Повышение уровня безопасности при помощи управления идентификацией все еще считается весьма сложным и дорогим подходом. Однако при ближайшем рассмотрении оказывается, что эта технология таит в себе огромные возможности для экономии.
Расширение — благодаря Internet — радиуса действий приводит к тому, что все большее число сотрудников предприятий обращаются к приложениям по стационарным или мобильным сетям, причем иногда им приходится обмениваться и важными деловыми данными. При этом вследствие перехода на сети передачи голоса по IP (Voice over IP, VoIP) увеличивается количество применяемых приложений, поскольку как передача голоса по IP, так и видеоконференц-связь становятся доступны извне и изнутри корпоративной сети. С учетом этой тенденции предприятия все активнее ищут спасения в управлении идентификацией и доступом (Identity and Access Management, IAM), стремясь постоянно контролировать права всех участников коммуникаций и их действия.
Столь же быстро развивается и рынок программного обеспечения для IAM. По прогнозам IDC, к 2009 г. объем рынка составит почти 4 млрд долларов, а ежегодные темпы его роста достигнут 10%. Рынок средств для однократной регистрации (Single Sign-On, SSO), которые являются частью программного обеспечения IAM, будет возрастать даже на 15,9% в год, поскольку на предприятиях предпочитают начинать реализацию проектов IAM с приобретения именно этого модуля, прежде чем взяться за следующие, более дорогие этапы, включая интеграцию каталогов, централизованное управление пользователями и их правами, а также управление ролями.
О положительных перспективах IAM говорит не только насущная потребность в защите все большего радиуса действий со все большим количеством приложений в ядре посредством охватывающего их надежного экрана контроля доступа. Встать на путь централизации политики безопасности и контроля доступа с помощью IAM заставляет желание консолидировать и упростить имеющуюся у предприятия сильно фрагментированную среду обеспечения безопасности, а также воспользоваться возможностями значительной экономии.
SSO КАК ФАКТОР СНИЖЕНИЯ ЗАТРАТ
Как считают в компании Gartner, занимающейся анализом рынка, экономия от применения однократной регистрации может достичь 30%. Это позволит автоматически объединить аутентификацию (вход в сеть) с авторизацией в приложениях в фоновом режиме, не опасаясь того, что пользователь забудет пароль (их количество на достаточно крупных предприятиях нередко превышает уже два десятка), а потенциальный злоумышленник, наоборот, воспользуется им.
Наряду с повышением уровня безопасности указанный подход приводит к уменьшению расходов на службу поддержки: не нужно снова и снова напоминать пользователям забытые пароли или (предположительно) удалять взломанные и вообще создавать их, а ведь на эту затруднительную процедуру персонал службы поддержки до сих пор тратит до 50% своего рабочего времени.
Кроме того, в рамках SSO предлагается использовать микросхемы для радиочастотной идентификации (Radio Frequency Identification, RFID) на удостоверениях компании для организации упрощенной системы доступа, оснащенной дополнительной защитой: идентификатор пользователя и пароль для аутентификации, а в случае необходимости и PIN-код, автоматически передаются по радио в систему SSO, как только их владелец входит в зону действия.
ЦЕНТРАЛИЗОВАННОЕ УПРАВЛЕНИЕ ПОЛЬЗОВАТЕЛЯМИ И ИХ ПРАВАМИ
Аналогичные возможности для экономии — до 30% — в Gartner определяют и для комбинации из таких важнейших компонентов, как интеграция каталогов, централизованное управление пользователями и их правами, а также управление ролями.
В этом случае достигается упрощенное, но всегда последовательное, а значит, требующее меньших забот, рентабельное администрирование всех участников и их прав во внутренней сети, во внешних сетях и в Internet, в том числе и в смысле централизованного стратегического контроля доступа, который можно быстро настроить в соответствии с любыми изменениями (в том числе правовыми), произошедшими как в самой организации, так и на рынке в целом.
До сих пор многим предприятиям, движущимся в направлении IAM, неведомы возможности опосредованной экономии, которые открываются благодаря использованию IAM в качестве средства консолидации в смежных областях обеспечения безопасности. Даже если оно реализуется и не с этой целью, лица, ответст-венные за принятие решений, должны знать об упрощающих эффектах, возникающих в процессе применения централизованной архитектуры IAM, во избежание ошибочного планирования и невыгодных инвестиций. Со стороны производителя можно ожидать лишь частичных пояснений относительно консолидации фрагментированной среды безопасности ИТ вокруг IAM. Часто компании продолжают развивать унаследованные системы безопасности, хотя концептуально они уже не соответствуют представлениям о современной централизованной системе безопасности ИТ, которая в будущем понадобится еще в большей степени, нежели се-годня.
ПОДГОТОВКА ПРОТОКОЛЬНЫХ СЕРВЕРОВ АУТЕНТИФИКАЦИИ И ПРИЛОЖЕНИЙ
Серверы аутентификации, к примеру RADIUS или TACACS+, сегодня выполняют еще и инспекционную проверку доступа пользователей к сети и передают их для авторизации другому серверу — FTP, Telnet, SMTP, POP3, IMAP или HTTP. Однако при этом следует учитывать и разбиение столь сложных инсталляций на части, когда каждая имеет собственный каталог, требующий отдельного управления. Зачем же тогда пользоваться серверными комплексами с такими изощренными средствами управления, которые из соображений постоянной готовности к работе зачастую реализуются избыточными, если модуль IAM с SSO в состоянии взять на себя выполнение обеих задач? Быстро теряет привлекательность и аргумент производителей относительно интеграции учетных функций в протокольные серверы аутентификации и приложений, если сравнить их с перечисленными ниже перспективами возможностей учета в системе IAM:
- идентификационные характеристики для учета в зависимости от пользователя (индивидуальные права) или места возникновения затрат (по ролям) лучше защищены благодаря центральному администрированию и автоматической синхронизации всех задействованных каталогов серверов и приложений;
- расчеты базируются на использовании не только протоколов приложений, но и самих бизнес-приложений;
- составление счета-фактуры за услуги стратегически входит в общую концепцию всеобъемлющего контроля доступа, что важно для широко распространенного внутреннего управления пользованием приложениями по фиксированным подписным ценам;
- при помощи инструментов для аудита и отчетности, интегрированных в IAM, можно четко определить и задокументировать применение пользователями приложений.
Ввиду ярко выраженной тенден-ции движения к IAM особенно осторожно следует относиться к предложениям производителей, пытающихся интегрировать в IAM нестандартные реализации серверов аутентификации и прикладных протоколов посредством собственных архитектур. Дело не только в том, что подобная общая конструкция очень сложна, дорога и затратна, она к тому же подвержена ошибкам и привязывает клиента к производителю: на предприятии, сделавшем выбор в пользу такого промежуточного решения, помимо прочего, не смогут добиться полной амортизации своих инвестиций в аппаратное и программное обеспечение, а также в профессиональную подготовку персонала для обслуживания этого бесперспективного решения.
СКОРОСТЬ МИГРАЦИИ WEB ИМЕЕТ РЕШАЮЩЕЕ ЗНАЧЕНИЕ
Перевод аутентификации и авторизации предприятия и всех его систем на IAM, а точнее, на SSO, нельзя пускать на самотек. Причина в том, что имеющиеся протоколы приложений — FTP, Telnet, POP3, SMTP и IMAP — реализованы для работы со специальными метками аутентификации для серверов RADIUS или TACACS+. Сделать их пригодными для непосредственной аутентификации и авторизации с помощью IAM означало бы массированное и нестандартное вмешательство в отдельные протоколы приложений. Иначе выглядит ситуация в случае использования HTTP и приложений на базе Web: они уже поддерживают непосредственную аутентификацию и авторизацию посредством IAM через портал.
Рисунок 1. Однократная регистрация является важным модулем IAM. |
Специалисты рекомендуют первым делом интегрировать в SSO, а затем в полную систему IAM приложения Web и лишь потом, в зависимости от количества пользователей, подключать клиент-серверные и унаследованные приложения (см. Рисунок 1). Одновременно предприятиям следует отказаться от собственных, требующих больших административных издержек комплексов серверов, предназначенных для аутентификации и прикладных протоколов, в пользу стандарта аутентификации 802.1х. С миграцией классических приложений в Web и систему IAM этот стандарт аутентификации останется, а тем временем постепенно можно будет избавиться от имеющейся реализации серверов аутентификации и прикладных протоколов FTP, Telnet, SMTP, POP3 и IMAP. При интеграции в SSO и систему IAM баз данных SQL, а также таких приложений, не работающие с данными, как IP-телефония и IP-видеоконференции, специальные метки аутентификации из «старого мира» проблем не создадут, поскольку они обходятся без отдельного сервера аутентификации или прикладных протоколов.
ДРУЖНАЯ РАБОТА IAM И VPN
Экономический эффект от консолидации в связи с переходом к IAM ожидается и в области виртуальных частных сетей (Virtual Private Networks, VPN), где движущим фактором также являются высокие темпы миграции к Web. Что касается приложений Web, то для них нужны виртуальные частные сети с протоколом защищенных сокетов (Secure Sockets Layer, SSL) — соответствующий зашифрованный туннель на сеансовом уровне достигает систем назначения. Виртуальные частные сети IPSec, напротив, функционируют на сетевом уровне. Однако до сих пор нет единого мнения по поводу того, что же окажется более перспективным: сеансовые туннели в рамках SSO с непосредственной передачей на авторизацию при помощи языка разметки утверждения безопасности (Security Assertion Markup Language, SAML) или комбинации из устройства SSL-VPN на локальном входе в сеть и SAML на остальном отрезке шифрования.
Знатоки рынка и технологий абсолютно единодушны в том, что с продвижением технологий Web и IAM, акцентирующих внимание на бизнес-приложениях, слишком ограниченные виртуальные частные сети IPSec ожидает скорый конец. Терминирование функциональности VPN на границе локальной сети и ее интеграция во фронтальные системы, например брандмауэры, потеряют в связи с этим свое значение, что немаловажно для новых инвестиций. Аргументами в пользу такой точки зрения становятся не только функциональные, но и экономические причины: базирующиеся на программном обеспечении виртуальные частные сети SSL можно реализовать с меньшими затратами и продавать по более низкой цене, нежели основывающиеся на аппаратном обеспечении решения IPSec-VPN.
Кроме того, в отличие от виртуальных частных сетей IPSec постоянное клиентское программное обеспечение не нужно, а значит, предприятию не придется его ни инсталлировать и конфигурировать, ни администрировать, защищать и обслуживать, применяя неэффективные децентрализованные методы. В случае виртуальных частных сетей SSL необходимая клиентская функциональность динамически загружается на стационарные и мобильные оконечные устройства, например при помощи приложения Java, а по завершении сеанса связи автоматически удаляется, что также представляет собой дополнительный фактор безопасности.
Наконец, использование шифруемого сеансового туннеля в стиле SSL, в свою очередь, также упрощает управление виртуальными частными сетями, экономя средства. Необходимые для этого данные, в частности сертификат аутентификации, информацию об авторизации и ролях, о подразделении и области ответственности, можно централизованно передавать в систему IAM и там же регистрировать, сохранять и удалять по требованию.
МОЩНЫЕ МОБИЛЬНЫЕ SSO РЕГУЛИРУЮТ СОСТОЯНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Система IAM оказывает консолидирующее влияние и на мобильные соединения, хотя отдельные производители, ссылаясь на плохую аутентификацию с паролем, все еще указывают на недостаточную безопасность мобильного доступа с помощью SSO и предлагают множество дорогого дополнительного ПО собственной разработки: для автоматического распознавания устройств, программного обеспечения и его версий, интеллектуальных агентов устройств и локального хранения паролей. Тем временем прогнозируется появление токенов безопасности для карманных компьютеров, КПК и смартфонов, которые сделают множество подобных якобы необходимых программ обеспечения безопасности бесполезными. Благодаря токену безопасности с одноразовым паролем и случайно генерируемым PIN-кодом сильные SSO будут защищены от подслушивания даже в ненадежном Internet-кафе, особенно когда дополнительные механизмы, например ввод букв и цифр при помощи щелчка мышкой на высвечиваемой клавиатуре с произвольным расположением символов, затруднят подсматривание и сделают невозможным оперативное воспроизведение паролей и PIN-кодов, задаваемых в таких условиях.
ЗАКЛЮЧЕНИЕ
Обращение предприятий к управлению идентификацией и доступом открывает для них прибыльные — прямые и косвенные — возможности для экономии за счет продуманной консолидации.
В процессе миграции к технологии Web они могут быстро урегулировать свою среду безопасности ИТ посредством IAM и сократить объемы последующих инвестиций в проектирование, к примеру второго этапа IAM после успешного внедрения SSO.
Однако наряду с уменьшением расходов за счет упрощения инфраструктуры еще важнее то, что IAM впервые дает шанс разобраться со старыми затратными проблемами и получить полный стратегический и технический контроль над своими системами обеспечения безопасности ИТ.
Маркус Греб — старший консультант компании Evidian.
© AWi Verlag
Экономия по-русски
Введение системы централизованного управления доступом пользователей с аутентификацией посредством смарт-карт действительно позволяет сэкономить средства на решении таких традиционно затратных задач, как:
- аутентификация и авторизация участников корпоративной сети и многочисленных приложений;
- управление доступом пользователей корпоративной сети, внешним доступом и доступом пользователей через Web;
- организация и модернизация соединений VPN;
- формирование защищенных соединений с корпоративными ресурсами из не заслуживающей доверия среды (например, из Internet-кафе).
Однако данные Gartner и уж тем более IDC следует оценивать с учетом российских реалий, где процесс осознания роли IAM как одного из приоритетных стратегических факторов корпоративной/ведомственной экономики и культуры находится на начальной стадии. И тем не менее можно уверенно говорить о том, что «лед тронулся»: процесс уже необратим и его признаки все четче прослеживаются в различных отраслях отечественной экономики. Причем, как ни парадоксально, в авангарде преобразований идут два сегмента, некогда противоположных по уровню потребления ИТ.
С одной стороны — представители традиционно ИТ-емких отраслей (банковский сегмент, телекоммуникации, ТЭК). В условиях высокой конкуренции и с ужесточением требований законодательных актов они вынуждены искать пути снижения «непрофильных» затрат, чтобы иметь возможность сосредоточиться на ключевых конкурентных преимуществах, в том числе репутации, напрямую связанной с обеспечением гарантированной защиты информации от любого несанкционированного воздействия или утечки.
С другой — сложные по своей организационной структуре и отраслевому менталитету федеральные ведомства (почтовое, налоговое, пенсионное и др.), деятельность которых предполагает накопление, обработку и долгосрочное хранение лавинообразного объема персональных данных. Как известно, с недавних пор государство стремится активно мотивировать эти учреждения, чтобы они соблюдали международные стандарты. Это ведет к последовательному увеличению числа применяемых приложений с целью обеспечения необходимого уровня оперативности и качества работы.
Для каждого из этих сегментов экономия от перехода на SSO или от использования централизованного управления правами и ограничениями пользователей будет определяться соотношением двух факторов: масштабами уже сделанных инвестиций в средства защиты информации и общим уровнем культуры пользователей в сфере ИБ. Исходя из этого, фактическая экономия при переходе на IAM в корпоративном секторе окажется ниже 30%, так как здесь существуют устоявшиеся традиции соблюдения политики ИТ и регулярно проводятся обновление и повышение уровня защиты информационных ресурсов. А вот в секторе федеральных ведомств имеется реальная возможность выйти на уровень экономии в 30%, поскольку он заведомо обладает очевидными экономическими преимуществами. Но все это возможно лишь при условии качественной, своевременной и последовательной подготовки пользователей ведомственной ИС, для которых внезапный и плохо подготовленный переход на новаторские методы соблюдения ИБ может стать серьезным психологическим препятствием.
Алексей Сабанов — коммерческий директор Aladdin.