Доверяя важные информационные активы в руки ИТ-специалистов, права которых в системах фактически ничем и никак не ограничены, важно сохранить контроль над происходящим. Поэтому очень многих в руководстве российских компаний волнуют простые вопросы – как следить за следящими? Оказывается, решения для этого уже есть, и их рынок в мире активно развивается. Давайте, разберемся, что он собой представляет.
1. Существует ли рынок решений для управления привилегированными пользователями?
2. Управление учетными записями – это основа проактивной защиты
3. Какие прикладные задачи решают средства контроля привилегированных пользователей?
Существует ли рынок решений для управления привилегированными пользователями?
Чтобы понять, что собой представляет рынок решений для управления привилегированными пользователями, следует обратиться к более крупному рынку средств управления учетными записями и доступом – Identity and Access Management (IAM).
В отличие от России глобальный рынок систем IAM достаточно крупный. По оценке исследовательской компании Forrester Research (Identity Management Market Forecast: 2007 To 2014) его объем в 2012 году оценивается в $10 млрд., а прогноз на 2014 год составляет уже $12.3 млрд. Среднегодовой рост этого рынка за последние 8 лет составляет более 21%.
Исследовательская компания Gartner чуть более оптимистична и делает прогноз по размеру рынку IAM в $12 млрд. уже в 2013 году.
Как мы видим, рынок охотно принимает решения для управления доступом и учетными записями пользователей, и по оценке многих аналитиков в ближайшие годы эти решения выйдут на массового потребителя и, следовательно, уровень их проникновения будет достаточно высок. Особенно это касается сервисов, которые будут работать в рамках модели Identity-as-a-Service (IDaaS).
Перечень основных сегментов рынка IAM представлен на рисунке 1. Мы не будем подробно останавливаться на каждом из них, этот вопрос находится за рамками данной статьи.
Рисунок 1. Основные сегменты рынка Identity and Access Management
Наиболее крупными сегментами рынка IAM, по данным Forrester Research, являются и будут оставаться сегмент контроля и управления учетными записями (Provisioning), а также сегменты решений для унифицированного доступа к ресурсам посредством одной учетной записи (Single Sign-On или сокращенно SSO) для веб-сервисов и внутрикорпоративного использования. Эти сегменты составляют 68% и 23% соответственно.
Рисунок 2. Объем основных сегментов рынка Identity and Access Management и их динамика (млн. $)
Данные сводного исследования Neovian Partners.
Но наиболее многообещающим, что интересно для нас в рамках статьи, является сегмент решений для управления привилегированными пользователями – Privileged User Management или сокращенно (PUM). Охват данного сегмента пока не такой большой, по нашей оценке в 2012 году его размер в мире составил чуть более $200 млн., но темпы роста в ближайшие годы могут составлять 40-50% и выше.
Это и не удивительно, так как решать проблему «super users» хотят многие, рынок лишь реагирует на этот спрос. Создаются вполне жизнеспособные продукты и решения, как комплексные и включающие в себя другие компоненты, так и позиционируемые отдельно.
Управление учетными записями – основа проактивной защиты
Управление учетными записями (IAM) – это не отдельно установленный продукт, а набор технологий, тесно связанный с организационным процессом внутри организации. Ее целью является обеспечение полного и целостного набора идентификационных данных пользователей, пронизывающих различные приложения и бизнес-задачи.
IAM соединяет в едином целом все разрозненные учетные записи пользователей, тем самым значительно упрощая и делая более прозрачным процесс управления доступом, что, в свою очередь, повышает уровень безопасности на предприятии.
Технологически задачу управления учетными записями и доступом можно разделить на несколько сегментов:
- Создание единой инфраструктуры для управления всеми учетными записями. Этот сегмент включает в себя продукты и решения, которые непосредственно формируют информационное пространство для управления аккаунтами: директории, мета-директории и виртуальные директории.
- Централизованное управление аккаунтами и связанными с ними привилегиями. Сюда можно отнести продукты для управления аккаунтами пользователей, их атрибутами и правами включая создание, удаление, управление ролями, паролями и привилегиями. Эта категория также включает в себя функциональные элементы как для собственного, так и для делегированного администрирования.
- Контроль доступа к ИТ-ресурсам. В него входят решения, которые координируют доступ пользователей к различным приложениям. Сюда можно отнести всевозможные решения для унифицированного доступа к ресурсам по средствам одной учетной записи single sign-on (SSO) и группировки по уровням доступа (Federation).
- Аудит доступа и административных активностей. К этому сегменту как раз относятся решения PUM, которые позволяют записывать и контролировать действия аккаунтов с административными привилегиями (так называемый Identity Audit). Сюда же относятся средства аудита и корреляции активностей учетных записей (может использоваться SSO), а также средства аттестации привилегий, которые позволяют проверять корректность выдачи прав отдельным аккаунтам.
Если к первым трем технологическим задачам все привыкли, то четвертый в российской практике оказывается мало востребованным, несмотря на то, что потребность в простом и независимом контроле административных учетных записей, безусловно, есть.
Какие прикладные задачи решают средства контроля привилегированных пользователей?
Поскольку рынок решений PUM существует, то давайте попробуем разобраться, какие задачи выполняют на практике эти продукты .
Наиболее распространенная прикладная задача для решений PUM – это контроль аутсорсинговых компаний, отвечающий за работу ИТ-систем организации. Не правда ли знакомая ситуация? В этом случае важно:
- Централизовано управлять административными учетными записями для внешних сотрудников;
- Проверять правильность выдачи административных прав;
- Иметь возможность создания политик доступа для администраторов (типы сеансов, протоколы доступа, время доступа и т.п.);
- Централизованно записывать все действия сотрудников сторонних организаций, которые по определению имеют административные права;
- При необходимости иметь возможность произвести полный аудит действий аутсорсеров во всех обслуживаемых ими системах;
- Не дать возможность администраторам в случае чего замести следы своих недобросовестных действий;
- Не дать возможность администраторам бесследно манипулировать данными в обслуживаемых ими системах.
Все это в полной мере можно отнести и к внутрикорпоративным службам ИТ, а не только к аутсорсерам.
Важно, что всех бесконтрольных, в силу их профессиональной деятельности, ИТ-сотрудников с привилегированными правами можно и нужно контролировать при помощи технических средств PUM.
Другой важной прикладной задачей применения решений PUM является централизованный контроль и управление самими привилегированными учетными записями администраторов. Если объединить функциональные возможности PUM и SSO, можно получить мощные средства контроля таких учетных записей.
Суть подхода проста – ИТ-администратор получает не множество административных паролей от массы разрозненных сервисов, а одну учетную записать SSO в систему PUM.
С помощью этой единой учетной записи решаются следующие задачи:
- Администратор получает только необходимый и достаточный доступ к обслуживаемым ИТ-системам. При этом все его действия будут автоматически записываться и подвергаться аудиту;
- Администратор не будет знать данные аккаунтов в обслуживаемых системах, а использовать только свой персональный аккаунт SSO;
- Не нужно передавать кому-либо важные пароли за пределы организации;
- Можно быстро делегировать необходимые административные функции, оставив контроль над исполнителем на своей стороне.
Выводы
В итоге при помощи решений PUM мы получаем дополнительные возможности контроля действий администраторов, можем быстро в случае необходимости отозвать их права, провести служебное расследование или сменить пароли.
Не будем называть в этой статье конкретные имена решений для управления контроля привилегированных пользователей. Их обзоры и сравнения оставим на будущее. Рынок выглядит очень перспективным. На данном этапе важно было сделать обоснование самой идеи PUM и целесообразности существования этого рынка в мире, которые только начинает зарождаться в России.