Российский рынок систем управления идентификацией и доступом (IAM) объектов и субъектов к корпоративным ИТ-ресурсам постоянно пополняется новыми технологиями. Некоторые разработчики спешат выделить их в самостоятельные продуктовые направления. Однако это не способствует формированию четкого представления о функциональном составе систем IAM, необходимом и достаточном для решения возлагаемых на эти системы задач.

В результате рынок IAM разбился на несколько направлений: IDM/IGA (Identity Management, управление идентификацией; Identity Governance and Administration, управление идентификацией и администрирование); PAM (управление привилегированным доступом); MFA (многофакторная аутентификация); SSO (системы единого входа), IGA (identity governance and administration) и некоторые другие (в дальнейшем в обзоре будем эти направления именовать решениями управления доступом, если не потребуется уточнить их специализацию).

Вследствие такого разделения специалисты рассматривают российский рынок управления доступом в нынешнем его состоянии не как продуктовый, а как рынок проектов внедрения — именно на этапе внедрения и производится интеграция разрозненных функциональных компонентов в единое решение. Рыночные доли вендоров в этой ситуации определяются количеством внедренческих проектов, а не числом проданных на продукты лицензий.

Нынешний объем российского рынка решений управления доступом эксперты оценивают примерно в 3-3,5 млрд. руб. и выделяют на нем нескольких вендоров, контролирующих основную часть внедрений. В сегменте IDM/IGA это Avanpost, «Ростелеком-Солар», «Газинформсервис», 1IDM, «КриптоПро», BI.ZONE, Indeed. В сегменте PAM лидерами называют компании «АйТи Бастион», Indeed, BI.ZONE, NGR Softlab, Innostage, «СКБ Контур». В сегменте MFA выделяют компании Avanpost, «Актив», «Аладдин Р.Д.», MULTIFACTOR, «СКБ Контур», Reksoft. В сегменте систем SSO эксперты в качестве лидеров называют Avanpost, Indeed, Reksoft, Web Control.

Мы пригласили нескольких экспертов принять участие в данном обзоре, с тем чтобы поделиться своим пониманием темы, прояснить главные актуальные аспекты российского рынка управления доступом, уточнить, дополнить описание ближайших перспектив его технологического развития.

Особенности российского рынка систем IAM

Обращаясь к разнообразию продуктовых предложений на российском рынке IAM, руководитель продукта Solar inRights ГК «Солар» Ярослав Жиронкин отмечает, что вендоры разных продуктовых направлений развивают их по-разному, нередко добавляя в них функции из смежных направлений, что усложняет для заказчиков выбор конкретного IAM-решения. Чтобы преодолеть эту сложность, он предлагает следовать по пути команды «Солар», которая развивает свои IAM-решения через технологические партнёрства с другими вендорами, формируя в результате комплексные решения на базе нескольких продуктов, протестированных на совместимость и легко встраиваемых в ИТ-инфраструктуры клиентов.

Ярослав Жиронкин объясняет вышеупомянутые особенности структуры российского рынка IAM большим разнообразием ИТ-ландшафтов у российских компаний: ведь под каждую ИТ-инфраструктуру заказчика требуется свой подход к имплементации IAM-системы. В следствие этого на рынке можно найти много разнообразных продуктов, которые вендоры предлагают для выполнения задач управления идентификацией и доступом.

«Однако, — подчеркивает он, — механического объединения предлагаемых инструментов для достижения успеха недостаточно. Ключевым фактором остается комплексный, архитектурно продуманный подход». По сути эксперт выражает согласие с оценкой модели российского рынка IAM как рынка проектов внедрения.

Обязательные компоненты современной системы управления идентификацией и доступом

По мнению менеджера по развитию бизнеса JMS&JAS компании «Аладдин» Станислава Винарского, универсального понятия «необходимого и достаточного» компонентного состава IAM-систем не существует. «Если заказчик более-менее четко формулирует требования к решению, никаких проблем при его выборе не возникнет. Одним из основных затруднений может оказаться наличие у заказчиков большого количества наследуемых приложений, несовместимых с современными технологиями аутентификации и авторизации», — заключает он.

Нынешнее компонентное наполнение систем IAM, по его мнению, в основном отвечает запросам большинства заказчиков. В числе же основных необходимых компонентов современных корпоративных систем IAM он выделяет два: поставщика удостоверений (Identity Provider), обеспечивающего аутентификацию (желательно мультифакторную и адаптивную) и авторизацию, поддержку протоколов OIDC и SAML, интеграцию с внешними провайдерами (федеративную аутентификацию); сервис, управляющий жизненным циклом клиентов (приложений), учетных записей, политиками доступа, аудитом, разнообразными интеграциями.

Хотя российский рынок управления идентификацией и доступом, как считает технический директор компании Avanpost Александр Махновский, в функциональном наполнении внедряемых решений отталкивается от запросов заказчиков, а не от стандартов, он напоминает о существовании ГОСТа, который «в некотором смысле регламентирует функционал IDM-решений». Для других направлений разработки в области управления идентификацией и доступом ситуация с функциональным составом более неопределенная: стандарты для них отсутствуют. Однако, полагает он, учитывая небольшой объем функционала и понятных возможностей, которые они могут предоставлять, отдельные ГОСТы для них не имеют смысла.

Рассматривая ситуацию с функционалом с позиции заказчиков, Александр Махновский отмечает, что абсолютное большинство из них приходит к вендорам и интеграторам с достаточно четким представление о функционале требуемых решений, и вряд ли отсутствие общерыночного четкого определения технологического состава вызывает у них проблему при выборе поставщика.

Он отмечает, что вендоры, ориентированные на запросы только своих клиентов, стараются поставлять многофункциональные комплексные решения только для своего сегмента рынка. С другой стороны, вендоры, ориентированные на крупных заказчиков, развивают свои продукты в соответствии со своим видением этого процесса (по его словам, «как вендорские»), при этом они в той или иной степени следуют за мировым рынком с коррекцией в сторону российских особенностей. Их продукты развиваются примерно схожим путем с учетом возможностей собственных команд разработки.

Обращаясь к функциональному составу продуктов для управления идентификацией и доступом, Александр Махновский предлагает разделять его для разных сегментов решений.

Так, основную задачу сегмента IDM/IGA он видит в поддержке минимально достаточного доступа, а с позиции ИТ — в автоматизации управления идентификацией и доступом и делегировании управления, насколько это возможно, бизнесу. При этом для функционального наполнения он рекомендует исходить из действующих практик: ролевая модель, запрос доступа по требованию, предоставление временного доступа, пересмотр доступа, разделение ответственности, определение и контроль рисков в части управления доступом, аудит доступа, контроль за предоставлением полномочий в обход системы и обработка выявленных инцидентов; плюс к этому менее значимые практики, такие как контроль использования и неиспользования учетных записей, наряду с другими мерами минимизации рисков, связанных с избыточным доступом.

Функционал сегмента SSO, по мнению Александра Махновского, в основном ограничивается поддержкой стандартов в этой области и различных протоколов аутентификации: OpenID Connect и SAML, Kerberos, различные варианты поддержки наследованных систем. Есть функционал SSO, который относится к самообслуживанию, восстановлению доступа, потере пароля и других аутентификаторов. Дальнейшее развитие решений этого сегмента он видит в усилении контроля рисков, связанных с аутентификацией: усиленная аутентификация, многофакторная аутентификация и другие меры, которые помогают снизить риски получения доступа к учетным записям.

Как считает Александр Махновский, для решений сегментов IdP SSO, MFA важно: с позиции ИБ обеспечивать усиленную аутентификации, контроль рисков, связанных с сессиями; с позиции ИТ — облегчение аутентификации пользователей (если говорить про SSO) и корректные сценарии восстановления доступа.

Указывая на значимость управления идентификацией и доступом, директор по специальным проектам компании «Актив» Андрей Тархов отмечает: «Именно функциональность IAM рассматривается сегодня как интеграционный слой, который связывает между собой разнородные элементы ИТ-инфраструктуры и обеспечивает единый контур доверия. Системы IAM должны не только обеспечивать контроль доступа, но и гарантировать проверку пользователей при каждом обращении к ресурсу, независимо от способа обращения: рабочая станция, VPN, VDI, SSH, команда sudo, административные интерфейсы, бизнес-приложения, DevOps- и облачные сервисы. При этом такая проверка вполне может опираться на аппаратную криптографию — токены, смарт-карты, FIDO2-устройства — как надежный способ обеспечения строгой аутентификации с доказуемой стойкостью к компрометации».

Обязательные компоненты современной IAM-системы, считает он, выстраиваются вокруг такой логики: централизованное управление идентичностями, политики доступа, аудит, федерация; их связующим элементом становится именно IAM как интеграционная платформа, которая обеспечивает сквозную строгую аутентификацию на базе аппаратной криптографии во всех точках инфраструктуры. Без этого система остается фрагментированной и не способна обеспечить управляемое и непрерывное доверие.

Директор управления сервисов безопасности компании «СберТех» Евгений Синельщиков полагает, что все технологические направления систем управления идентификацией и доступом, представленные на российском рынке отдельными продуктами, согласно сформировавшемуся среди его участников консенсусу, объединены в технологический фундамент корпоративных IAM-систем, представленный пятью модулями.

Первый модуль — Identity Governance & Administration (IGA). Он отвечает за полный жизненный цикл учетных записей сотрудников — от приема на работу до увольнения. Критическая значимость IGA заключается в том, что он исключает появление «забытых» учеток уволенных сотрудников. Вручную администрировать права в крупных компаниях невозможно, а оставленные аккаунты становятся важной точкой входа для внешних кибератак.

Второй и третий компоненты — это модули Single Sign-On (SSO) и многофакторной аутентификации (MFA). Технология сквозной аутентификации SSO позволяет пользователю авторизоваться один раз для входа во все разрешенные системы. Это повышает продуктивность персонала и разгружает службу технической поддержки от бесконечных заявок на сброс паролей. MFA — важный рубеж киберобороны. Кража учетных данных остается ключевым вектором хакерских атак, и наличие второго фактора защиты — push-уведомлений, токенов или биометрии — нивелирует эти риски, даже если пароль был скомпрометирован.

Четвертым элементом выступает модуль контроля и управления сессиями. Он осуществляет непрерывный мониторинг действий пользователя в режиме реального времени после прохождения авторизации. Наличие такого модуля позволяет реализовать парадигму адаптивного риск-ориентированного доступа. Если система фиксирует аномальное поведение. Например, нетипичное время входа или попытку массовой выгрузки данных, сессия может быть мгновенно прервана или отправлена на повторную проверку.

Наконец, пятый обязательный компонент — это развитая база коннекторов и программных интерфейсов приложений (API). Без них любая IAM-платформа останется изолированной вещью в себе. Заказчикам критически важно, чтобы система могла одинаково успешно подключаться «из коробки» как к новым микросервисным приложениям по современным протоколам (OIDC, SAML), так и к тяжелым унаследованным системам через кастомные шлюзы.

Современная архитектура IAM строится вокруг глобальной концепции Zero Trust («никогда не доверяй, всегда проверяй»). Перечисленные компоненты работают только в связке, полностью закрывая весь цикл работы с «цифровой личностью» внутри корпоративного периметра.

Окончание следует

«Аванпост» — партнер обзора