Что из себя представляет новое для российского рынка семейство решений IdM?

IdM-система, занимающаяся задачей управления учетными записями, организует несколько важных процессов:

1. Создание единой инфраструктуры для управления всеми учетными записями. Этот сегмент включает в себя продукты и решения, которые непосредственно формируют информационное пространство для управления аккаунтами: директории, метадиректории и виртуальные директории. В этом же поле функционируют о бизнес-процессы компании.
2. Централизованное управление аккаунтами и связанными с ними привилегиями. Сюда можно отнести продукты для управления аккаунтами пользователей, их атрибутами и правами, включая создание, удаление, управление ролями, паролями и привилегиями. Эта категория также включает в себя функциональные элементы, как для собственного, так и для делегированного администрирования.

Сочетание этих функций представляет собой стандартное IdM-решение. Следующие две группы относятся к Identity and Access Management (IAM).

1. Контроль доступа к IТ-ресурсам. В него входят решения, которые координируют доступ пользователей к различным приложениям. Сюда можно отнести всевозможные решения для унифицированного доступа к ресурсам посредством одной учетной записи Single Sign-on (SSO) и группировки по уровням доступа (Federation).
2. Аудит доступа и административных активностей. К этому сегменту относятся решения, которые позволяют записывать и контролировать действия аккаунтов с административными привилегиями (так называемый Identity Audit). Сюда же относятся средства аудита и корреляции активностей учетных записей (может использоваться SSO), а также средства аттестации привилегий, которые позволяют проверять корректность выдачи прав отдельным аккаунтам.

До прихода на рынок IdM-решений перечисленный выше список задач решался либо с помощью встроенных в операционную систему и прикладных инструментальных решений, либо организационно.

Что нового присутствует в функционале IdM и IAM? Ведь перечисленные выше задачи можно выполнять и без привлечения IdM?

Управлять учетными записями – это не значит управлять всеми процессами, которые с ними связаны. Представьте себе, что вы руководите выдачей водительских прав – самая наглядная аналогия с учетными данными. Руководство этой организацией не позволит вам управлять механизмами их использования. Не получится контролировать правомерность их использования, возможность их предоставления в качестве удостоверения личности в других органах государственной власти – у вас в руках будет только функционал по управлению базой владельцев удостоверений.

IAM – это дорожно-постовые сотрудники, контролирующие подлинность прав, легитимность их предоставления, правомерность их использования для данного транспортного средства. Это также и механизмы, подтверждающие возможность их использования в качестве удостоверения личности в государственных и коммерческих организациях.

IdM позволяет навести порядок в учетных данных пользователей и информационных системах, вводить правила их предоставления. IAM позволяет задействовать механизмы контроля исполнения этих правил.

Возвращаясь к аналогиям – в сентябре на авиашоу МАКС-2013 в небе находились российские истребители Су-27 и Т-50. Один тип относится к четвертому поколению истребителей, другой – к пятому. Критерии для причисления к той или иной категории – дополнительный функционал. Отсутствуют малозаметность, изменяемый вектор тяги, многоканальная ЭДСУ – речи о пятом поколении быть уже не может. Так и с описываемыми системами – если нет механизмов многофакторной аутентификации, возможности организовать Single Sign-on процессы, то нет речь не об IAM, а только об IdM.

Кому интересны IdM-решения?

В первую очередь – это финансовый сектор. Кредитные организации проявляют четко выраженный интерес к внедрению систем такого класса. За ними идут телекоммуникационные компании и ретейл. Причем если ранее разговоры чаще всего шли об IdM-системах, то сейчас наблюдается рост запросов на более комплексные решения.

Можно описать несколько критериев, по которым можно определить: важно ли для компании внедрять IdM или IAM. Первый из них – количество пользователей. Калькуляторы ROI позволяют четко определить, что возврат затрат на внедрение в организациях с числом сотрудников менее 300 человек может растянуться на долгое время.

Дополнительно накладывается фактор числа информационных систем, эксплуатируемых в компании и разветвленность филиальной структуры.

Финансовая привлекательность инвестиций в IdM напрямую зависит от сложности администрирования инфраструктуры, а она главным образом складывается из перечисленных выше факторов. Как правило, чем сложнее их совокупность, тем больше выгода от использования IdM/IAM-решений.

Также можно отметить то, что внедрение «чистого» IdM позволяет снизить нагрузку на службы администрирования, а появление в компании механизмов IAM позволит улучшить работу пользователей и усилить меры безопасности (SSO, многофакторная аутентификация).

Появление единого программного комплекса, позволяющего автоматизировать упомянутые процессы и значительно снизить ресурсные затраты на обслуживание инфраструктуры, привело к возникновению новой продуктовой ниши на стыке информационной безопасности и управления информационной инфраструктурой. По оценке исследовательской компании Forrester Research (Identity Management Market Forecast: 2007 To 2014), объем рынка IdM в 2012 году оценивался в 10 млрд долл. США, а прогноз на 2014 год составляет уже 12,3 млрд долл. США. Среднегодовой рост этого рынка за последние 8 лет составил более 21%.

Российский рынок можно приблизительно оценить в 1/20 от глобального, не более 500 млн долл. США. Это связано с недоверием, с которым компании относятся к решениям IdM, с различным успехом работающим на западном рынке. Если свериться с квадратом Гартнера, то обнаружится, что множество упомянутых там программных продуктов просто отсутствует в числе предлагаемых российскими интеграторами.

Причиной этого является то, что компании не стремятся внедрять у себя информационные системы, не прошедшие апробацию в российских условиях. Исключение составляют лишь компании с долей участия западного капитала или топ-менеджерами из стран Европы или Америки. Как правило, они стараются использовать в работе те методики и инструменты, с которыми они привыкли работать ранее, а это приводит их к расставлению приоритетов в пользу дебютантов на российском рынке.

Что касается лидеров отрасли и наличия универсального решения, то таковых не наблюдается. Во-первых, это связано с уникальностью каждого серьезного проекта. Во-вторых, причина в том, что индустрия находится в постоянном движении. Год-два назад были популярны инструменты для оптимизации процессов управления инфраструктурой Active Directory. Сейчас наблюдается движение от Enterprise-решений в сторону IdMaaS-сервисов. Причиной сложившейся ситуации стала ориентация на пул решений с постоянным пересмотром его основного состава. Выбор конечного решения зависит от задач, которые стоят перед клиентом. На основании его потребностей и предлагаются те варианты, которые будут максимально эффективными с точки зрения функциональности и затрат.

Насколько дорого – внедрить IdM-систему?

Говорить о четком ценнике на внедрение системы невозможно. Скорее это будет крайне широкая вилка цен с размытой дальней границей. Естественно, все базируется на наборе факторов, которые определяются как постановкой задачи, так и сложностью инфраструктуры.

Объект, с которым работает IdM- или IAM-система, это не учетная запись, как может показаться на первый взгляд, а процесс. Это может быть процесс создания учетных данных, их синхронизации с целевыми информационными системами, процесс согласования предоставления доступа, процесс самого предоставления доступа в систему. И тут крайне важно понимать: необходимо ли менять информационные процессы или достаточно их только автоматизировать.

В случае автоматизации (внедрение снизу) задача внедренцев – заставить IdM выполнять задачи, которые ранее выполняли администраторы. Этот процесс может занять от месяца до трех в зависимости от сложности интеграции с кадровыми и целевыми информационными системами.

В тех же случаях, когда внедрение идет сверху, от информационных процессов, перед непосредственной настройкой комплекса требуется сформировать набор модифицированных правил, процессов, требований, моделей. Все они позволят не только ускорить операции, производящиеся в инфраструктуре заказчика, но и оптимизировать процессы целиком за счет выбора оптимального пути принятия решений. Итогом разработки новых моделей может послужить возможность, например, вдвое сократить число согласований при рассмотрении заявок.

Насколько новые веяния в архитектуре информационных систем влияют на идеологию IAM?

Суть процесса остается неизменной – объединяй и управляй. Набирающие популярность мобильность, BYOD лишь расширяют границы применимости политик, правил и процессов предоставления доступа. При этом они сильно влияют на развитие технологий аутентификации: наблюдается высокий спрос на решения на базе одноразовых паролей, и, возможно, однажды они нацелятся на вытеснение SSO-решений в компаниях численностью до 200–300 пользователей, но это лишь часть IAM-блока. На рынке появляются «облачные» решения, которые предоставляют возможность держать базы учетных записей за пределами компании, во внешнем ЦОД, и это уже серьезное изменение архитектуры IAM. Можно утверждать, что будущее IAM – за сервисной моделью, на внутриорганизационном уровне, либо на базе сервисной аутсорсинговой модели.

Главным препятствиям на пути активного роста данной ниши рынка стала осторожность потенциальных заказчиков и их неосведомленность о потенциальной выгоде внедрения системы. Тем не менее существует набор калькуляторов ROI, с помощью которых можно рассчитать окупаемость затрат на внедрение и поддержку инфраструктуры.

Опасения выражаются и в неготовности передачи ряда процессов и функций, связанных с безопасностью, автоматизированной системе. В пресс-релизах российских компаний чаще всего возникает упоминание о внедрении Microsoft Forefront Identity Manager. Данный продукт успешно вошел в инфраструктуры российских компаний вместе с пакетами Enterprise Agreement и примером своих внедрений вдохновляет других специалистов и директоров на рассмотрения себя в качестве IdM-инструмента. Существует Oracle, есть IBM, но детальной информации об успешных внедрениях на рынке не хватает. И это может быть связано как с нежеланием компаний раскрывать данные о структуре систем информационной безопасности, так и с отсутствием внутреннего ощущения четкой уверенности в ее эффективности. Для принятия решения о переходе на новую модель управления учетными данными некоторым российским компаниям может понадобиться время и возможность лучше изучить предлагаемые рынком IdM-системы.

 По материалам каталога программных решений Softline direct.