Открыть сервис

IAM

IAM (Identity and Access Management, управление идентификацией и доступом) — это область информационной безопасности и организационного управления, охватывающая политики, процессы и технологические решения, предназначенные для обеспечения цифровой идентификации субъектов (пользователей, устройств, сервисов) и контроля их доступа к ресурсам (данным, приложениям, системам) в соответствии с заданными правилами. Основная цель IAM — гарантировать, что правильный субъект получает доступ к правильному ресурсу в правильное время и при правильных обстоятельствах, при этом предотвращая несанкционированный доступ.

История

Предпосылки и ранние этапы

Потребность в управлении доступом возникла одновременно с появлением многопользовательских вычислительных систем в 1960-х годах. В операционных системах того времени (например, в Multics) уже реализовывались базовые механизмы аутентификации (пароли) и авторизации (списки контроля доступа, ACL). Однако эти решения были локальными и не масштабировались.

Развитие в 1990-х — 2000-х годах

С распространением корпоративных сетей и клиент-серверной архитектуры возникла проблема «островков идентичности»: каждый ресурс (база данных, файловый сервер, приложение) имел собственный реестр пользователей. Это приводило к дублированию учётных записей, сложности администрирования и уязвимостям. В ответ на это были разработаны централизованные каталоги, такие как Microsoft Active Directory (1999) и OpenLDAP, основанные на протоколе LDAP. Они позволили хранить информацию о пользователях в едином репозитории и использовать единую аутентификацию (Single Sign-On, SSO) для нескольких систем.

Современный этап (2010-е — настоящее время)

Переход к облачным вычислениям, мобильным устройствам и микросервисной архитектуре кардинально изменил ландшафт IAM. Традиционные периметры сети исчезли, и на смену модели «замок и ров» пришла концепция Zero Trust (нулевого доверия), где доверие никогда не предполагается, а постоянно проверяется. Это привело к появлению облачных IAM-решений (IdaaS — Identity as a Service), таких как Azure Active Directory (ныне Microsoft Entra ID), Okta, Ping Identity. Одновременно развивались стандарты для децентрализованной идентификации, в частности FIDO2 (Fast Identity Online) и WebAuthn, позволяющие отказаться от паролей в пользу криптографических ключей.

Основные компоненты IAM

IAM-система обычно включает несколько взаимосвязанных функциональных блоков.

Идентификация и аутентификация

Современные системы часто используют многофакторную аутентификацию (MFA), требующую комбинации двух или трёх факторов.

Авторизация

После успешной аутентификации система определяет, какие действия разрешено выполнять субъекту. Основные модели авторизации:

  • Дискреционное управление доступом (DAC): владелец ресурса сам назначает права (например, в файловых системах).
  • Мандатное управление доступом (MAC): права назначаются централизованно на основе меток безопасности (используется в системах с высокими требованиями к секретности).
  • Управление доступом на основе ролей (RBAC): права группируются в роли (например, «бухгалтер», «администратор»), которые назначаются пользователям. Это наиболее распространённая модель в корпоративных IAM.
  • Управление доступом на основе атрибутов (ABAC): решение о доступе принимается на основе набора атрибутов субъекта, ресурса, действия и окружения (например, время суток, местоположение). Обеспечивает гибкость, но сложнее в настройке.

Управление учётными записями и жизненным циклом

Это процессы создания, изменения, блокировки и удаления учётных записей. Включает:

  • Provisioning (предоставление доступа): автоматическое создание учётной записи при приёме сотрудника на работу.
  • De-provisioning (отзыв доступа): немедленное отключение доступа при увольнении или смене роли.
  • Joiner/Mover/Leaver (JML): процессы, связанные с приходом, перемещением и уходом сотрудников.

Аудит и соответствие требованиям

IAM-системы ведут подробные логи всех событий аутентификации и авторизации. Это необходимо для:

  • Расследования инцидентов безопасности.
  • Выполнения требований регуляторов (например, 152-ФЗ «О персональных данных» в РФ, GDPR в Европе, SOX в США).
  • Проведения периодических ревизий прав доступа (Access Reviews).

Ключевые технологии и протоколы

LDAP (Lightweight Directory Access Protocol)

Протокол прикладного уровня для доступа к службе каталогов. Используется для хранения и поиска информации о пользователях, группах, устройствах. Является основой для Active Directory и OpenLDAP.

Kerberos

Протокол сетевой аутентификации, использующий криптографию с симметричными ключами и билеты. Позволяет клиенту и серверу взаимно подтвердить подлинность без передачи пароля по сети. Широко применяется в Windows-доменах.

SAML (Security Assertion Markup Language)

XML-стандарт для обмена данными аутентификации и авторизации между сторонами (поставщиком удостоверений и поставщиком услуг). Обеспечивает единый вход (SSO) в веб-приложения.

OAuth 2.0 и OpenID Connect

  • OAuth 2.0 — протокол авторизации, позволяющий делегировать доступ к ресурсам (например, предоставить приложению доступ к фотографиям в облаке) без передачи пароля. Используется для выдачи токенов доступа.
  • OpenID Connect (OIDC) — надстройка над OAuth 2.0, добавляющая аутентификацию. Позволяет клиенту получить удостоверение личности пользователя (ID Token) в формате JSON Web Token (JWT).

SCIM (System for Cross-domain Identity Management)

Протокол для автоматического обмена информацией об идентичностях между системами. Используется для синхронизации учётных записей между облачными сервисами и корпоративным каталогом.

Применение

IAM-системы используются в различных сферах:

  • Корпоративный сектор: управление доступом сотрудников к внутренним ресурсам (ERP, CRM, почта, файловые серверы), автоматизация JML-процессов.
  • Государственные информационные системы: обеспечение доступа граждан к порталам госуслуг (например, «Госуслуги» в РФ, где используется Единая система идентификации и аутентификации — ЕСИА).
  • Электронная коммерция и финансовые услуги: управление учётными записями клиентов, аутентификация в интернет-банкинге, соблюдение требований ПОД/ФТ (противодействие отмыванию доходов и финансированию терроризма).
  • Облачные сервисы: предоставление доступа к SaaS-приложениям (Salesforce, Google Workspace, Microsoft 365) через единый портал.

Критика и вызовы

Несмотря на широкое распространение, IAM сталкивается с рядом проблем:

  • Сложность внедрения: интеграция IAM-системы с унаследованными (legacy) приложениями, не поддерживающими современные протоколы, требует значительных усилий.
  • Управление паролями: пользователи склонны выбирать слабые пароли или использовать одни и те же на разных сайтах, что делает их уязвимыми. Переход на беcпарольную аутентификацию (FIDO2) идёт медленно.
  • Приватность: централизованное хранение идентификационных данных создаёт привлекательную цель для атак. Утечка базы данных IAM может привести к компрометации всех подключённых систем.
  • Проблема «теневого IT»: сотрудники могут использовать не санкционированные IT-отделом облачные сервисы, что обходит корпоративные IAM-политики.
  • Регуляторные ограничения: в разных юрисдикциях действуют различные требования к хранению и обработке персональных данных (например, локализация данных в РФ), что усложняет архитектуру глобальных IAM-решений.

Перспективы развития

Основные направления развития IAM включают:

  • Беcпарольная аутентификация: замена паролей на биометрию и криптографические ключи.
  • Децентрализованная идентификация (DID): использование блокчейн-технологий для предоставления пользователю полного контроля над своими данными (Self-Sovereign Identity).
  • Адаптивная аутентификация: динамическое изменение требований к аутентификации в зависимости от риска (например, при входе с нового устройства или из необычной локации требуется дополнительный фактор).
  • Интеграция с искусственным интеллектом: использование ИИ для анализа поведения пользователей (User and Entity Behavior Analytics, UEBA) и выявления аномалий, указывающих на компрометацию учётной записи.

Источники

  1. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.
  2. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
  3. Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» (утв. 11.02.2014).
  4. Стандарт NIST SP 800-63 «Digital Identity Guidelines».
  5. RFC 4511 «Lightweight Directory Access Protocol (LDAP): The Protocol».
  6. RFC 4120 «The Kerberos Network Authentication Service (V5)».
  7. RFC 7519 «JSON Web Token (JWT)».
  8. OpenID Connect Core 1.0 Specification.
  9. OAuth 2.0 Authorization Framework (RFC 6749).
  10. SCIM Protocol Specification (RFC 7644).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →