Внедрение систем IdM: эксперты Айдентити Клуба представили лучшие практики защиты инфраструктуры доступа

Компания «Индид», разработчик комплекса решений в области безопасности айдентити, провела очередную встречу Айдентити Клуба. В этот раз ключевая тема экспертной дискуссии была посвящена актуальным вопросам и практическим аспектам внедрения решений класса Identity Management (IdM).

Руководители крупных российских компаний и ведущие специалисты в области информационной безопасности собрались, чтобы обменяться опытом и обсудить эффективные подходы к реализации IdM-проектов. Официальными партнерами встречи стали компании «Индид», Octopus Identity, УЦСБ, Identigy, Avanpost. Среди участников — представители компаний «РУСАЛ», «Северсталь», Lamoda Tech, Газпромбанк и «ВКонтакте». Модератором мероприятия выступил Яков Фишелев, основатель Octopus Identity.

Айдентити Клуб — это уникальная площадка для открытого диалога и популяризации лучших практик обеспечения безопасности айдентити. Мы стремимся обсуждать не теоретические подходы, а реальные кейсы и вызовы, с которыми сталкиваются компании. На встрече экспертов IdM уделяется особое внимание опыту использования Identity Management продуктов, подходам к построению цифрового суверенитета и роли технологий искусственного интеллекта в трансформации IdM-систем. Для нас важно не просто обменяться профессиональным опытом, а вместе искать решения, которые работают здесь и сейчас. Уверен, что подобные мероприятия помогут отрасли двигаться вперед быстрее, осознаннее и технологичнее.

Яков Фишелев, основатель Octopus Identity.

Решения класса IdM — один из элементов комплексного подхода к защите айдентити и важный инструмент организации контролируемого доступа к корпоративным ресурсам. Внедряя методы IdM, компаниям в первую очередь необходимо сделать систему безопасной, удобной и при этом экономически эффективной.

Эксперты отметили: чтобы повысить уровень зрелости процессов управления доступом и упростить взаимодействие с системами IdM, можно применять технологии искусственного интеллекта (ИИ). Использование решений класса IdM в связке с ИИ существенно помогает в работе системным администраторам, офицерам безопасности, инженерам по внедрению. Немалую выгоду получают и конечные пользователи, например линейные руководители и владельцы бизнеса.

Участники также уделили значительное внимание управлению технологическими учетными записями — данными, которые позволяют сервисам проходить аутентификацию в других компонентах ИТ-инфраструктуры предприятия. Обеспечение контроля над такими учетными записями часто выносится за рамки проектов в области Identity Management из-за масштаба задачи — необходимость контроля большого количества аккаунтов во множестве систем делает реализацию сложной, что повышает риски информационной безопасности. 

Еще одной важной темой обсуждения стала сложность применения One Identity Manager — системы управления доступом, относящейся к классам IdM/IAM. За последние годы это решение, разработанное иностранной компанией, завоевало немалую популярность на отечественном рынке. В 2022 г. его поставщик ушел из России, поэтому пользователи One Identity Manager столкнулись с отказом в техподдержке и невозможностью увеличить количество лицензий.

После ухода One Identity с рынка три года назад исчезла и официальная поддержка продукта. Главная проблема — невозможность получить помощь при сбоях в работе текущей версии. В частности, сейчас российские пользователи не могут создать тикет, обратиться с инцидентом. Конечно, есть профильные сообщества и чаты, где можно спросить совета, найти похожие решения. В какой-то степени это помогает, но в целом получить поддержку стало значительно тяжелее.

Другая сложная тема — обновление продукта. В этих условиях перед нами встает ключевой стратегический вопрос: что делать с IdM дальше? Существуют три пути: разрабатывать свое решение, перейти на отечественный поддерживаемый продукт либо и дальше работать с текущей «коробкой», то есть продолжать использовать действующую систему.

Андрей Каганский, начальник отдела внедрения систем IdM/IGA в УЦСБ.

Во время дискуссии участники мероприятия поделились практическим опытом замещения One Identity Manager и рассказали о результатах, которых им удалось достичь в процессе решения этой задачи.

В «Северстали» централизованное управление учетными записями и доступом обеспечивается с помощью продукта One Identity Manager, разработчик которого покинул российский рынок.

Актуальный для многих вопрос: есть ли жизнь после ухода вендора? Сейчас есть, и мы как раз это демонстрируем на примере реализованного нами с партнерами решения. Его функциональность позволяет управлять полным жизненным циклом учетных записей более чем 150 тысяч наших сотрудников. Для автоматизации доступа при проведении кадровых мероприятий мы используем собственные специализированные процедуры, поскольку у нас достаточно строгие требования к информационной безопасности.

Таким образом, большинство процедур, таких как создание учетных записей, блокировка, разблокировка или восстановление доступа, сократилось с двух рабочих дней до двух часов. Предоставление доступа происходит  на основе ролевых моделей, которых сейчас у нас настроено около 3000. Благодаря этому, сотрудники при трудоустройстве в компанию получают доступ к максимальному количеству необходимых ресурсов без создания точечных заявок. Доступы предоставляются через несколько сервисов самообслуживания. В частности, через ИТ-каталог для создания избирательных заявок.

Также мы используем штатный портал One AM (IT-shop), с помощью которого руководители или ответственные сотрудники управляют ролевыми моделями (матрицами) доступа своих подразделений. Ключевой вызов, который сейчас стоит перед нами, – интегрировать One AM со всеми сервисами компании и информационными системами, увеличить охват автоматических доступов, предоставляемых посредством ролевых моделей (матриц), а также обеспечить цифровой суверенитет в части IdM-решения. Последний вызов связан с тем, что долгосрочная перспектива текущего решения остается под вопросом.

Виктор Егоров, руководитель управления эксплуатации АО «Северсталь-инфоком».

Кроме того, эксперты рассказали о проектах, в ходе которых им удалось успешно автоматизировать критически важные для бизнеса функции в текущей в системе IdM. Автоматизация позволила исключить ручной труд, повысить эффективность предоставления доступа и управления им. 

Мы хотим рассказать про реализованный нами в One Identity Manager функционал автоматической синхронизации ролей с системой Microsoft Dynamics 365 и последующей их публикации на веб-портале самообслуживания.

Lamoda — одна из крупнейших онлайн-платформ для шопинга в России и СНГ. В каждой стране, где присутствует компания, действует свое юридическое лицо с соответствующим источником кадров.

С помощью системы IdM мы ежедневно управляем 24 тысячами активных учетных записей. В рамках кадровой работы создаем около 700 и блокируем около 400 учетных записей. На определенном этапе мы столкнулись с проблемой: сотрудники, переезжающие за границу, например из одной страны СНГ в другую, не попадали в корректный кадровый источник. В частности, если специалист из какой-то команды переезжал в другую страну, то его руководителем в системе назначался управленец из этой страны.

В результате нарушался процесс согласования доступа их реальными руководителями. Чтобы решить эту задачу, мы интегрировали все кадровые системы в единый People Hub, обеспечив корректное назначение прав. Кроме того, мы автоматизировали синхронизацию с Microsoft Dynamics 365. Раньше новые роли добавлялись в нашу систему вручную. Теперь коннектор сам находит изменения в Microsoft Dynamics 365, импортирует новые роли в One Identity Manager и публикует их на портале самообслуживания. Таким образом, ручной труд исключен полностью. В планах также автоматизировать все подключенные системы.

Илья Кулешов, руководитель отдела развития ИБ и Павел Кулажко, старший специалист по IdM в Lamoda Tech.

В заключение эксперты обсудили важные вопросы, касающиеся жизненного цикла контейнеров. Они сошлись во мнении, что если автоматизировать его с помощью решений класса IdM, то можно не только снизить нагрузку на службу поддержки, но и помочь разработчикам выполнять свои задачи безопаснее и быстрее.

Ежедневно мы обрабатываем десятки тысяч операций по управлению доступом с помощью нескольких десятков систем, управляемых через коннекторы. Здесь мы добились значительной эффективности, автоматизируя жизненный цикл контейнеров разработки через нашу систему IdM.

Процесс начинается с инициации операции в IdM: система отправляет на сервер TeamCity запрос на создание контейнера или обновление ключей SSH. Система отслеживает статус выполнения по уникальному идентификатору (ID) билда и в случае успеха продолжает процесс, а при ошибке уведомляет ответственных в чате. Генерация нового контейнера занимает 30–35 минут.

Ключевая особенность процесса — предварительная автоматизация SSH-ключей: ключи генерируются при онбординге сотрудников и хранятся в сервисе Keyholder. Система IdM ежедневно проверяет актуальность ключей, при необходимости обновляя их. Для критически важных сценариев, например для отладки в мессенджерах, реализована процедура временного предоставления доступа. При запросе через ИТ-портал система IdM указывает срок действия доступа, а TeamCity запускает в контейнере процесс, автоматически отзывающий права по истечении заданного времени.

После отзыва система дополнительно проверяет отмену доступа, обеспечивая двойной контроль безопасности. Чтобы ускорить предоставление доступа разработчикам, мы создали в TeamCity пул предварительно сгенерированных обезличенных контейнеров. Теперь сотрудник получает доступ за пять минут: при подаче запроса в IT-shop его SSH-ключ автоматически добавляется в свободный контейнер. Для оптимизации ресурсов система IdM ежедневно собирает из TeamCity данные о последней активности контейнеров, анализирует их и автоматически освобождает неиспользуемые экземпляры. 

Максим Егоров, инженер «ВКонтакте».