Управление идентификацией и доступом
Управление идентификацией и доступом (Identity and Access Management, IAM) — это дисциплина информационной безопасности и организационная практика, направленная на обеспечение того, чтобы правильные субъекты (пользователи, сервисы, устройства) имели соответствующий доступ к правильным ресурсам (данным, приложениям, системам) в нужное время и по уважительной причине. IAM охватывает процессы, политики и технологии для создания, управления и удаления цифровых идентичностей, а также для контроля и аудита их привилегий.
Основные концепции
Идентичность
Центральным понятием IAM является цифровая идентичность — совокупность атрибутов, однозначно описывающих субъект в информационной системе. Атрибуты могут включать имя, должность, отдел, номер телефона, биометрические данные и уникальный идентификатор (например, логин). Идентичность может быть:
- Учётной записью пользователя (человека).
- Сервисной учётной записью (для взаимодействия приложений).
- Учётной записью устройства (например, сервера или IoT-датчика).
Аутентификация
Аутентификация — это процесс проверки подлинности субъекта, то есть подтверждения, что он является тем, за кого себя выдаёт. Обычно реализуется через предъявление одного или нескольких факторов:
- Фактор знания (пароль, PIN-код, ответ на секретный вопрос).
- Фактор владения (токен, смарт-карта, мобильный телефон с одноразовым кодом).
- Врождённый фактор (биометрия: отпечаток пальца, лицо, голос, радужная оболочка глаза).
Для повышения безопасности применяется многофакторная аутентификация (MFA), требующая одновременного использования двух или более факторов.
Авторизация
Авторизация — это процесс определения, какие действия (чтение, запись, выполнение, удаление) разрешено выполнять аутентифицированному субъекту над конкретным ресурсом. Авторизация всегда следует за аутентификацией. Основные модели авторизации:
- Дискреционное управление доступом (DAC) — владелец ресурса сам решает, кто и как может к нему обращаться (например, права доступа к файлам в ОС).
- Мандатное управление доступом (MAC) — доступ регулируется централизованными правилами, основанными на метках безопасности субъекта и объекта (используется в государственных и военных системах).
- Управление доступом на основе ролей (RBAC) — права назначаются не отдельным пользователям, а ролям (например, «бухгалтер», «администратор», «менеджер»). Пользователь получает доступ, будучи назначенным на роль. Это наиболее распространённая модель в корпоративных системах.
- Управление доступом на основе атрибутов (ABAC) — доступ определяется на основе набора атрибутов субъекта, объекта, действия и окружения (время суток, местоположение, уровень угрозы). Обеспечивает гибкую, контекстно-зависимую политику.
Управление учётными записями
Этот процесс включает полный жизненный цикл цифровой идентичности:
- Провизионирование (JML) — создание учётной записи при приёме на работу (Join), изменение её атрибутов и прав при смене должности (Move), и отключение/удаление при увольнении (Leave).
- Синхронизация — поддержание актуальности учётных записей в нескольких системах (каталогах, базах данных, SaaS-приложениях).
- Управление паролями — политики сложности, ротации, сброса и самообслуживания.
- Аудит и ресертификация — периодическая проверка, что все учётные записи и их права всё ещё необходимы и соответствуют текущим должностным обязанностям.
История развития
Ранний этап (1960-е — 1980-е)
В первых многопользовательских операционных системах (например, UNIX) управление доступом было примитивным: каждому пользователю назначался уникальный идентификатор (UID) и пароль. Авторизация основывалась на простой модели DAC. Проблема «разрастания учётных записей» (когда у одного пользователя были разные логины и пароли в разных системах) решалась вручную.
Эпоха каталогов (1990-е)
С распространением компьютерных сетей и корпоративных приложений возникла необходимость в централизованном управлении идентичностями. Компания Microsoft выпустила Active Directory (AD) в 1999 году, основанную на протоколе LDAP и Kerberos. AD стал доминирующим решением для управления пользователями и политиками в среде Windows. Аналогичные решения предлагали Novell (eDirectory) и IBM (Tivoli Directory Server).
Эра веб-приложений и федерации (2000-е)
Рост числа веб-сервисов и SaaS-приложений (Salesforce, Google Apps) потребовал новых подходов. Появились протоколы федерации идентичностей:
- SAML (Security Assertion Markup Language) — для обмена данными аутентификации и авторизации между поставщиком идентичности (IdP) и поставщиком услуг (SP).
- WS-Federation — стандарт от Microsoft.
Это позволило реализовать Единый вход (Single Sign-On, SSO), когда пользователь аутентифицируется один раз в корпоративном IdP, а затем автоматически получает доступ ко всем подключённым приложениям без повторного ввода пароля.
Современный этап (2010-е — настоящее время)
- Облачные IAM-решения (IDaaS) — такие как Okta, Azure Active Directory (ныне Microsoft Entra ID), Ping Identity. Они предоставляют IAM как услугу, интегрируясь с тысячами облачных и локальных приложений.
- Стандарт OAuth 2.0 и OpenID Connect (OIDC) — OAuth 2.0 стал основным протоколом для делегирования доступа (например, «войти через Google»), а OIDC — надстройкой для аутентификации поверх OAuth 2.0. Эти протоколы активно используются в мобильных и веб-приложениях.
- Управление привилегированным доступом (PAM) — выделилось в отдельную поддисциплину, фокусирующуюся на защите учётных записей с максимальными правами (администраторы, root-пользователи). PAM-решения (CyberArk, BeyondTrust, Wallix) обеспечивают хранение паролей в сейфе, ротацию, сессионный мониторинг и контроль доступа по принципу «just-in-time».
- Безпарольная аутентификация — стремление отказаться от паролей как от слабого звена. Используются биометрия, аппаратные ключи (FIDO2/WebAuthn), магические ссылки, push-уведомления.
- Управление идентичностями в Zero Trust — IAM является краеугольным камнем архитектуры Zero Trust («Никогда не доверяй, всегда проверяй»). Каждый запрос на доступ, независимо от источника, должен быть аутентифицирован, авторизован и зашифрован.
Типовые компоненты IAM-системы
| Компонент | Функция |
|---|---|
| Каталог (Directory) | Хранилище атрибутов и учётных записей (LDAP, Active Directory, база данных). |
| Система управления жизненным циклом | Автоматизация JML-процессов (провизионирование, депровизионирование). |
| Сервис единого входа (SSO) | Позволяет пользователю аутентифицироваться один раз и получать доступ к нескольким приложениям. |
| Сервер аутентификации | Проверяет учётные данные (пароли, токены, биометрию). |
| Сервер авторизации | Принимает решения о доступе на основе политик (RBAC, ABAC). |
| Система управления паролями | Самообслуживание сброса, политики сложности, синхронизация. |
| Система аудита и отчётности | Логирование всех событий аутентификации и авторизации, генерация отчётов для compliance. |
| PAM-решение | Управление привилегированными учётными записями. |
Применение и значение
Корпоративная безопасность
IAM является базовым элементом защиты от внутренних и внешних угроз. Правильное управление доступом снижает риск утечки данных из-за скомпрометированных учётных записей, инсайдерских атак или ошибок конфигурации. Автоматизация JML предотвращает появление «мёртвых душ» — учётных записей уволенных сотрудников, которые могут быть использованы злоумышленниками.
Соответствие требованиям (Compliance)
Многие отраслевые и государственные стандарты (например, GDPR в Европе, 152-ФЗ «О персональных данных» в России, PCI DSS для платёжных карт, ISO 27001, Стандарт Банка России по обеспечению информационной безопасности) требуют внедрения процессов управления доступом, аудита и контроля идентификаций. IAM-системы помогают автоматически демонстрировать соответствие этим требованиям.
Удобство пользователей
SSO и самообслуживание паролей значительно повышают продуктивность сотрудников, избавляя их от необходимости запоминать десятки паролей и обращаться в техподдержку для их сброса. Это также снижает нагрузку на IT-отдел.
Цифровая трансформация
IAM является критическим фактором для безопасного внедрения облачных сервисов, мобильных устройств (BYOD), удалённой работы и экосистем партнёров. Федерация идентичностей позволяет компаниям безопасно предоставлять доступ к своим ресурсам клиентам и партнёрам.
Критика и вызовы
- Сложность внедрения и эксплуатации. IAM-проекты часто требуют значительных временных и финансовых затрат, а также высокой квалификации персонала. Неправильная настройка может привести к обратному эффекту — созданию брешей в безопасности.
- Проблема «разрастания идентичностей». В крупных организациях с множеством систем и приложений количество учётных записей может достигать миллионов, что делает их ручное управление невозможным. Требуются сложные алгоритмы синхронизации и каталогизации.
- Конфликт между безопасностью и удобством. Слишком строгие политики (например, требование смены пароля каждые 30 дней, обязательное использование MFA при каждом входе) могут вызывать сопротивление пользователей и приводить к снижению продуктивности или к использованию небезопасных практик (запись паролей на стикерах).
- Зависимость от централизованных систем. Отказ или компрометация сервера аутентификации (IdP) может парализовать доступ ко всем корпоративным ресурсам. Требуются меры по обеспечению высокой доступности и отказоустойчивости.
- Управление идентичностями в распределённых средах. В эпоху микросервисов, контейнеров и мультиоблачных архитектур традиционные модели IAM (основанные на статичных каталогах) становятся менее эффективными. Развиваются подходы Service Mesh и Cloud IAM (например, AWS IAM, Google Cloud IAM, Azure RBAC), которые требуют иного подхода к управлению сервисными идентичностями.
Интересные факты
- Самым распространённым паролем в мире на протяжении многих лет остаётся комбинация «123456», что подчёркивает низкую культуру безопасности среди пользователей.
- Технология единого входа (SSO) впервые была реализована в 1990-х годах в рамках проекта Kerberos в Массачусетском технологическом институте (MIT).
- По данным отчётов аналитических компаний (например, Gartner), рынок IAM-решений ежегодно растёт на 10-15%, что отражает растущую потребность в защите цифровых идентичностей.
- В России действует ряд отечественных IAM-решений, таких как Solar inRights, «Код Безопасности» (Secret Net), «ИнфоТеКС» (ViPNet IAM), которые сертифицированы ФСТЭК России и используются в государственных и критически важных информационных системах.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
- NIST Special Publication 800-63 «Digital Identity Guidelines».
- ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements».
- Gartner, «Magic Quadrant for Access Management».
- Материалы конференций по информационной безопасности (Positive Hack Days, PHDays, OFFZONE).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →