IdM под санкциями: как построить российскую систему управления доступом?

Санкционный IdM: как построить российскую систему управления доступом?

Санкционный IdM: как построить российскую систему управления доступом?

Не секрет, что часть российских компаний лишились возможности приобретать зарубежное программное и аппаратное обеспечение. Зарубежные вендоры, в свою очередь, все чаще стали отказывать в предоставлении технической поддержки компаниям, которые много лет пользовались их услугами.

В кулуарах одного из крупных мероприятий руководитель ИТ-службы российского банка из числа Топ-30 рассказал о таком случае. Специалисты банка обратились в техническую поддержку крупного зарубежного вендора с просьбой принять заявку по поводу неисправности сервера. В ответ прозвучало: «Ваша заявка принята, спасибо за звонок». Никаких дальнейших действий не последовало. Как в итоге выяснилось, такое поведение вендора было связано с тем, что часть руководства банка находится под санкциями.

Логичная реакция российских компаний на сложившуюся ситуацию — все более частое обращение к открытому программному обеспечению, поиск новых поставщиков оборудования, а также внедрение российских разработок, которых год от года становится все больше. Рынок систем управления доступом (Identity Management — IdM) не стал исключением: за последние два-три года количество российских компаний-разработчиков увеличилось вдвое.

 

Рисунок 1. Динамика роста числа российских IdM-вендоров за последние годы

Динамика роста числа российских IdM-вендоров за последние годы

 

Не стоит забывать, что санкционные ограничения могут коснуться не только самого IdM-приложения. Помимо собственно приложения, IdM-система включает в себя различные инфраструктурные компоненты: операционные системы (ОС), серверы приложений и системы управления базами данных (СУБД). Проанализировав популярные на российском рынке IdM-решения, мы обнаружили, что часть из них способны работать лишь на платформе MS Windows и только с ограниченным набором коммерческих баз данных и серверов приложений зарубежных вендоров. Мы поняли, что необходимо разобраться в ситуации. Результатами нашего внутреннего исследования мы хотим поделиться в рамках этого обзора, в который попали четыре отечественных решения по управлению доступом: Solar inRights, Avanpost IdM, КУБ, 1IDM. Мы сравнили перечисленные системы по трем критериям. Полученные результаты представлены в таблице.

 

Таблица 1. Сравнение российских IdM-систем. Поддерживаемые СУБД

  Oracle Database MS SQL Server PostgreSQL MySQL IBM DB2
Solar inRights v2.0 + + + + -
Avanpost IdM v5.0 + + - - -
КУБ v3.0 + + - - -
1IDM v1.6.11 + + + - +

 

Таблица 2. Сравнение российских IdM-систем. Поддерживаемые серверы приложений (сервлет-контейнеры)

  WebLogic MS Server* Apache Tomcat Glassfish
Solar inRights v2.0 + - + +
Avanpost IdM v5.0 - + - -
КУБ v3.0

Сторонний не требуется, использует собственный сервер приложений

1IDM v1.6.11

Сторонний не требуется, в комплект поставки входит сервер приложений 1С

 

Таблица 3. Сравнение российских IdM-систем. Поддерживаемые операционные системы

  MS Windows Linux
Solar inRights v2.0 + +1, 2
Avanpost IdM v5.0 + -
КУБ v3.0 + -
1IDM v1.6.11 + +2
1ОС Эльбрус
2 ASP Linux, CentOS, Debian, Fedora, Mandriva, Powerpack, RHEL, Ubuntu, Astra Linux.

 

Целью нашего мини-исследования стало «собрать» систему управления доступом с максимальным количеством российских компонентов или компонентов с открытым исходным кодом.

Первым шагом стал поиск аппаратного сервера. Как выяснилось, на текущий момент не существует промышленного сервера, полностью состоящего из российских комплектующих. Большая часть рассмотренных нами российских серверов были построены на базе процессоров Intel — за одним исключением. Российская компания АО МЦСТ предложила рассмотреть сервер «Эльбрус-4.4» на базе микропроцессора «Эльбрус-4С», чтобы изучить возможность его использования в качестве платформы для IdM-системы. Ознакомившись с техническими характеристиками, мы приняли решение его протестировать. В пользу сервера говорили значительная доля российских комплектующих в его составе, а также  наличие всех необходимых для IdM-системы программных компонентов. В состав программного комплекса вошла операционная система «Эльбрус», построенная на базе ядра Linux; ОС поддерживает приложения с открытым исходным кодом, включая СУБД PostgreSQL и контейнер сервлетов Tomcat.

Следующим шагом стал поиск российских систем управления доступом, способных работать на сервере «Эльбрус». Состав программного обеспечения сервера существенно сузил выбор IdM-решений: большинство российских IDM-систем не поддерживают открытое программное обеспечение и не имеют возможности работать на сервере «Эльбрус».

Необходимым техническим требованиям соответствовали Solar inRights и 1IDM — эти решения способны работать на ОС семейства Linux и поддерживают СУБД PostgreSQL. Однако программная платформа 1С, на которой построено решение 1IDM, на сегодня не поддерживает работу на аппаратной платформе «Эльбрус». Соответственно, система 1IDM также не способна работать на ней. Но если платформа 1С будет адаптирована под программно-аппаратный комплекс «Эльбрус», у системы 1IDM есть все шансы стать частью полностью российского IdM-решения. Тот факт, что из четырех отечественных систем управления доступом только две могут работать на отечественном сервере, возможно, связан с тем, что компании Solar Security и 1IDM вышли на рынок сравнительно недавно и учитывали в архитектуре своих решений новые реалии отечественного рынка IdM.

Для проверки работоспособности решений команда наших специалистов подготовила специальный стенд — он был продемонстрирован на одной из конференций Центра информационной безопасности компании «Инфосистемы Джет». Система Solar inRights на программно-аппаратной платформе «Эльбрус» успешно прошла ряд нагрузочных тестов на объемах данных, которые сопоставимы с таковыми у крупной географически распределенной компании. Были также проведены испытания с использованием автоматизированных средств управления браузерами, имитирующих одновременную работу с системой более 1000 пользователей. Результаты подтвердили готовность комплекса к промышленному внедрению. Стоит отметить также готовность вендоров провести при необходимости аттестацию и сертификацию своих решений по требованиям информационной безопасности.

Мы всегда рекомендуем клиентам начинать выбор IdM-системы с составления списка требований. В том числе, с определения того, насколько важно, чтобы система по управлению доступом работала на российском оборудовании и состояла только из отечественных компонентов. Целью данного исследования было построение  «полностью» российской системы. Но, как показали проведенные нами практические испытания, на данный момент для полноценного импортозамещения подходит лишь одно решение — сочетание Solar inRights и программно-аппаратного комплекса «Эльбрус-4.4». Однако жесткое требование внедрять систему, состоящую исключительно из отечественных компонентов, действует далеко не для всех заказчиков. В таком случае при выборе решения мы рекомендуем руководствоваться прежде всего критериями наличия необходимого функционала, простоты внедрения, а также совместимости решения с другими системами, существующими в компании. Благо, сегодня на рынке IdM действительно есть из чего выбирать.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru