четверг, 11 июня 2015 г.

Некоторые аспекты выбора системы IdM

Рано или поздно в компаниях назревает необходимость решения задач управления учётными записями пользователей и разграничения прав доступа к информационным системам. Большое количество пользователей, систем и сервисов, кадровый дефицит просто вынуждают приходить к решениям позволяющим автоматизировать процесс предоставления, разграничения и учёта. Ибо иначе – хаос.

Существующие виды решений в сфере управления учётными записями (ранжированные по мере развития технологий и подходов):

  • User Provisioning (2010)
  • User Administration and Provisioning (2012)
  • Identity Governance and Administration (2013)
  • Identity and Access Management as a Service (облачные) (2014)

Для полноты картины можно привести Magic Quadrant от Gartner:


Gartner Magic Quadrant for User Provisioning


Gartner Magic Quadrant for User Administration and Provisioning
Gartner Magic Quadrant for Identity and Access Management as a Service
 
Gartner Magic Quadrant for Identity Governance and Administration
 

Можно по-разному относиться к Gartner Magic Quadrant, считая их чисто маркетинговыми, но суть и тенденции они отображают.


На сегодняшний день при доступных полноценных технологических решениях (с учётом текущего уровня доверия к облачным решениям) наиболее предпочтительным является выбор Identity Governance and Administration (IGA).

Что такое IGA и почему нужно стремиться к именно сюда?

Новая аббревиатура (IGA) пришла на смену и совместила в себе Identity and Access Governance и User Administration and Provisioning. Всё еще решения относящиеся к данному классу продолжают называть по-старинке IdM, между тем функционально они серьезно "подросли". К классу IGA относятся те продукты, которые совмещают в себе возможность автоматического распространения прав, запрашивать права, управлять паролями, контролировать права пользователей посредством workflow и оценки уровня риска (скоринг), выполнять задачи разделения полномочий (SoD), управлять ролями, агрегировать и анализировать роли из целевых систем (role mining), проводить расследования инцидентов и генерировать отчеты и формировать аналитику.

Решения IGA позволяют смягчать риски, связанные с доступом, и нарушения разделения обязанностей с помощью ориентированных на бизнес функций управления идентификационными данными и комплексного управления жизненным циклом пользователя. Это  позволяет создавать инфраструктуру управления идентификационными данными на основе требований бизнеса, а не процессов ИТ - то есть, объединяя аспекты ИТ, соответствия требованиям и интересов бизнеса. Такой подход способствует упрощению доступа пользователей и разработки ролей, а также оптимизации процессов проверки и сертификации. Все лучшие практики и стандарты имеют именно такую тенденцию.

Итак, в начале 2015 года вышел свежий магический квадрант для решений управления идентификационными данным и правами доступа (Identity Governance and Administration, IGA), в простонародье «next generation IDM», «IDM+». Для решений IGA данный квадрант выпускается только второй раз. Рассмотрим, как изменился рынок IGA с декабря 2013 года:


Лидеры RSA и SailPoint сохранили свои стабильные позиции. Примечательно, что за год в лидеры вырвалась IBM, что прежде всего связывают с покупкой IAM-вендора CrossIdeas. Новый продукт от IBM теперь называется Security Identity Governance и предлагает соответствующий набор функционала для решений класса IGA.

Как видно на рисунке, серьезно потеряли позиции "нишевые игроки" и "провидцы". Для SAP подобное падение прежде всего связано с фокусом исключительно на клиентов с SAP-инфраструктурой, сложностью поддержки и работы с системой. Серьезно пошатнулось положение Hitachi ID Systems, это связано с ИТ-ориентированным подходом, недружественным интерфейсом (текстовое и табличное представление информации), при этом 85% клиентов находятся в северной Америке, хотя решение локализовано на 17 языков.

Компания Dell переместилась из провидцев в претенденты. Продукт Dell One уже переведен на 13 языков (в том числе русский) и пользуется большой популярностью среди компаний в Европе. Основным достоинством решения клиенты признают простоту интеграции и обширный функционал "из коробки". Изменения в позиционировании вендора в квадранте связывают прежде всего с небольшим присутствием на рынке США.

Компания NetIQ (Novell) сохраняет стабильные позиции, при этом всё так же предлагая к своей технологии распространения прав IAM решение от SailPoint в виде OEM-надстройки. Целостный продукт от NetIQ и решение DELL остаются решениями, на которые обращают внимание клиенты неготовые на тяжелые проекты с "лидерами".

За последний год 5 компаний покинули квадрант: CrossIdeas (приобретена IBM), iSM Secu-SYS (немецкий продукт исключительно ориентированный на Германию, Австрию и Швейцарию), Caradigm (применяется исключительно для отрасли здравоохранения), Deep Identity (решение представляет из себя набор из 3-х продуктов, хорошо представлено только в азиатском регионе), e-trust (узконаправленное решение для Бразильского рынка).

При этом появилось 2 новых игрока: Identity Automation (стратегия продвижения нацелена на клиентов из Северной Америки, нехватка партнерской сети по миру, интерфейс только на английском языке) и The Dot Net Factory (американский вендор ориентированный на гибкость интеграции в microsoft-инфраструктуру, предлагает обширный ИТ-функционал).

Как не странно, в категории IGA нет решения Microsoft Forefront Identity Manager (MS FIM). Видимо причина кроется в том, что он пока остаётся в классе User Administration and Provisioning. Но Microsoft понимает, что надо развиваться, и анонсировала серьезные инвестиции в продукт FIM и готовность в 2015 году доводить его до уровня IGA. С учётом появления в 2015 году Microsoft в Gartner Magic Quadrant в категории Identity and Access Management as a Service пока не совсем понятно в по какому пути развития идёт этот вендор. 13 ноября 2014 года произошел ребрендинг продукта, который стал называться Microsoft Identity Manager. Официального релиза MIM пока ещё нет. По отрывочным сведениям релиз намечен на вторую половину 2015 года. Но пока нет информации о том, в каком виде будет новый продукт: развитие старого с возможностью перехода на него с FIM или новый (переписанный или купленный и адаптированный), использование которого сопряжено с усилиями аналогичными с внедрением с нуля. На данный момент официальные комментарии доступны по ссылкам: http://blogs.technet.com/b/server-cloud/archive/2014/04/23/forefront-identity-manager-vnext-roadmap-now-microsoft-identity-manager.aspx , http://blogs.technet.com/b/server-cloud/archive/2013/12/17/important-changes-to-the-forefront-product-line.aspx .

Кто ещё не попал в поле зрения Gartner для технологий IGA:

  • Brainwave. Франзузская компания, предлагающая решение Identity GRC, ориентированное на рисковое управление правами для финансовых организаций Франции и стран бенелюкса;

  • ForgeRock. Опенсорс IDM-решение, которое подходит для очень больших внедрений, требующих автоматизации распространения прав, гибкости и кастомизации;

  • OpenIAM. Одно из самых распространенных опенсорс решений подобного класса в мире, имеет обширный фкнкционал и большое количество коннекторов;

  • Soffid. Испанское опенсорс решение, предлагающее преимущественно IAM функционал и активно применяемое в Европе, Азии и Латинской Америке;
  • Аванпост. Российское молодое решение, ещё не набравшее обороты.
    Тенденции развития технологии IdM (IGA):

  • Управление доступа к данным (DAG). В 2014 году все больше клиентов если не пробовали, то задумывались о необходимости интеграции предоставления и разграничения прав доступа к данным посредством IGA-решений. Ряд вендоров уже в конце года заключили партнерские соглашения с производителями DAG продуктов, чтобы начать полноценную работу над интеграции решений с друг другом; 
  • Контроль привилегированных УЗ (PIM). Одним из направлений развития IGA становится тесная интеграция с PIM/PAM-решениями, которые нацелены на контроль администраторов целевых систем и 3-их лиц, имеющих привилегированные права;
  • Слияние с тематикой риск-менеджмента;
  • Интеграция с другими смежными темами из области управления доступом, такими как SSO и PKI.
  • Информационная безопасность. Появление функционала контроля разделения полномочий и анализа уровня рисков предоставления прав уже серьезно продвинула IGA-проекты в сторону служб ИБ. В скором времени прогнозируется ещё более тесная интеграция, вплоть до решений обеспечивающих защиту от угроз/инсайдеров. Успешные проекты по интеграции IGA с SIEM уже позволяют проводить серьёзную аналитику и выявлять инциденты ИБ в компаниях;
  • Опять же развитие облачные сервисы (IDM as a Service).
    Основными критериями выбора решения IGA является:

  • возможность полноценной интеграции с целевыми системами,
  • возможность выполнять задачи разделения полномочий,
  • возможность агрегировать и анализировать роли из целевых систем,
  • возможность проводить расследования инцидентов,
  • возможность генерировать отчеты и формировать аналитику.

Выбор производиться на основе наиболее подходящего функционала IGA тем задачам, которые ставиться, разнообразию целевых информационных систем организации. Степень необходимости и возможности внедрения зависит от уровня зрелости организации.

Отдельно следует отметить, что дополнительно могут быть ограничения на законодательном уровне, интерпретируя IGA как средства защиты информации. Так, в РБ ОАЦ требует обязательную сертификацию средств защиты информации, а также контроля защищённости. И в перечне технических нормативных правовых актов, взаимосвязанных с техническим регламентом РБ Приказа Оперативно-аналитического центра при Президенте РБ №94 от 17.12.2013 предусмотрен пункт 12 «Иные программные, программно-аппаратные средства защиты информации», который регулятор может интерпретировать неожиданно для внедряющих решение.


В заключение хотелось бы озвучить, по сути, очевидные вопросы, с которыми зачастую можно столкнуться, когда зрелость компании и опыт специалистов не достиг необходимого уровня.

Можно ли производить выбор решения IGA не определяя скоуп проекта (весь список целевых информационных систем)?

Надо ли при выборе определённого решения продумывать, планировать все этапы внедрения, покрывающие весь скоуп?

Целесообразно ли частично внедрять IGA (не весь скоуп)?

Дешевле ли совокупная стоимость владения, беря за основу рекомендации внедрения IdM в схожей, но всё же другой (организационно, технической) корпоративной информационной системы? Сэкономить на начальном внедрении (начало у всех одинаковое), но «поиметь геморрой» дальше?

Надо ли «ввязываться в бой» для обозначения процесса (например, по комплайнс требованиям), но не понимая возможности конечного результата?


Не смотря на очевидность вопросов, существует очень много неопределённости, которую можно преодолеть только детально проанализировав все нюансы проекта.

Да здравствует системный подход!!!

!По мотивам: http://glebovoleg.blogspot.com/2015/01/vibor-idm-resheniya-magicheskii-kvadrat.html и gartner.com








Комментариев нет:

Отправить комментарий