацией и при этом быть абсолютно прозрачной для каждого участника процесса. К примеру, работники могут постоянно использовать некий уникальный ПИН-код от личного токена для доступа в любые свои информационные системы, а SSO будет сама еженедельно перегенерировать пароли в такие системы. И сотрудник даже не узнает пароль, а он может быть любой длины и сложности. Таким образом подобная технология, с одной стороны, позволяет повысить удобство и лояльность пользователей, а с другой — строго соблюдать парольные политики и, более того, свести на нет угрозы подбора паролей за счет их частой перегенерации.
Комплексный подход
Конечно, все описанные выше компоненты системы управления доступом очень важны и нужны. Но на сегодняшний день компаний, применяющих данные технологии одновременно, еще не так много. Хотя общие тренды позитивные и число таких компаний неуклонно растет. Все больше людей понимают плюсы именно комплексного решения стоящих задач.
Минусы «оторванного» развертывания решений подобных классов все чаще приобретают критический характер. Так, применение отдельно стоящего решения для управления PKI-инфраструктурой поможет систематизировать и упорядочить процессы жизненного цикла ключевых носителей в организации, но не позволит нормально контролировать те привилегии и права доступа, которые сотрудник получает, предъявляя свой сертификат. Тут явно нужна интеграция с IDM-решением. Другой пример: при наличии в компании информационных систем, не взаимодействующих со списками отзыва сертификатов, не исключена ситуация, когда пользователь все еще сможет работать с рядом приложений, даже если его сертификат и ключевой носитель будут заблокированы. И решение этой проблемы — интеграция системы для управления PKI-инфраструктурой с SSO-системой. Подобных примеров довольно много, и в общем-то очевидно, что применение только какой-то одной технологии не позволит решить все вопросы управления доступом на предприятии. Тут важен именно комплексный подход.
Выстраиваемая система управления доступом не должна содержать изъянов, влияющих на безопасность, — современная, порой очень агрессивная внешняя среда просто не простит такой ошибки. Кроме того, если обратиться к статистике, более половины случаев несанкционированного доступа к информационным системам стали возможны именно благодаря некорректному построению системы управления доступом. Ведь самый простой вариант обхода системы защиты любой сложности — имитация легитимного пользователя, помните об этом.
Подводя краткие итоги, можно с уверенностью сказать, что современная система управления доступом к информационным ресурсам — многогранна. И единственно верный вариант, ведущий к построению эффективной системы, — комплексный подход, задействующий все современные технологии управления доступом, а именно IDM, управление PKI и SSO. Благо развитие современных систем информационной безопасности уже способно предложить подобные решения, как в рамках единого продукта, так и набора различных компонентов для выполнения еще не реализованных задач. Выбор за вами!
Опубликовано 16.08.2013