Что такое управление доступом и идентификационными данными? Руководство по управлению доступом и идентификационными данными

Согласно компании Gartner, управление доступом и идентификационными данными — это ИТ-дисциплина, которая позволяет соответствующим пользователям или устройствам получать доступ к нужным ресурсам в нужное время и по обоснованным причинам. Термин «ресурсы» означает приложения, сети, инфраструктуру и данные.

Кроме того, IAM — это система политик и технологий, которая защищает вашу организацию от внутренних и внешних угроз. Другими словами, IAM упрощает доступ пользователей, одновременно предотвращая инциденты кибербезопасности, такие как утечки данных и инсайдерские атаки.

Система IAM направлена на создание и поддержание «цифровых идентификационных данных». Если вкратце, то цифровые идентификационные данные — это представление человека, организации, устройства, приложения или другого объекта в интернете. Они включают в себя атрибуты, которые связаны только с указанным объектом, что позволяет компьютерным системам и службам проверять подлинность.

Возможно, самый простой пример цифровых идентификационных данных — это сочетание имени пользователя и пароля. Например, когда вы создаете учетную запись на веб-сайте или платформе, то обычно выбираете имя пользователя (которое служит вашим уникальным идентификатором) и пароль (который служит средством аутентификации). Это сочетание создает ваши идентификационные данные пользователя на этой конкретной платформе.

Однако после их создания организация, которая выдает цифровые идентификационные данные, также должна управлять ими или, другими словами, обеспечивать их защиту от несанкционированного доступа. Злоумышленники, взламывающие учетные записи пользователей, могут злоупотреблять их правами доступа, красть конфиденциальную информацию и заражать инфраструктуру вредоносными программами, вирусами и т. п.

Вот почему решения по IAM упрощают управление идентификационными данными с помощью надежных механизмов контроля и других мер безопасности, позволяя уменьшать потенциальные угрозы даже после первоначальной аутентификации.

Вариант использования: IAM для потребителей

Многие организации используют систему IAM для проверки потребителей во время цифровой адаптации. Например, клиент банка может подать заявку на открытие нового текущего счета онлайн или через мобильное приложение.

Благодаря системе IAM, работающей в любое время и в любом месте, банк может гарантированно подтвердить идентификационные данные заявителя, обеспечив при этом безопасный доступ к своим услугам, — и все это без необходимости личного посещения. Когда клиент хочет получить доступ к приложению или своей учетной записи, система проверяет пользователя и надежность его устройства, что происходит всего за несколько секунд.

Вариант использования: IAM для рабочих мест

Хотя некоторые компании и возвращаются в офис, гибридная работа никуда не денется. Согласно опросу, проведенному Институтом Гэллапа, в США только 21 % сотрудников, занимающих должности с возможностью удаленной работы, работают исключительно на месте. Для сравнения: 52 % сотрудников работают по гибридной модели и 27 % — исключительно удаленно.

Какой вывод из этого следует? Компании выпускают больше цифровых идентификационных данных, чем когда-либо прежде. Управлять таким большим объемом данных сотрудников, работающих на условиях полной занятости, подрядчиков и потребителей, непросто. К счастью, решения по IAM могут помочь.

Ведущие системы могут обеспечивать физический и логический доступ к зданиям, повышая безопасность очных сотрудников. Конечно, они также предлагают безопасный доступ к виртуальным защищенным сетям (VPN) и приложениям «программное обеспечение как услуга» (SaaS), тем самым защищая распределенную рабочую силу. Кроме того, они могут контролировать права доступа подрядчиков в реальном времени, постоянно отслеживая поведение пользователей, чтобы выявлять подозрительную активность.

Вариант использования: IAM для граждан

В государственном секторе часто используют IAM для цифровой аутентификации граждан. Например, инструмент для IAM может помогать государственным учреждениям выдавать паспорта, удостоверения личности государственного образца и водительские удостоверения, управлять ими и проверять их. Кроме того, он предоставляет гражданам безопасный доступ к основным государственным услугам и платформам, таким как программы образования, здравоохранения и льгот.

Аналогичным образом IAM облегчает международные поездки с помощью мобильных идентификационных учетных данных и киосков самообслуживания в аэропортах. Цифровые идентификационные данные граждан также могут обеспечивать безопасные транзакции, связывая цифровые идентификационные данные с гражданином с помощью защищенных сертификатов инфраструктуры открытых ключей (PKI).

Организации всегда знали, что контроль доступа — неотъемлемая составляющая кибербезопасности. Однако теперь, учитывая сложность и взаимосвязанность развивающейся ИТ-среды, все больше организаций осознают, что идентификационные данные — это компонент, который требует пристального внимания.

Если вкратце, то цифровая трансформация ускорилась во время пандемии COVID-19. Некоторые организации выполнили работу, рассчитанную на несколько лет. С появлением многооблачных сред, искусственного интеллекта (ИИ), автоматизации и удаленной работы предприятия начали предоставлять доступ большему количеству типов объектов во все более распределенной среде. Попросту говоря, количество имеющихся у них идентификационных данных превышает количество, которым они могут управлять.

Тем временем киберпреступники развиваются столь же быстро. Сочетая сложные стратегии атак на основе ИИ, они применяют против пользователей множество фишинговых схем, вредоносных программ, программ-шантажистов и т. п. Без IAM сдерживать угрозы существенно сложнее, поскольку ИТ-отделы не имеют представления о том, кто и к каким ресурсам имеет доступ. Хуже того, они не могут отзывать привилегированный доступ у скомпрометированных пользователей.

К счастью, технология IAM позволяет найти баланс между безопасностью и доступностью. Благодаря ей организации могут устанавливать для пользователей и устройств детальные привилегии доступа без ущерба для производительности и удобства клиентов. Инструмент для IAM может внедрять защитные средства на индивидуальной основе, не ограничивая все разрешения подряд.

Безопасность IAM и Zero Trust

IAM — это ключевая основа для построения архитектуры Zero Trust. Если вкратце, то Zero Trust — это модель безопасности, которая выступает за строгое управление идентификационными данными и предполагает, что каждое подключение, устройство и пользователь представляют собой потенциальную угрозу. Это контрастирует с традиционными моделями безопасности, построенными на неявном доверии.

Существует три основных принципа концепции безопасности Zero Trust:

1. Непрерывная аутентификация. Организации должны предоставлять безопасный доступ, учитывая многочисленные факторы риска, которые необходимо постоянно проверять на протяжении определенного сеанса. Другими словами, они должны проверять объекты на основе идентификационных данных, местоположения, устройства, службы и т. д.
2. Ограничение радиуса нанесения вреда. Команды всегда должны предполагать возможную утечку данных и максимизировать видимость активности пользователей и сетевого трафика, чтобы выявлять таким образом аномалии и обнаруживать угрозы.
3. Доступ по принципу наименьших привилегий. Объекты должны иметь только необходимое разрешение для выполнения своей роли или функции. Например, сотрудники не должны иметь доступа к конфиденциальным базам данных, которые не связаны с их должностными обязанностями.

По сути, концепция Zero Trust акцентирует внимание на управлении идентификационными данными. IAM, в свою очередь, предоставляет возможность обеспечить соблюдение трех своих принципов в требуемом масштабе и, таким образом, укрепить безопасность.

Преимущества IAM

Правильно подобранный инструмент для IAM может предоставить несколько заметных преимуществ.

• Соответствие требованиям. Организации должны соблюдать нормы обеспечения конфиденциальности данных и договорные требования. Системы IAM позволяют им обеспечивать соблюдение официальных политик доступа и подтверждать нормативно-правовое соответствие с помощью контрольного журнала активности пользователей.
• Производительность. Сложные меры безопасности мешают удобству для пользователей, что может расстраивать клиентов и снижать производительность сотрудников. Лучшие инструменты для IAM позволяют предоставлять безопасный доступ к нескольким ресурсам без необходимости выполнять несколько входов в систему — функция, известная как единый вход (SSO).
• Защита данных. Инструменты для IAM помогают командам безопасности обнаруживать текущие инциденты и исследовать потенциальные риски, позволяя быстро и уверенно устранять угрозы.
• Автоматизация ИТ. IAM автоматизирует ключевые задачи, такие как сброс пароля и анализ журналов, так что ручные процедуры не используются. Это экономит время и усилия ИТ-отдела, позволяя сотрудникам уделять внимание более важным обязанностям.

В общих чертах IAM имеет три ключевых компонента. Первые два — управление идентификационными данными и управление доступом — касаются аутентификации и авторизации соответственно. Ниже описана разница.

• Аутентификация — это процесс проверки того, что пользователь (или объект) является тем, за кого он себя выдает. Как правило, она может включать в себя предоставление имени пользователя и пароля, но хакеры научились легко обходить этот метод. Вот почему все большему количеству организаций требуются более строгие и сложные методы, такие как многофакторная аутентификация (MFA).
• Авторизация — это процесс проверки того, к каким конкретным приложениям, файлам и данным пользователь имеет доступ. Это работает путем установки правил, называемых «политиками контроля доступа», и всегда выполняется после аутентификации.

Наконец, третий компонент — управление. Оно включает в себя постоянное администрирование, контроль и анализ процессов, систем и действий IAM для обеспечения соответствия нормативно-правовым требованиям, безопасности и операционной эффективности. Проще говоря, это общий процесс мониторинга идентификационных данных и прав доступа для обнаружения угроз и устранения уязвимостей. 

Каждый компонент опирается на несколько основных возможностей и услуг. Давайте разберем некоторые из наиболее существенных более подробно.

Управление идентификационными данными

Технологии IAM могут упрощать адаптацию и управление идентификационными данными с помощью указанных далее инструментов. 

• Аутентификаторы. Проверка цифровых идентификационных данных с помощью ряда методов, таких как аппаратные токены, цифровые сертификаты, анализ устройств и одноразовые пароли.
• Мобильная аутентификация. Перенесение цифровых идентификационных данных на мобильное устройство, при котором создаются учетные смарт-данные, обеспечивающие доступ к критически важным приложениям.
• Проверка идентификационных данных. Адаптация пользователей в течение нескольких секунд с помощью биометрической аутентификации, при которой селфи сравниваются с документами государственного образца, удостоверяющими личность.
• Адаптивная аутентификация. Использование контекстного анализа в реальном времени для предоставления доступа или выдачи пользователям дополнительных запросов в рамках аутентификации типа «step-up» на основе рисков.

Контроль доступа

Решения по IAM обеспечивают безопасный доступ с помощью многочисленных инструментов. Некоторые из них перечислены ниже.

• Единый вход. Оптимизация процесса входа в систему и предоставление пользователям возможности использовать только один набор учетных данных для всех необходимых приложений.
• Беспарольный вход. Устранение риска кражи учетных данных с помощью высоконадежного беспарольного входа. С помощью PKI можно установить на мобильное устройство пользователя цифровые сертификаты, превратив его в доверенную конечную точку. После аутентификации Bluetooth-подключение к компьютеру Mac или ПК обеспечивает безопасный доступ ко всем облачным и локальным приложениям поблизости.
• Аутентификация в виртуальной защищенной сети. Предоставление пользователям быстрого доступа к ключевым приложениям и защита от кражи учетных данных с помощью зашифрованной сети VPN.
• Выпуск учетных данных. Предоставление пользователям возможности запрашивать интеллектуальные учетные данные для мобильного устройства, которые почти мгновенно предоставляют доступ к веб-сайтам, сетям VPN, приложениям и другим необходимым службам.

Управление и мониторинг

С правильно подобранным решением также можно защититься от продвинутых угроз, управлять идентификационными данными и гарантировать безопасность транзакций, используя указанные ниже возможности.

• Выявление мошенничества. Защита данных клиентов и репутации бренда благодаря автоматическому уменьшению случаев мошенничества с платежами.
• Сброс пароля. Сокращение расходов и уменьшение количества обращений в службу поддержки благодаря возможности самообслуживания для пользователей, забывших свои пароли. 
• Безопасная подготовка устройств. Автоматизация процесса выдачи и возврата устройств для новых, текущих и увольняющихся сотрудников.

Внедрение технологий IAM — это важный шаг, поскольку оно затрагивает почти всех пользователей. Из-за неправильной настройки в системе безопасности могут остаться пробелы, что может привести к утечке данных, если оставить это без внимания. Вот почему при выборе поставщика удостоверений лучше всего следовать нескольким рекомендациям:

1. Оцените свою ИТ-среду

Начните с составления схемы текущей ИТ-среды, включив в нее все будущие дополнения, например уже выполняемые облачные развертывания. Оцените свою инфраструктуру, приложения, хранилища данных и другие активы. Это поможет вам определить, какие ресурсы нуждаются в безопасном контроле доступа. 

Затем рассмотрите своих пользователей — сотрудников, подрядчиков, партнеров и клиентов. Кому необходим доступ и к каким системам? Выполнив это задание, вы сможете гарантировать, что масштаб решения по IAM соответствует вашим бизнес-требованиям. Кроме того, это поможет обеспечить соблюдение принципа наименьших привилегий.

2. Проверьте соблюдение нормативно-правовых требований

В зависимости от размера компании, сектора и области деятельности на вас могут распространяться различные законы о конфиденциальности данных. Например, если вы предоставляете услуги конечным пользователям в Европе, то можете подпадать под действие Общего регламента по защите персональных данных. Убедитесь, что выбранный поставщик удостоверений соответствует минимальным стандартам, изложенным в ваших конкретных юридических обязательствах.

3. Определитесь с моделью развертывания

Развернуть систему IAM можно тремя способами.

• Локальный. Этот вариант потребует значительных инвестиций с точки зрения как первоначальных затрат, так и текущего обслуживания. Несмотря на то что вы получаете больший контроль над своей инфраструктурой IAM, со временем зачастую бывает сложно выполнять обновления.
• Облачный. Напротив, развертывание облачного решения идентификация как услуга (IDaaS) гораздо более экономически эффективно и масштабируемо. Зачастую его гораздо быстрее реализовать и оно требует минимальной предварительной настройки, поскольку поставщик удостоверений управляет базовой инфраструктурой.
• Комбинированный. Это лучшее сочетание обоих вариантов, позволяющее использовать как облачные, так и локальные возможности. Этот подход позволяет выбрать наиболее подходящую модель для различных вариантов использования с учетом потребностей вашей компании.

4. Используйте поэтапный подход

Зачем брать на себя слишком много? Не торопитесь с процессом, а создавайте основу IAM по частям. Поэтапный подход позволяет развертывать различные компоненты со временем, благодаря чему вы и ваши пользователи можете легче адаптироваться к новым процессам.

5. Выполняйте мониторинг и адаптируйтесь

Нельзя реализовать стратегию IAM и забыть о ней. После внедрения обращайте пристальное внимание на то, как работает ваше решение. Проконсультируйтесь с поставщиком удостоверений, чтобы разработать стратегию в отношении областей для улучшения — так вы обеспечите постоянную защиту от потенциальных угроз.

Защита личных данных работников, потребителей и граждан является залогом предотвращения неконтролируемого доступа, утечек данных и мошеннических операций. Entrust Identity — это портфолио решений по IAM, которое обеспечивает прочную основу, необходимую для реализации концепции Zero Trust. Как единый набор решений по IAM, Entrust Identity поддерживает беспрецедентное количество вариантов использования и развертывания.

Возьмем, к примеру, нашу облачную платформу IDaaS. Единое решение предоставляет указанные ниже возможности.

• Исключение слабых паролей
• Сокращение инсайдерских угроз
• Обнаружение аномалий аутентификации
• Сокращение ИТ-расходов
• Улучшение отчетности и соблюдения нормативно-правовых требований
• Оптимизация производительности