Что такое система управления идентификацией и доступом (IAM)?
Узнайте о том, что такое система управления идентификацией и доступом (IAM) и как она обеспечивает безопасность корпоративных данных и ресурсов.
Что такое система IAM и для чего она нужна
Сотрудникам, где бы они ни работали, требуется доступ к ресурсам организации — приложениям, файлам, данным и т. д. Раньше, традиционно, большинство сотрудников работали в офисе, где под защитой брандмауэра находились ресурсы компании. Выполнив локально вход в систему, сотрудники в офисе получали доступ к необходимым ресурсам.
Однако сейчас, когда гибридный режим труда используется чаще, чем когда-либо, сотрудникам необходим безопасный доступ к корпоративным ресурсам не только локально, но и удаленно. И здесь в действие вступает система управления идентификацией и доступом (IAM). ИТ-отделу организации необходимо средство, позволяющее контролировать доступ пользователей к ресурсам, чтобы конфиденциальные данные и функции предоставлялись только тем, кому они действительно нужны для работы.
IAM обеспечивает безопасный доступ к ресурсам компании — базам данных, электронной почте, данным и приложениям, причем доступ предоставляется только проверенным сущностям и в идеале при минимуме помех. Цель использования такой системы — предоставить доступ тем, кому он нужен для выполнения работы, и предотвратить несанкционированный доступ, например, со стороны хакеров.
Безопасный доступ нужен не только сотрудникам, работающим на устройствах, принадлежащих организации. Он также требуется подрядчикам, поставщикам, бизнес-партнерам и пользователям, работающим на собственных устройствах. IAM гарантирует, что каждый, кто имеет на это право, своевременно получит требуемый уровень доступа с надлежащего устройства. По этой причине и еще в связи с ролью, которую она играет в процессе обеспечения корпоративной кибербезопасности, система IAM является жизненно необходимой частью современной ИТ-архитектуры.
С помощью системы IAM организация может быстро и точно проверить личность пользователя и наличие у него необходимых разрешений на работу с затребованным ресурсом при каждой попытке доступа.
Как работает IAM
Предоставление безопасного доступа к ресурсам организации включает два аспекта: управление удостоверениями и управление доступом.
Управление удостоверениями сверяет введенную при попытке доступа информацию со своей базой данных, в которую постоянно заносятся сведения обо всех пользователям, которым следует предоставить доступ. Эта информация должна постоянно обновляться по мере того, как приходят и уходят сотрудники, меняются их роли и проекты и расширяется сфера деятельности организации.
К такого рода информации, которая сохраняется в базе данных управления удостоверениями, относятся имена и должности сотрудников, данные об их руководителях и непосредственных подчиненных, номера мобильных телефонов и личные адреса электронной почты. Сопоставление информации, указанной при входе (имя пользователя и пароль), с удостоверением пользователя в базе данных, называется проверкой подлинности.
Чтобы повысить уровень безопасности, многие организации используют многофакторную проверку подлинности (MFA) для проверки удостоверений пользователей. MFA, которую также называют двусторонней или двухфакторной проверкой подлинности (2FA), обеспечивает более высокий уровень безопасности, чем простой ввод имени пользователя и пароля. Если она задействуется, в процесс входа добавляется еще один шаг, где для подтверждения личности пользователя применяется альтернативный способ проверки, например, по номеру мобильного телефона или личного адреса электронной почты. Система IAM обычно отправляет одноразовый код для альтернативного способа проверки. Пользователь должен ввести этот код на портале входа в течение заданного периода времени.
Управление доступом — это вторая составляющая IAM. Когда система IAM удостоверилась, что пользователь или сущность, которая пытается получить доступ к ресурсу, действительно та, за кого себя выдает, управление доступом проверяет, на какие ресурсы у нее есть разрешения. В большинстве организаций уровень доступа к ресурсам и данным варьируется и зависит от таких факторов, как должность и срок пребывания в ней, допуск к закрытой информации и проект.
Предоставление надлежащего уровня доступа пользователю, прошедшему проверку подлинности, называется авторизацией. Цель использования систем IAM заключается в том, чтобы обеспечить корректную и безопасную проверку подлинности и авторизацию при каждой попытке доступа.
Важность системы IAM для организации
Система IAM — это важный элемент кибербезопасности, она помогает ИТ-отделу организации поддерживать необходимое равновесие: с одной стороны важные данные и ресурсы должны быть защищены от несанкционированного доступа, с другой стороны они должны быть доступны тем, кому это действительно нужно. IAM позволяет настроить средства управления, которые обеспечивают безопасный доступ сотрудникам и устройствам, но лишают посторонних возможности воспользоваться доступом или, как минимум, сильно затрудняют его.
IAM важна еще и потому, что киберпреступники ежечасно совершенствуют свои методы. Такие изощренные атаки, как фишинговые письма, являются одним из самых распространенных методов взлома и нарушения безопасности данных, так как они нацелены на пользователей, у которых уже есть определенный уровень доступа. Без IAM очень трудно контролировать доступ к системам организации. Частота атак и возникновения брешей может возрастать, так как без IAM трудно не только понять, кто получил доступ, но и аннулировать доступ скомпрометированного пользователя.
И хотя идеальных средств защиты, к сожалению, не существует, решения IAM позволяют эффективно предотвращать атаки и сводить к минимуму их влияние. Многие системы IAM оснащены функциями ИИ и в случае появления бреши не запрещают доступ всем поголовно, но оперативно отслеживают и нейтрализуют атаки прежде, чем они перерастут в серьезную проблему.
Преимущества систем IAM
Правильно подобранная система IAM обеспечивает организации множество преимуществ.
Надлежащий уровень доступа авторизованным пользователям
Системы IAM способны создавать и устанавливать обязательные к использованию централизованные правила и права доступа, поэтому с их помощью легче сделать так, чтобы пользователи получали доступ к необходимым ресурсам, но ни в коем случае не получали доступ к конфиденциальной информации, которая им не требуется. Эта технология называется управлением доступом на основе ролей (RBAC). RBAC — это масштабируемое решение, позволяющее предоставлять доступ только пользователям, которым он требуется для выполнения задач в рамках своей роли. Правила назначаются на основе фиксированного набора разрешений или настраиваемых параметров.
Продуктивная работа
Помимо безопасности существует еще два не менее важных аспекта — продуктивность и удобство пользователей. Вы можете загореться идеей реализовать сложную систему безопасности, позволяющую предотвратить появление брешей, однако наличие барьеров, снижающих продуктивность, например, необходимость несколько раз выполнять вход, может отрицательно сказаться на работе пользователе. Средства IAM, такие как единый вход и унифицированные профили пользователей, позволяют предоставить сотрудникам безопасный доступ сразу по нескольким каналам, таким как локальные ресурсы, облачные данные и сторонние приложения, без необходимости несколько раз выполнять вход.
Предотвращение нарушений безопасности данных
Абсолютно неуязвимых систем не бывает, однако применение технологии IAM существенно снижает риск нарушения безопасности данных. Средства IAM, такие как MFA, проверка подлинности без пароля и единый вход, дают пользователям возможность подтверждать свою личность, используя нечто большее, чем просто имя пользователя и пароль, который легко может быть забыт, обнародован или взломан. Дополнительные возможности входа пользователей, предоставляемые решением IAM, позволяют снизить этот риск, так как добавляют к процессу входа дополнительный слой защиты, который не так просто взломать или обойти.
Шифрование данных
Одна из причин эффективности IAM с точки зрения повышения корпоративной безопасности заключается в том, что многие из этих систем предоставляют средства шифрования. Это позволяет защищать конфиденциальные данные при передаче, а с помощью таких функций, как условный доступ, ИТ-администраторы могут задавать условия для доступа, например использование определенного устройства, местоположения или сведений о риске в режиме реального времени. Это означает, что данные будут защищены даже в случае нарушения их безопасности, так как их расшифровка возможна только при соблюдении определенных условий.
Сокращение ручных ИТ-операций
Системы IAM позволяют высвободить время ИТ-специалистов и снизить лежащую на них нагрузку за счет автоматизации задач ИТ-подразделения, таких как помощь пользователям в сбросе паролей, разблокировка учетных записей и слежение за журналами доступа для выявления аномалий. В результате ИТ-отделы могут бросить больше сил на выполнение более важных задач, таких как реализация стратегии Никому не доверяй на всех уровнях организации. IAM является главным звеном модели безопасности "Никому не доверяй", в основе которой лежит принцип явной проверки с предоставлением минимально необходимого уровня доступа и предположение о том, что каждая попытка доступа может быть попыткой взлома.
Оптимизация взаимодействия и эффективности
Чтобы шагать в ногу со временем, организациям необходимо обеспечить удобный процесс взаимодействия между сотрудниками, поставщиками и подрядчиками. С IAM это не проблема, так как эти системы обеспечивают не только безопасное, но удобное и быстрое взаимодействие. ИТ-администраторы могут также создавать автоматизированные рабочие процессы на базе ролей, чтобы ускорить процессы выдачи разрешений при передаче ролей и найме новых сотрудников, что позволяет сэкономить время при адаптации.
IAM и нормативно-правовые стандарты соответствия
Организация, у которой нет системы IAM, должна вручную следить за каждой сущностью, имеющей доступ к корпоративным системам, и за тем, как и когда использовался этот доступ. Из-за этого ручные аудиты превращаются в трудоемкий и времязатратный процесс. Системы IAM автоматизируют этот процесс, в результате чего аудит и подготовка отчетов значительно ускоряется и упрощается. Системы IAM позволяют организациям продемонстрировать во время аудитов, что права на доступ к конфиденциальным данным контролируются надлежащим образом, а ведь это является обязательным требованием в рамках многих договоров и законодательных актов.
Но аудит — лишь один аспект соответствия определенным нормативно-правовым требованиям. Многие законы, нормативы и договоры устанавливают требования по управлению правами доступа и конфиденциальностью, и это тот самый фактор, обеспечить который призваны системы IAM.
Решения IAM позволяют проверять и контролировать удостоверения отслеживать подозрительную активность и докладывать об инцидентах, то есть выполнять все, что требуется для соблюдения требований, таких как идентификация контрагента ("Знай своего клиента"), отслеживание транзакций для создания отчетов о подозрительных действиях и правило "красных флагов". Есть и другие стандарты защиты данных, требующие строгого соответствия требованиям безопасности. Это, в частности, европейский "Общий регламент по защите данных" (GDPR), а также акт о передаче и защите данных учреждений здравоохранения HIPAA и закон Сарбэйнса-Оксли, действующие в США. Внедрение правильно подобранной системы IAM облегчает соблюдение этих требований.
Технологии и средства IAM
Решения IAM интегрируются в различными технологиями и инструментами, обеспечивая безопасную проверку подлинности и авторизацию в масштабах предприятия.
- Язык разметки заявлений системы безопасности (SAML): именно благодаря языку SAML стал возможен единый вход. Если пользователь успешно выполнил вход, SAML уведомляет другие приложения, что пользователь является проверенной сущностью. SAML работает с разными операционными системами и на разных устройствах, что позволяет предоставлять безопасный доступ в рамках самых разных контекстов, и поэтому использовать этот язык очень важно.
- OpenID Connect (OIDC): OIDC позволяет работать с удостоверениями в рамках 0Auth 2.0 — платформы для авторизации. Это средство пересылает маркеры с информацией о пользователи между поставщиком удостоверений и поставщиком услуг. Эти маркеры могут шифроваться. В них содержатся сведения о пользователе — имя, адрес электронной почты, дата рождения или фотография. Службы и приложения могут легко использовать эти маркеры, из-за чего OIDC с успехом используется для проверки подлинности пользователей мобильных игр, социальных сетей и приложений.
- System for Cross-Domain Identity Management (SCIM): SCIM помогает организациям обеспечить стандартизированное управление удостоверениями пользователей, которое можно использовать для различных приложений и решений (поставщиков).
Поставщики предъявляют разные требования к данным удостоверений пользователей, а SCIM позволяет создать для пользователя в средстве IAM удостоверение, которое интегрируется с поставщиком. В результате пользователь получает нужный ему доступ, не создавая отдельную учетную запись.
Внедрение IAM
Системы IAM влияют на каждую службу и каждого пользователям. Поэтому перед их внедрением необходимо тщательное планирование — только так вы сможете обеспечить успешное развертывание решения IAM. Для начала необходимо узнать, сколько у вас пользователей, которым потребуется доступ, и создать список решений, устройств, приложений и служб, используемых организацией. Эти списки помогут сравнить решения IAM и убедиться, что они совместимы с существующей ИТ-структурой организации.
Затем важно наметить роли и ситуации, с которыми придется иметь дело системе IAM. На основе этой схемы будет создана архитектура IAM и разработана соответствующая документация.
Кроме того, при внедрении IAM нужно рассмотреть долговременную стратегию развития решения. По мере роста и расширения потребности организации в отношении системы IAM будут меняться. Упреждающее планирование этих изменений поможет согласовать возможности решения IAM с бизнес-целями и обеспечить длительное, успешное функционирование системы.
Решения IAM
По мере роста потребности в безопасном доступе к ресурсам на различных платформах и устройствах важность использования систем IAM становится все более явной и неоспоримой. Организациям нужен эффективный инструмент корпоративного класса для управления удостоверениями и разрешениями, позволяющий облегчить взаимодействие и повысить продуктивность.
Внедрение решения IAM, способного вписаться в существующую ИТ-экосистему и использовать технологии ИИ, чтобы облегчить задачи ИТ-администраторов по отслеживанию и контролю доступа в рамках всей организации, — идеальный способ улучшить состояние безопасности компании. Чтобы узнать, как решения Майкрософт помогают защитить доступ к любому приложению или ресурсу, обеспечить безопасность каждого удостоверения и проверить его подлинность, предоставить только необходимые права доступа и упростить процесс входа, см. статью о Microsoft Entra и других решениях Microsoft Security.
Подробнее о Microsoft Security
Microsoft Entra
Защита удостоверений и ресурсов благодаря семейству многооблачных решений для идентификации и доступа к сети
Azure Active Directory
Храните удостоверения и данные в безопасности, упростив при этом доступ к ним. Azure AD теперь будет называться Microsoft Entra ID
Управление Microsoft Entra ID
Обеспечьте защиту, мониторинг и аудит доступа к критически важным ресурсам.
Внешние удостоверения Microsoft Entra
Предоставьте пользователям и партнерам безопасный доступ к любым приложениям.
Защита Microsoft Entra ID
Блокируйте захват удостоверений злоумышленниками в режиме реального времени.
Microsoft Security
Получите систему, способную защитить от киберугроз ваш дом, компанию или предприятие.
Вопросы и ответы
-
Управление удостоверениями связано с управлением атрибутами, которые помогают проверить удостоверение пользователя. Эти атрибуты хранятся в базе данных управления удостоверениями. К ним относятся, в частности, имя, должность, назначенное рабочее место, руководитель, непосредственные подчиненные и способ проверки, который система может использовать для подтверждения личности пользователя, например, номер мобильного телефона или личный адрес электронной почты.
Управление доступом определяет, что будет доступно пользователю, который успешно прошел проверку подлинности. Эти средства управления доступом могут зависеть от роли, допуска к закрытой информации, образования или настраиваемых параметров.
-
Управление идентификацией и доступом гарантирует, что корпоративные данные и ресурсы будут доступны только тем пользователям, которые имеют на это право. Это распространенная практика кибербезопасности, которая позволяет ИТ-администраторам ограничить доступ к ресурсам организации, предоставляя его только тем пользователям, которым это действительно нужно.
-
Система управления удостоверениями — это база данных, в которой хранится идентификационная информация людей и устройств, которым требуется доступ к корпоративным данным и ресурсам. Это так называемые атрибуты, например имена пользователей, адреса электронной почты, номера телефонов, сведениях о руководителях и прямых подчиненных, назначенном рабочем месте, образовании и уровне допуска к закрытой информации. Эти атрибуты позволяют убедиться, что пользователь — именно тот, за кого себя выдает. Система управления удостоверениями должна постоянно обновляться, так как сотрудники приходят и уходят, их роли меняются, а проекты начинаются и заканчиваются.
-
Программное обеспечение для управления идентификацией и доступом предоставляет инструменты, с помощью которых организации могут проверять удостоверения пользователей и устройств, которые пытаются выполнить вход, и предоставлять доступ к определенным ресурсам только тем пользователям, у которых есть на это право. Это централизованный способ проверки идентификации, управления доступом и пометки брешей в системе безопасности.
-
IAM — это важнейший компонент облачных вычислений, так как имени пользователя и пароля теперь недостаточно для предотвращения брешей в корпоративной системе безопасности. Пароли можно взломать, узнать или забыть, а компании могут быть такими большими, что отследить и проконтролировать вручную все попытки доступа попросту невозможно. Система IAM позволяет легко поддерживать актуальность атрибутов, предоставлять или ограничивать доступ на основе ролей и помечать аномалии и бреши в системе безопасности.
Следите за новостями Майкрософт