08
Управление айдентити и доступом
Система управления айдентити и доступом (Identity Access Management, IAM) включает в себя политики, процессы и технологии, которые позволяют организациям управлять айдентити и контролировать доступ к корпоративным ресурсам
К решениям класса IAM относятся продукты для создания учетных записей пользователей и непрерывного управления их доступом к ресурсам. Благодаря этим решениям соответствующие лица могут своевременно получать доступ к необходимым системам. IAM охватывает управление айдентити, аутентификацию пользователей, авторизацию для доступа к ресурсам и применение политик безопасности.
Количество инцидентов ежегодно растет, злоумышленники придумывают все новые способы кибератак. На этом фоне нормативные требования в области информационной безопасности ужесточаются. Как следствие, значимость IAM для компаний возрастает. Все больше сотрудников работают удаленно и получают доступ к данным компаний с различных устройств и из разных точек, поэтому организациям крайне важно иметь централизованные системы, позволяющие управлять айдентити и контролировать доступ к конфиденциальной информации. IAM помогает компаниям снижать риск утечки данных, строже соблюдать нормативные требования, оптимизировать деятельность в сфере ИТ и лучше защищать айдентити.
В основе IAM лежит создание уникальных айдентити для каждого пользователя в сети организации. Они включают в себя такую информацию, как имя пользователя, пароль, роль или должность, принадлежность к определенному отделу или команде, а также другие атрибуты, определяющие уровень доступа пользователя к различным ресурсам. Прежде чем пользователи получают доступ к конкретным приложениям или данным, решения класса IAM проверяют подлинность их айдентити. Для этого применяются разные средства аутентификации, например пароли, биометрические данные, смарт-карты или токены. Система IAM также включает в себя инструменты, позволяющие отслеживать действия пользователей и выявлять подозрительное поведение в режиме реального времени.
Количество инцидентов ежегодно растет, злоумышленники придумывают все новые способы кибератак. На этом фоне нормативные требования в области информационной безопасности ужесточаются. Как следствие, значимость IAM для компаний возрастает. Все больше сотрудников работают удаленно и получают доступ к данным компаний с различных устройств и из разных точек, поэтому организациям крайне важно иметь централизованные системы, позволяющие управлять айдентити и контролировать доступ к конфиденциальной информации. IAM помогает компаниям снижать риск утечки данных, строже соблюдать нормативные требования, оптимизировать деятельность в сфере ИТ и лучше защищать айдентити.
В основе IAM лежит создание уникальных айдентити для каждого пользователя в сети организации. Они включают в себя такую информацию, как имя пользователя, пароль, роль или должность, принадлежность к определенному отделу или команде, а также другие атрибуты, определяющие уровень доступа пользователя к различным ресурсам. Прежде чем пользователи получают доступ к конкретным приложениям или данным, решения класса IAM проверяют подлинность их айдентити. Для этого применяются разные средства аутентификации, например пароли, биометрические данные, смарт-карты или токены. Система IAM также включает в себя инструменты, позволяющие отслеживать действия пользователей и выявлять подозрительное поведение в режиме реального времени.
01
Почему IAM играет важную роль для организаций?
Управление айдентити и доступом (IAM) — один из важнейших аспектов деятельности любой компании, работающей с конфиденциальными данными. Благодаря решениям класса IAM организации могут быть уверены, что только аутентифицированные лица получают доступ к информации, которая нужна им для выполнения должностных обязанностей. Решения этого класса помогают компаниям контролировать корпоративные данные, снижать риск утечки информации и соблюдать нормативные требования.
Организации, в которых нет надлежащей системы IAM, уязвимы для кибератак, способных повлечь за собой значительные финансовые потери и нанести ущерб репутации. Злоумышленники часто атакуют те организации, где не принимаются эффективные меры безопасности, поэтому компаниям любого масштаба, в какой бы сфере они ни работали, необходимо внедрять решения класса IAM, чтобы обеспечить надежную защиту от несанкционированного доступа.
Кроме того, такие системы упрощают управление учетными записями и разрешениями пользователей на доступ к ИТ-ресурсам. IAM позволяет автоматически выполнять целый ряд задач: создавать учетные записи пользователей, назначать роли, предоставлять разрешения, а при необходимости и отзывать доступ. Это не только экономит время, но и снижает влияние человеческого фактора, поэтому сотрудники получают доступ к необходимым ресурсам без ущерба для безопасности.
Организации, в которых нет надлежащей системы IAM, уязвимы для кибератак, способных повлечь за собой значительные финансовые потери и нанести ущерб репутации. Злоумышленники часто атакуют те организации, где не принимаются эффективные меры безопасности, поэтому компаниям любого масштаба, в какой бы сфере они ни работали, необходимо внедрять решения класса IAM, чтобы обеспечить надежную защиту от несанкционированного доступа.
Кроме того, такие системы упрощают управление учетными записями и разрешениями пользователей на доступ к ИТ-ресурсам. IAM позволяет автоматически выполнять целый ряд задач: создавать учетные записи пользователей, назначать роли, предоставлять разрешения, а при необходимости и отзывать доступ. Это не только экономит время, но и снижает влияние человеческого фактора, поэтому сотрудники получают доступ к необходимым ресурсам без ущерба для безопасности.
02
Принципы IAM
С помощью системы IAM организации могут управлять айдентити пользователей и их доступом к ресурсам. В основе IAM лежит централизованная структура для управления аутентификацией, авторизацией и разрешениями пользователей в различных приложениях и системах. Она позволяет предоставлять пользователям доступ к необходимым ресурсам, обеспечивая при этом безопасность конфиденциальных данных.
Процесс IAM начинается с аутентификации пользователя, когда достоверность его айдентити подтверждается теми или иными vетодами, например с помощью паролей, биометрических данных или смарт-карт. После аутентификации система IAM определяет уровень доступа пользователя в зависимости от его роли в организации. На этом этапе предоставляется или отзывается доступ к конкретным приложениям или данным на основе заранее определенных политик.
Также с помощью решений класса IAM организации могут проводить аудит — анализировать действия пользователей и отслеживать любые признаки подозрительного поведения. Это помогает выявлять потенциальные угрозы безопасности и принимать необходимые меры до того, как будет нанесен ущерб.
Процесс IAM начинается с аутентификации пользователя, когда достоверность его айдентити подтверждается теми или иными vетодами, например с помощью паролей, биометрических данных или смарт-карт. После аутентификации система IAM определяет уровень доступа пользователя в зависимости от его роли в организации. На этом этапе предоставляется или отзывается доступ к конкретным приложениям или данным на основе заранее определенных политик.
Также с помощью решений класса IAM организации могут проводить аудит — анализировать действия пользователей и отслеживать любые признаки подозрительного поведения. Это помогает выявлять потенциальные угрозы безопасности и принимать необходимые меры до того, как будет нанесен ущерб.
03
Компоненты процесса IAM
Управление айдентити
Включает в себя создание уникальных айдентити для пользователей или других субъектов в экосистеме организации и управление ими. Айдентити могут присваиваться сотрудникам, подрядчикам, партнерам или даже определенным системам и приложениям. Каждые айдентити связаны с некоторым набором атрибутов и учетных данных, таких как имена пользователей, пароли и цифровые сертификаты.
Аутентификация
Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации. На текущий момент широко применяется многофакторная аутентификация (Multi-Factor Authentication): чтобы получить доступ к ресурсу, пользователь должен предоставить как минимум два фактора аутентификации. В частности, это может быть информация, известная пользователю (пароль), или нечто находящееся в его распоряжении (средство аутентификации), или его уникальные характеристики (биометрические персональные данные).
Авторизация
Предоставление субъекту прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом. После того как айдентити пользователя созданы и прошли аутентификацию, с помощью системы IAM определяются уровень доступа и разрешения, которые должны быть ему предоставлены. Этот процесс называется авторизацией. Политики авторизации определяют, к каким ресурсам пользователь получает доступ и какие действия он может совершать. Как правило, решения класса IAM обеспечивают тщательный контроль за разрешениями. Благодаря этому организации могут реализовывать принцип минимальных привилегий (Principle of Least Privilege, PoLP), то есть предоставлять пользователям доступ лишь в том объеме, который требуется им для выполнения обязанностей в рамках их ролей.
Обеспечение доступа
Системы IAM обеспечивают контроль доступа, выступая как механизм посредничества между пользователями и ИТ-ресурсами. Они позволяют проверять достоверность учетных данных пользователей для подтверждения того, что запрашиваемый доступ соответствует принятым политикам авторизации. Механизмы обеспечения доступа могут включать разные методы. Один из них — управление доступом на основе ролей (Role Based Access Control, RBAC): права доступа выдаются с учетом заранее определенных ролей. Другой метод — управление доступом на основе атрибутов (Attribute-Based Access Control, ABAC): учитываются различные атрибуты, например местоположение пользователя, время доступа или используемое устройство.
Предоставление и отзыв
Системы IAM также служат для предоставления и отзыва пользовательских учетных записей и привилегий доступа. С их помощью можно своевременно создавать айдентити для новых пользователей, которые приходят в организацию, и предоставлять им необходимые права доступа в зависимости от их ролей. Аналогичным образом, когда сотрудник покидает организацию или получает другую роль, система своевременно аннулирует или меняет его привилегии доступа, чтобы предотвратить несанкционированный доступ.
Надзор за айдентити
Это текущее управление айдентити пользователей и правами доступа, а также контроль за ними. Системы IAM содержат инструменты, позволяющие администраторам отслеживать и анализировать разрешения доступа, выявлять аномалии или нарушения и принимать корректирующие меры. Это помогает поддерживать безопасность среды и соблюдение правил — приводить привилегии доступа в соответствие с политиками организации и нормативными требованиями.
Включает в себя создание уникальных айдентити для пользователей или других субъектов в экосистеме организации и управление ими. Айдентити могут присваиваться сотрудникам, подрядчикам, партнерам или даже определенным системам и приложениям. Каждые айдентити связаны с некоторым набором атрибутов и учетных данных, таких как имена пользователей, пароли и цифровые сертификаты.
Аутентификация
Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации. На текущий момент широко применяется многофакторная аутентификация (Multi-Factor Authentication): чтобы получить доступ к ресурсу, пользователь должен предоставить как минимум два фактора аутентификации. В частности, это может быть информация, известная пользователю (пароль), или нечто находящееся в его распоряжении (средство аутентификации), или его уникальные характеристики (биометрические персональные данные).
Авторизация
Предоставление субъекту прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом. После того как айдентити пользователя созданы и прошли аутентификацию, с помощью системы IAM определяются уровень доступа и разрешения, которые должны быть ему предоставлены. Этот процесс называется авторизацией. Политики авторизации определяют, к каким ресурсам пользователь получает доступ и какие действия он может совершать. Как правило, решения класса IAM обеспечивают тщательный контроль за разрешениями. Благодаря этому организации могут реализовывать принцип минимальных привилегий (Principle of Least Privilege, PoLP), то есть предоставлять пользователям доступ лишь в том объеме, который требуется им для выполнения обязанностей в рамках их ролей.
Обеспечение доступа
Системы IAM обеспечивают контроль доступа, выступая как механизм посредничества между пользователями и ИТ-ресурсами. Они позволяют проверять достоверность учетных данных пользователей для подтверждения того, что запрашиваемый доступ соответствует принятым политикам авторизации. Механизмы обеспечения доступа могут включать разные методы. Один из них — управление доступом на основе ролей (Role Based Access Control, RBAC): права доступа выдаются с учетом заранее определенных ролей. Другой метод — управление доступом на основе атрибутов (Attribute-Based Access Control, ABAC): учитываются различные атрибуты, например местоположение пользователя, время доступа или используемое устройство.
Предоставление и отзыв
Системы IAM также служат для предоставления и отзыва пользовательских учетных записей и привилегий доступа. С их помощью можно своевременно создавать айдентити для новых пользователей, которые приходят в организацию, и предоставлять им необходимые права доступа в зависимости от их ролей. Аналогичным образом, когда сотрудник покидает организацию или получает другую роль, система своевременно аннулирует или меняет его привилегии доступа, чтобы предотвратить несанкционированный доступ.
Надзор за айдентити
Это текущее управление айдентити пользователей и правами доступа, а также контроль за ними. Системы IAM содержат инструменты, позволяющие администраторам отслеживать и анализировать разрешения доступа, выявлять аномалии или нарушения и принимать корректирующие меры. Это помогает поддерживать безопасность среды и соблюдение правил — приводить привилегии доступа в соответствие с политиками организации и нормативными требованиями.
04
В чем разница между управлением айдентити и управлением доступом?
Хотя эти термины часто используют как синонимы, они относятся к разным аспектам Identity Access Management (IAM). IdM — это создание айдентити и управление ими, а Access Management (AM) — это контроль и регулирование прав и разрешений доступа, связанных с этими айдентити. В рамках IdM айдентити создаются и поддерживаются, а в рамках AM на основе этих айдентити обеспечивается управление доступом.
- Направление работы
Управление доступом (AM): контроль за разрешениями на доступ и управление ими
- Действия
Управление доступом (AM): применение политик аутентификации, авторизации и контроля доступа
- Цель
Управление доступом (AM): обеспечение контроля доступа на основе айдентити
- Ключевые компоненты
Управление доступом (AM): механизмы аутентификации, политики контроля доступа
- Обязанности
Управление доступом (AM): обеспечение прав доступа
- Примеры
Управление доступом (AM): управление доступом на основе ролей (RBAC), применение механизмов аутентификации
- Взаимоотношения
Управление доступом (AM): в рамках IAM на основе IdM получают информацию об айдентити
05
IdM — это процесс создания айдентити для физических лиц или других субъектов в экосистеме организации и управление ими
В ходе этого процесса создаются уникальные айдентити, с которыми связываются атрибуты и учетные данные, например имена пользователей, пароли и цифровые сертификаты. IdM включает в себя такие действия, как добавление пользователей в систему и их удаление из нее, а также управление жизненным циклом айдентити.
Основная цель IdM — обеспечить каждому пользователю или иному субъекту четко определенные и уникальные айдентити в корпоративной системе IAM. В рамках IdM формируется основа для контроля доступа и создается база для управления привилегиями и разрешениями пользователей.
В свою очередь, к Access Management (AM) относится контроль за разрешениями на доступ и привилегиями доступа, связанными с айдентити физических лиц или иных субъектов, а также управление этими разрешениями и привилегиями. Основная задача AM – обеспечивать процессы аутентификации и авторизации, чтобы работать с определенными ресурсами либо совершать те или иные действия в системе могли только пользователи с соответствующим уровнем доступа. В ходе аутентификации проверяется подлинность предъявленных айдентити пользователя, а в рамках авторизации определяется, какие ресурсы ему доступны и какие действия он может выполнять. AM включает в себя такие процессы, как выполнение политик контроля доступа, управление доступом на основе ролей (Role Based Access Control, RBAC) и применение принципа минимальных привилегий.
Чтобы проиллюстрировать взаимоотношения между IdM и AM, рассмотрим ситуацию, когда новый сотрудник приходит в организацию. В рамках IdM для него создаются айдентити, то есть присваиваются уникальное имя пользователя и начальный набор учетных данных. Затем запускается процесс AM: определяются права доступа сотрудника в зависимости от его роли и обязанностей в организации. Для AM применяются механизмы аутентификации и политики контроля доступа, чтобы сотрудник мог получать доступ к ресурсам, необходимым для выполнения его рабочих задач, и чтобы при этом соблюдался принцип минимальных привилегий.
Основная цель IdM — обеспечить каждому пользователю или иному субъекту четко определенные и уникальные айдентити в корпоративной системе IAM. В рамках IdM формируется основа для контроля доступа и создается база для управления привилегиями и разрешениями пользователей.
В свою очередь, к Access Management (AM) относится контроль за разрешениями на доступ и привилегиями доступа, связанными с айдентити физических лиц или иных субъектов, а также управление этими разрешениями и привилегиями. Основная задача AM – обеспечивать процессы аутентификации и авторизации, чтобы работать с определенными ресурсами либо совершать те или иные действия в системе могли только пользователи с соответствующим уровнем доступа. В ходе аутентификации проверяется подлинность предъявленных айдентити пользователя, а в рамках авторизации определяется, какие ресурсы ему доступны и какие действия он может выполнять. AM включает в себя такие процессы, как выполнение политик контроля доступа, управление доступом на основе ролей (Role Based Access Control, RBAC) и применение принципа минимальных привилегий.
Чтобы проиллюстрировать взаимоотношения между IdM и AM, рассмотрим ситуацию, когда новый сотрудник приходит в организацию. В рамках IdM для него создаются айдентити, то есть присваиваются уникальное имя пользователя и начальный набор учетных данных. Затем запускается процесс AM: определяются права доступа сотрудника в зависимости от его роли и обязанностей в организации. Для AM применяются механизмы аутентификации и политики контроля доступа, чтобы сотрудник мог получать доступ к ресурсам, необходимым для выполнения его рабочих задач, и чтобы при этом соблюдался принцип минимальных привилегий.