Открыть сервис

Управление идентификацией и доступом

Управление идентификацией и доступом (Identity and Access Management, IAM) — это дисциплина информационной безопасности и организационная практика, направленная на обеспечение того, чтобы правильные субъекты (пользователи, сервисы, устройства) имели соответствующий доступ к правильным ресурсам (данным, приложениям, системам) в нужное время и по уважительной причине. IAM охватывает процессы, политики и технологии для создания, управления и удаления цифровых идентичностей, а также для контроля и аудита их привилегий.

Основные концепции

Идентичность

Центральным понятием IAM является цифровая идентичность — совокупность атрибутов, однозначно описывающих субъект в информационной системе. Атрибуты могут включать имя, должность, отдел, номер телефона, биометрические данные и уникальный идентификатор (например, логин). Идентичность может быть:

  • Учётной записью пользователя (человека).
  • Сервисной учётной записью (для взаимодействия приложений).
  • Учётной записью устройства (например, сервера или IoT-датчика).

Аутентификация

Аутентификация — это процесс проверки подлинности субъекта, то есть подтверждения, что он является тем, за кого себя выдаёт. Обычно реализуется через предъявление одного или нескольких факторов:

Для повышения безопасности применяется многофакторная аутентификация (MFA), требующая одновременного использования двух или более факторов.

Авторизация

Авторизация — это процесс определения, какие действия (чтение, запись, выполнение, удаление) разрешено выполнять аутентифицированному субъекту над конкретным ресурсом. Авторизация всегда следует за аутентификацией. Основные модели авторизации:

  • Дискреционное управление доступом (DAC) — владелец ресурса сам решает, кто и как может к нему обращаться (например, права доступа к файлам в ОС).
  • Мандатное управление доступом (MAC) — доступ регулируется централизованными правилами, основанными на метках безопасности субъекта и объекта (используется в государственных и военных системах).
  • Управление доступом на основе ролей (RBAC) — права назначаются не отдельным пользователям, а ролям (например, «бухгалтер», «администратор», «менеджер»). Пользователь получает доступ, будучи назначенным на роль. Это наиболее распространённая модель в корпоративных системах.
  • Управление доступом на основе атрибутов (ABAC) — доступ определяется на основе набора атрибутов субъекта, объекта, действия и окружения (время суток, местоположение, уровень угрозы). Обеспечивает гибкую, контекстно-зависимую политику.

Управление учётными записями

Этот процесс включает полный жизненный цикл цифровой идентичности:

  1. Провизионирование (JML) — создание учётной записи при приёме на работу (Join), изменение её атрибутов и прав при смене должности (Move), и отключение/удаление при увольнении (Leave).
  2. Синхронизация — поддержание актуальности учётных записей в нескольких системах (каталогах, базах данных, SaaS-приложениях).
  3. Управление паролями — политики сложности, ротации, сброса и самообслуживания.
  4. Аудит и ресертификация — периодическая проверка, что все учётные записи и их права всё ещё необходимы и соответствуют текущим должностным обязанностям.

История развития

Ранний этап (1960-е — 1980-е)

В первых многопользовательских операционных системах (например, UNIX) управление доступом было примитивным: каждому пользователю назначался уникальный идентификатор (UID) и пароль. Авторизация основывалась на простой модели DAC. Проблема «разрастания учётных записей» (когда у одного пользователя были разные логины и пароли в разных системах) решалась вручную.

Эпоха каталогов (1990-е)

С распространением компьютерных сетей и корпоративных приложений возникла необходимость в централизованном управлении идентичностями. Компания Microsoft выпустила Active Directory (AD) в 1999 году, основанную на протоколе LDAP и Kerberos. AD стал доминирующим решением для управления пользователями и политиками в среде Windows. Аналогичные решения предлагали Novell (eDirectory) и IBM (Tivoli Directory Server).

Эра веб-приложений и федерации (2000-е)

Рост числа веб-сервисов и SaaS-приложений (Salesforce, Google Apps) потребовал новых подходов. Появились протоколы федерации идентичностей:

  • SAML (Security Assertion Markup Language) — для обмена данными аутентификации и авторизации между поставщиком идентичности (IdP) и поставщиком услуг (SP).
  • WS-Federation — стандарт от Microsoft.

Это позволило реализовать Единый вход (Single Sign-On, SSO), когда пользователь аутентифицируется один раз в корпоративном IdP, а затем автоматически получает доступ ко всем подключённым приложениям без повторного ввода пароля.

Современный этап (2010-е — настоящее время)

  • Облачные IAM-решения (IDaaS) — такие как Okta, Azure Active Directory (ныне Microsoft Entra ID), Ping Identity. Они предоставляют IAM как услугу, интегрируясь с тысячами облачных и локальных приложений.
  • Стандарт OAuth 2.0 и OpenID Connect (OIDC) — OAuth 2.0 стал основным протоколом для делегирования доступа (например, «войти через Google»), а OIDC — надстройкой для аутентификации поверх OAuth 2.0. Эти протоколы активно используются в мобильных и веб-приложениях.
  • Управление привилегированным доступом (PAM) — выделилось в отдельную поддисциплину, фокусирующуюся на защите учётных записей с максимальными правами (администраторы, root-пользователи). PAM-решения (CyberArk, BeyondTrust, Wallix) обеспечивают хранение паролей в сейфе, ротацию, сессионный мониторинг и контроль доступа по принципу «just-in-time».
  • Безпарольная аутентификация — стремление отказаться от паролей как от слабого звена. Используются биометрия, аппаратные ключи (FIDO2/WebAuthn), магические ссылки, push-уведомления.
  • Управление идентичностями в Zero Trust — IAM является краеугольным камнем архитектуры Zero Trust («Никогда не доверяй, всегда проверяй»). Каждый запрос на доступ, независимо от источника, должен быть аутентифицирован, авторизован и зашифрован.

Типовые компоненты IAM-системы

КомпонентФункция
Каталог (Directory)Хранилище атрибутов и учётных записей (LDAP, Active Directory, база данных).
Система управления жизненным цикломАвтоматизация JML-процессов (провизионирование, депровизионирование).
Сервис единого входа (SSO)Позволяет пользователю аутентифицироваться один раз и получать доступ к нескольким приложениям.
Сервер аутентификацииПроверяет учётные данные (пароли, токены, биометрию).
Сервер авторизацииПринимает решения о доступе на основе политик (RBAC, ABAC).
Система управления паролямиСамообслуживание сброса, политики сложности, синхронизация.
Система аудита и отчётностиЛогирование всех событий аутентификации и авторизации, генерация отчётов для compliance.
PAM-решениеУправление привилегированными учётными записями.

Применение и значение

Корпоративная безопасность

IAM является базовым элементом защиты от внутренних и внешних угроз. Правильное управление доступом снижает риск утечки данных из-за скомпрометированных учётных записей, инсайдерских атак или ошибок конфигурации. Автоматизация JML предотвращает появление «мёртвых душ» — учётных записей уволенных сотрудников, которые могут быть использованы злоумышленниками.

Соответствие требованиям (Compliance)

Многие отраслевые и государственные стандарты (например, GDPR в Европе, 152-ФЗ «О персональных данных» в России, PCI DSS для платёжных карт, ISO 27001, Стандарт Банка России по обеспечению информационной безопасности) требуют внедрения процессов управления доступом, аудита и контроля идентификаций. IAM-системы помогают автоматически демонстрировать соответствие этим требованиям.

Удобство пользователей

SSO и самообслуживание паролей значительно повышают продуктивность сотрудников, избавляя их от необходимости запоминать десятки паролей и обращаться в техподдержку для их сброса. Это также снижает нагрузку на IT-отдел.

Цифровая трансформация

IAM является критическим фактором для безопасного внедрения облачных сервисов, мобильных устройств (BYOD), удалённой работы и экосистем партнёров. Федерация идентичностей позволяет компаниям безопасно предоставлять доступ к своим ресурсам клиентам и партнёрам.

Критика и вызовы

  • Сложность внедрения и эксплуатации. IAM-проекты часто требуют значительных временных и финансовых затрат, а также высокой квалификации персонала. Неправильная настройка может привести к обратному эффекту — созданию брешей в безопасности.
  • Проблема «разрастания идентичностей». В крупных организациях с множеством систем и приложений количество учётных записей может достигать миллионов, что делает их ручное управление невозможным. Требуются сложные алгоритмы синхронизации и каталогизации.
  • Конфликт между безопасностью и удобством. Слишком строгие политики (например, требование смены пароля каждые 30 дней, обязательное использование MFA при каждом входе) могут вызывать сопротивление пользователей и приводить к снижению продуктивности или к использованию небезопасных практик (запись паролей на стикерах).
  • Зависимость от централизованных систем. Отказ или компрометация сервера аутентификации (IdP) может парализовать доступ ко всем корпоративным ресурсам. Требуются меры по обеспечению высокой доступности и отказоустойчивости.
  • Управление идентичностями в распределённых средах. В эпоху микросервисов, контейнеров и мультиоблачных архитектур традиционные модели IAM (основанные на статичных каталогах) становятся менее эффективными. Развиваются подходы Service Mesh и Cloud IAM (например, AWS IAM, Google Cloud IAM, Azure RBAC), которые требуют иного подхода к управлению сервисными идентичностями.

Интересные факты

  • Самым распространённым паролем в мире на протяжении многих лет остаётся комбинация «123456», что подчёркивает низкую культуру безопасности среди пользователей.
  • Технология единого входа (SSO) впервые была реализована в 1990-х годах в рамках проекта Kerberos в Массачусетском технологическом институте (MIT).
  • По данным отчётов аналитических компаний (например, Gartner), рынок IAM-решений ежегодно растёт на 10-15%, что отражает растущую потребность в защите цифровых идентичностей.
  • В России действует ряд отечественных IAM-решений, таких как Solar inRights, «Код Безопасности» (Secret Net), «ИнфоТеКС» (ViPNet IAM), которые сертифицированы ФСТЭК России и используются в государственных и критически важных информационных системах.

Источники

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
  • NIST Special Publication 800-63 «Digital Identity Guidelines».
  • ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements».
  • Gartner, «Magic Quadrant for Access Management».
  • Материалы конференций по информационной безопасности (Positive Hack Days, PHDays, OFFZONE).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →