02
Инфраструктура айдентити
Под инфраструктурой айдентити понимают системы и процессы, которые используются в организации для управления каталогом, аутентификационными и идентификационными данными, доступом, а также аутентификацией.
Чтобы вести деятельность и взаимодействовать с клиентами, компании все шире применяют современные технологии, поэтому сегодня им крайне важно иметь возможность верифицировать айдентити и контролировать доступ к данным и приложениям. Инфраструктура айдентити защищает конфиденциальные данныетак, чтобы доступ к ним могли получать лишь авторизованные лица и чтобы параметры этого доступа в точности соответствовали их конкретным потребностям и привилегиям.
Системы управления позволяют создавать, хранить и обслуживать айдентити. В них содержатся профили с такими атрибутами, как имена, адреса электронной почты, пароли и права доступа. В процессе аутентификации устанавливается подлинность субъектов доступа путем проверки их учетных данных, например имен и паролей, ключей безопасности или биометрических характеристик. А политики доступа определяют, кто может получать доступ к тем или иным ресурсам.
В эффективной инфраструктуре айдентити эти элементы работают в комплексе, обеспечивая безопасный и бесшовный доступ к данным и приложениям. Для проверки подлинности пользователей применяются удобные инструменты многофакторной аутентификации. Доступ предоставляется по принципу минимальных привилегий: при входе обеспечивается лишь минимально необходимый уровень доступа. А по мере того как роли и обязанности изменяются, система управления айдентити создает, модифицирует и удаляет права доступа, тем самым повышая уровень защиты айдентити в организации.
Системы управления позволяют создавать, хранить и обслуживать айдентити. В них содержатся профили с такими атрибутами, как имена, адреса электронной почты, пароли и права доступа. В процессе аутентификации устанавливается подлинность субъектов доступа путем проверки их учетных данных, например имен и паролей, ключей безопасности или биометрических характеристик. А политики доступа определяют, кто может получать доступ к тем или иным ресурсам.
В эффективной инфраструктуре айдентити эти элементы работают в комплексе, обеспечивая безопасный и бесшовный доступ к данным и приложениям. Для проверки подлинности пользователей применяются удобные инструменты многофакторной аутентификации. Доступ предоставляется по принципу минимальных привилегий: при входе обеспечивается лишь минимально необходимый уровень доступа. А по мере того как роли и обязанности изменяются, система управления айдентити создает, модифицирует и удаляет права доступа, тем самым повышая уровень защиты айдентити в организации.
01
Роль инфраструктуры айдентити в обеспечении кибербезопасности
Инфраструктура айдентити — это следующий шаг в развитии традиционных систем управления айдентити и доступом (IAM), которые работают с внутренними пользователями и ресурсами. Также она охватывает внешних пользователей (клиентов), получающих доступ к мобильным и веб-приложениям, — служит для управления их айдентити и доступом (Customer Identity and Access Management, CIAM).
Инфраструктура айдентити крайне важна для кибербезопасности. Она служит основой для безопасного доступа к ИТ-ресурсам, позволяя организациям идентифицировать пользователей, контролировать доступ и отслеживать их активность. Без правильно реализованной инфраструктуры айдентити организации не могут безопасно внедрять новые технологии, например облачные сервисы, мобильные и веб-приложения.
Современная инфраструктура айдентити должна поддерживать широкий спектр методов аутентификации и федеративных протоколов, чтобы обеспечивать возможность единого входа в сложных ИТ-средах, которые включают в себя локальные и облачные ресурсы, а также предполагают работу с внешними партнерами и клиентами.
Современная инфраструктура айдентити должна поддерживать широкий спектр методов аутентификации и федеративных протоколов, чтобы обеспечивать возможность единого входа в сложных ИТ-средах, которые включают в себя локальные и облачные ресурсы, а также предполагают работу с внешними партнерами и клиентами.
02
Предпосылки к появлению концепции фабрики айдентити (Identity Fabric)
Концепция фабрики айдентити (Identity Fabric) представляет собой более комплексный, целостный подход к управлению айдентити в масштабе всей организации и охватывает различные сервисы и решения, связанные с айдентити, обеспечивая единообразный и согласованный порядок работы с ними на всех платформах и во всех средах.
Идея концепции строится на том, чтобы связать различные технологии, относящиеся к айдентити (аутентификацию, авторизацию, управление пользователями и т. п.), в цельную, масштабируемую и гибкую систему. При таком подходе улучшается пользовательский опыт, упрощается управление и повышается уровень безопасности.
Идея концепции строится на том, чтобы связать различные технологии, относящиеся к айдентити (аутентификацию, авторизацию, управление пользователями и т. п.), в цельную, масштабируемую и гибкую систему. При таком подходе улучшается пользовательский опыт, упрощается управление и повышается уровень безопасности.
03
Роль сегментации айдентити в рамках фабрики айдентити
Сегментация айдентити — это одна из стратегий (методик) в рамках более широкой концепции фабрики айдентити. Она предполагает разделение доступа и айдентити пользователей на несколько сегментов с целью усилить защиту и ограничить возможные риски кибератак. Благодаря сегментации айдентити организация может сделать так, чтобы у пользователей был доступ только к тем ресурсам, которые нужны им для выполнения конкретных задач. Тем самым вероятность несанкционированного доступа к конфиденциальным данным сводится к минимуму.
В контексте фабрики айдентити сегментация становится неотъемлемой частью общей стратегии управления айдентити. Она отвечает цели фабрики — предоставлять безопасные, эффективные и управляемые решения для работы с айдентити.
В контексте фабрики айдентити сегментация становится неотъемлемой частью общей стратегии управления айдентити. Она отвечает цели фабрики — предоставлять безопасные, эффективные и управляемые решения для работы с айдентити.
04
Компоненты инфраструктуры айдентити
Инфраструктура айдентити — это совокупность интегрированных компонентов, которые формируют айдентити и обеспечивают надзор за ними. К таким компонентам относятся аутентификация, авторизация, администрирование и аудит. Они работают в комплексе, обеспечивая безопасный доступ к ресурсам.
Аутентификация
Согласно ГОСТ 58833-2020, аутентификация представляет собой «действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации». Сегодня широко применяется многофакторная аутентификация (Multi-Factor Authentication, MFA): чтобы получить доступ к ресурсу, пользователь должен предоставить как минимум два фактора аутентификации. Это может быть или информация, известная пользователю (пароль), или нечто находящееся в его распоряжении (средство аутентификации), или его уникальные характеристики (биометрические персональные данные).
Авторизация
Согласно ГОСТ 58833-2020, авторизация — это «предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом». В ходе авторизации определяется, что разрешается делать пользователю, прошедшему аутентификацию. На этом этапе устанавливаются и применяются разрешения и механизмы контроля доступа, которые зависят от роли пользователя в организации. В настоящее время широко распространено управление доступом на основе ролей (Role-BasedAccess Control, RBAC): разрешения выдаются с учетом ролей, чтобы у пользователей были те минимальные возможности доступа, которые нужны им для выполнения служебных обязанностей.
Согласно ГОСТ 58833-2020, аутентификация представляет собой «действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации». Сегодня широко применяется многофакторная аутентификация (Multi-Factor Authentication, MFA): чтобы получить доступ к ресурсу, пользователь должен предоставить как минимум два фактора аутентификации. Это может быть или информация, известная пользователю (пароль), или нечто находящееся в его распоряжении (средство аутентификации), или его уникальные характеристики (биометрические персональные данные).
Авторизация
Согласно ГОСТ 58833-2020, авторизация — это «предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом». В ходе авторизации определяется, что разрешается делать пользователю, прошедшему аутентификацию. На этом этапе устанавливаются и применяются разрешения и механизмы контроля доступа, которые зависят от роли пользователя в организации. В настоящее время широко распространено управление доступом на основе ролей (Role-BasedAccess Control, RBAC): разрешения выдаются с учетом ролей, чтобы у пользователей были те минимальные возможности доступа, которые нужны им для выполнения служебных обязанностей.
Администрирование
Администрирование — это управление жизненным циклом цифровых айдентити, в частности создание, обновление и отзыв учетных записей. Администраторы контролируют хранилища айдентити, устанавливают парольные политики, включают механизмы многофакторной аутентификации и т. д. Надлежащее администрирование — одно из важнейших условий поддержания безопасности и соблюдения нормативных требований.
Аудит
В рамках аудита отслеживаются основные события, связанные с айдентити и доступом. При этом регистрируются такие действия, как вход в систему, изменение привилегий, запрос на доступ к ресурсу. Аудит дает ясную картину того, как используются айдентити и доступ, чтобы можно было выявлять и решать проблемы. В ходе аудита следует четко проверять все события, руководствуясь концепцией нулевого доверия (Zero Trust).
Работая в комплексе, эти компоненты формируют надежную инфраструктуру айдентити, в которой соблюдается принцип нулевого доверия. Они обеспечивают многофакторную аутентификацию, предоставление минимально необходимого уровня доступа в ходе авторизации, надлежащее администрирование и непрерывный аудит. Прочная основа для работы с айдентити гарантирует защиту доступа в современных цифровых экосистемах, открывая возможности для безопасного сотрудничества и сетевого взаимодействия.
Администрирование — это управление жизненным циклом цифровых айдентити, в частности создание, обновление и отзыв учетных записей. Администраторы контролируют хранилища айдентити, устанавливают парольные политики, включают механизмы многофакторной аутентификации и т. д. Надлежащее администрирование — одно из важнейших условий поддержания безопасности и соблюдения нормативных требований.
Аудит
В рамках аудита отслеживаются основные события, связанные с айдентити и доступом. При этом регистрируются такие действия, как вход в систему, изменение привилегий, запрос на доступ к ресурсу. Аудит дает ясную картину того, как используются айдентити и доступ, чтобы можно было выявлять и решать проблемы. В ходе аудита следует четко проверять все события, руководствуясь концепцией нулевого доверия (Zero Trust).
Работая в комплексе, эти компоненты формируют надежную инфраструктуру айдентити, в которой соблюдается принцип нулевого доверия. Они обеспечивают многофакторную аутентификацию, предоставление минимально необходимого уровня доступа в ходе авторизации, надлежащее администрирование и непрерывный аудит. Прочная основа для работы с айдентити гарантирует защиту доступа в современных цифровых экосистемах, открывая возможности для безопасного сотрудничества и сетевого взаимодействия.
05
Выводы
Все больше сервисов и приложений переносятся на облачные платформы, а в организациях все шире распространяется модель удаленной работы. В этих условиях инфраструктура айдентити помогает добиться того, чтобы доступ к необходимым системам и данным был только у авторизованных пользователей. Если эта задача решается должным образом, то производительность труда возрастает, совместная работа выполняется лучше, а риски кибератак снижаются. Если же инфраструктура айдентити внедрена некорректно, то могут возникать уязвимости, которые активно эксплуатируют злоумышленники. Руководители служб ИТ и ИБ должны включить развитие инфраструктуры айдентити в число своих главных задач, тщательно изучить ее компоненты и передовые методы применения, а также инвестировать в надежные решения, которые обеспечивают безопасную аутентификацию и авторизацию пользователей.