Российское vs иностранное

Сравнивая функционал отечественных решений для управления идентификацией и доступом с функционалом иностранных вендоров, технический директор компании Avanpost Александр Махновский отмечает, что у лидеров российского рынка отставание минимальное, более того, в российских продуктах начали появляться функции, отсутствующие в решениях иностранных конкурентов. Он согласен с оценкой доли зарубежных продуктов в России в 40-50% и с причиной этого в том, что замена решений, особенно класса IDM/IGA, представляет собой трудоемкий процесс. Он отмечает, что российские компании, которые пользуются иностранными продуктами, вложили значительные средства в освоение и развитие; заменить продукт, который работает, всегда достаточно сложно (ситуация с решениями компаний Sail Point или One Identity); нужно ждать, пока он устареет или лишится технической поддержки (ситуация с решениями компаний IBM, Oracle, Microsoft); в этом случае решения о замене принимаются гораздо проще.

Точным оценкам российского рынка IAM, отмечает директор по стратегическому развитию компании «МУЛЬТИФАКТОР» Виктор Чащин, мешает его непрозрачность: иностранные вендоры так или иначе публикующие данные о своем бизнесе, массово покинули наш рынок, часть российских вендоров перестала раскрывать данные, тендерная активность во многом закрыта.

Со своей стороны соучредитель компании Octopus Identity (входит в Группу «Индид») Яков Фишелев отмечает, что доля зарубежных IDM-решений у российских заказчиков составляла около 50% только до 2022 года, а сейчас она снизилась примерно до 30%. В основном на зарубежных продуктах продолжают работать крупные организации, как правило, с численностью сотрудников более 10 тыс. человек. Для них переход на новые решения являются не простой заменой одной системы на другую, а сложным масштабным проектом трансформации рабочих процессов и архитектуры управления доступом. В таких компаниях IDM-решения часто подключены к десяткам и даже сотням систем: кадровым, каталогам, почте, ERP, бизнес-приложениям, внутренним сервисам, специализированным ИТ-платформам. Естественно, что эта категория заказчиков предъявляет повышенные требования к функциональности, надежности, отказоустойчивости и возможностям сосуществования старой и новой систем на этапе миграции. Они внимательно оценивают зрелость российских решений и смотрят не только на текущий набор функций, но и на готовность продукта к развитию на горизонте семи — десяти лет.

Возвращаясь к теме компонентного наполнения систем управления идентификацией и доступом, Яков Фишелев отмечает, что его неопределенность характерна не только для российского рынка. Он согласен с тем, что IDM скорее проектный продукт, чем классическая коробочная система. IDM глубоко встраивается в ИТ-архитектуру, бизнес-процессы и модель управления доступом конкретной организации, поэтому универсального списка требований к этим системам, который одинаково подошел бы всем заказчикам, фактически нет. Простое сравнение заказчиком таблиц с перечислением функций систем работает плохо: на бумаге многие решения выглядят похожими, но реальная разница проявляется в том, как именно реализованы рабочие сценарии и насколько гибко их можно адаптировать. При выборе IDM-системы, полагает он, стоит обращаться к демонстрациям конкретных сценариев, по возможности проводить пилоты в собственной ИТ-среде. Важно оценивать не только набор функций и готовых коннекторов, но и гибкость архитектуры, наличие пакетов SDK, конфигураторов и возможность перестраивать процессы без постоянного обращения к вендору, ведь требования к доступу, ИТ-ландшафт и организационная структура компании неизбежно меняются со временем.

В то же время, отмечает Яков Фишелев, российский рынок IDM-решений существует более двадцати лет, и за это время у заказчиков, вендоров и интеграторов сформировалось понимание базового функционального ядра таких решений. В первую очередь, по его мнению, это управление жизненным циклом доступа: автоматизация процессов приема, перевода, отпуска, увольнения, изменение данных сотрудников, централизованное создание, изменение и блокировка учетных записей в подключенных системах. Обязательным компонентом, по его мнению, является также портал заявок и согласований доступа. В одних компаниях это может быть отдельный IDM-портал, в других это интеграция с единым порталом самообслуживания ITSM. Важны также готовые коннекторы к ключевым корпоративным системам и возможность развития ролевой модели доступа, чтобы постепенно снижать долю индивидуальных заявок и ручных назначений. При этом зрелость решения определяется не только количеством готовых функций, но и гибкостью: возможностью быстро создавать новые интеграции и адаптировать процессы под инфраструктуру заказчика. Все большее значение получают функции IGA: контроль легитимности доступа, аналитика, выявление рисковых прав, конфликтов совмещения полномочий и отклонений от политик. В отдельных проектах заказчик может даже начинать внедрение именно с функций контроля, а не с классической автоматизации жизненного цикла.

Новое поколение IdM-систем полностью заменит привычные сегодня IdM?

IdM-системы давно стали привычным элементом корпоративной ИТ-инфраструктуры. Рынок развивается уже не первое десятилетие: у заказчиков есть сформированные ожидания, у вендоров зрелые продукты, у команд ИБ и ИТ — накопленная практика внедрения и эксплуатации.

Яков Фишелев, соучредитель Octopus Identity

При этом сама задача управления доступом за последние годы заметно изменилась. Если раньше IdM в первую очередь ассоциировался с жизненным циклом учетных записей сотрудников, заявками, согласованиями и ролевыми моделями, то сегодня компании сталкиваются с гораздо более сложной средой. Инфраструктура становится распределенной, количество систем растет, роли сотрудников меняются быстрее, а вместе с пользователями доступ получают приложения, сервисы, технические учетные записи и AI-агенты.

На этом фоне многие разработчики IdM-систем заявляют о поддержке новых технологий: искусственного интеллекта, аналитики, автоматизации, графовых моделей данных. Однако ключевой вопрос в другом: можно ли просто «добавить» новые технологии к привычной архитектуре или для работы с современными вызовами требуется принципиально новое поколение IdM-систем?

Антон Фроловский, руководитель команды разработки Octopus Identity

Чтобы ответить на этот вопрос, стоит рассмотреть несколько технологических сдвигов, которые уже меняют подход к управлению айдентити.

Graph как новые «мозги» IdM

Классические IdM-системы во многом строились вокруг реляционных баз данных, списков правил, процессов и заранее описанных сценариев. Такой подход хорошо работает там, где бизнес-среда относительно стабильна: есть понятные подразделения, типовые роли, фиксированные маршруты согласований и прогнозируемые изменения в жизненном цикле пользователя.

Но современная корпоративная инфраструктура редко бывает такой предсказуемой. В ней одновременно существуют сотрудники, подрядчики, сервисные учетные записи, приложения, облачные ресурсы, временные доступы, роли, группы, привилегии и множество связей между ними. В такой модели ценность представляет не только сам объект, но и его отношения с другими объектами.

Именно здесь появляются графовые технологии. Переход на графовые структуры (Identity Graph) радикально меняет архитектуру систем управления доступом. Graph-подход позволяет смотреть на инфраструктуру айдентити не как на набор отдельных записей, а как на комплекс взаимосвязей: кто к чему имеет доступ, через какие группы он его получил, какие права наследуются, где появляются аномалии, какие связи создают избыточные риски.

Фактически Idenity Graph становится новыми «мозгами» IdM. При таком подходе данные не просто хранятся, а помогают системе находить закономерности, выявлять скрытые зависимости, подсказывать решения и быстрее отвечать на сложные вопросы. Например, аналитик может увидеть, почему у сотрудника появился доступ к критичной системе, какие промежуточные связи к этому привели и насколько такой доступ соответствует его текущей роли. Руководитель может быстрее оценить риски по подразделению. Специалист ИБ — найти нетипичные полномочия или потенциально опасные комбинации прав.

Для IdM-систем это серьезный шаг в развитии: система перестает быть только инструментом исполнения заранее заданных процессов и становится аналитической платформой, которая помогает понимать реальное состояние доступа в компании.

Далее

Крупные отечественные вендоры рынка управления идентификацией и доступом, считает руководитель продукта Solar inRights ГК «Солар» Ярослав Жиронкин, которые разрабатывают свои решения более десяти лет, уже догнали зарубежных конкурентов по производительности своих продуктов, а по ряду реализованных в них функций даже опередили их. Он отмечает активный переход российских компаний на отечественные системы управления идентификацией и доступом, особо выделяя направление IGA. Однако при этом, по его оценкам, доля зарубежных решений в этой области все еще превышает 50%.

По оценкам менеджера по развитию бизнеса JMS&JAS компании «Аладдин» Станислава Винарского, российский рынок IAM-систем давно находится в стадии зрелости, а доля российских решений (которые в целом иностранным не уступают) в этой области заметно превышает долю иностранных. Полностью же заменить их, по его мнению, мешают следующие основные причины. Процесс импортозамещения в сфере управления идентификацией и доступом, полагает он, осложняется тем, что, во-первых, сложно и дорого отказаться от годами проверенных, привычных и надежных иностранных решений (при все еще сохраняющемся недоверии к российскому ПО). Процесс миграции с системы на систему, соглашается он с коллегами по обзору, как правило, непрост, дорог и связан с рисками для непрерывности бизнес-процессов. К тому же есть дефицит специалистов, способных на должном уровне эксплуатировать российские системы.

Ближайшие перспективы технологического развития IAM в России

По мнению аналитиков в ближайшие три года системы IAM будут развиваться по трем стратегическим направлениям: усиление аутентификации (прежде всего за счет беспарольных технологий); интеллектуализация управления доступом (аналитика на основе искусственного интеллекта (ИИ) и динамические политики управления); расширение понятия управления идентичностями (переход в идентификации от сущности «пользователи» к сущностям «сервисы, устройства и программные компоненты».

На горизонте развития в 3-5 лет, по мнению Александра Махновского, для функционала решений IDM/IGA, важным становится управление технологическими привилегированными учетными записями, которые стали одними из важнейших целей кибератак. Цель развития направления управления идентификацией и доступом, считает он, в повышении общей ИБ. В рамках концепции Identity Security на первый план выходят интеграция со смежными системами (хранилищами секретов, системами управления привилегированным доступом), совместные сквозные сценарии с этими системами, корректное взаимодействие с различными системами ИБ, в первую очередь SIEM, SOAR и другими компонентами ИБ-систем, которые направлены на выявление инцидентов и реагирование на них.

Avanpost Identity Security Platform — это комплексная платформа класса Identity Security, предназначенная для централизованного управления цифровыми идентичностями и контроля доступа пользователей, устройств и приложений в корпоративной ИТ-среде.

Платформа построена на собственной технологической базе, масштабируется под высоконагруженные и геораспределённые инфраструктуры и позволяет организациям повысить уровень безопасности без усложнения ИТ-ландшафта.

Подробнее

Все более популярные облачные сервисы с позиции управления идентификацией и доступом, считает Яков Фишелев, порождают еще один класс управляемых систем. Для них, как и для традиционных корпоративных приложений, необходимо создавать учетные записи, назначать права, контролировать жизненный цикл доступа и своевременно блокировать доступ при увольнении или изменении роли сотрудника. При этом облачная среда усиливает спрос на более гибкие сценарии управления доступом, например доступ Just-in-Time, когда права предоставляются только в момент выполнения конкретной операции или на ограниченный период времени. Такой подход помогает снизить риски избыточных постоянных прав и в отдельных случаях оптимизировать расходы на лицензии.

Спрос на публичные облачные IAM отмечает Виктор Чащин, особенно со стороны банков, маркетплейсов, провайдеров цифровых сервисов — там, где важна масштабируемость, скорость запуска, работа с миллионами пользователей. Если же обратиться к сегменту крупных корпораций, то там доминируют архитектуры on-premise и приватные облака. И дело не только в консерватизме. Есть требования к персональным данным, ограничения для КИИ и т.д. Как результат, облачный IAM в России не универсальный стандарт, а инструмент под конкретные задачи.

IDM-системы как облачные сервисы, согашается Яков Фишелев, в России не стали массовыми. Для IDM преимущества архитектуры multi-tenant не выглядят столь очевидными, зато вопросы конфиденциальности, безопасности, контроля над данными и гибкости остаются критичными, считает он. Поэтому для крупных заказчиков и регулируемых отраслей on-premise-модель по-прежнему воспринимается как предпочтительная. В то же время современное IDM-решение должно уметь работать с гибридной инфраструктурой и управлять доступом как к внутренним, так и к облачным системам.

Рассматривая как перспективное влияние облачных ИТ-технологий на решения управления идентификацией и доступом, Александр Махновский отмечает, что случаи использования облачных решений класса IDM/IGA ему неизвестны, при том, что в России широко применяются облачные решения для многофакторной аутентификации. Для большинства компаний, которые являются технологическими, обладающими гибридной инфраструктурой, и небольших компаний, считает он, использование многофакторной аутентификации из облака — логичное и понятное решение.

Вместе с этим, продолжает он, топовые российские вендоры SaaS и PaaS-инфраструктур поддерживают современные протоколы аутентификации (OpenID Connect, SAML), SCIM для автоматизированного процесса настройки, предоставления и управления ИТ-услугами, устройствами и программным обеспечением (провижининга) и управления доступом. Большинство из них ориентируются на то, что к их услугам обращаются компании с гибридной инфраструктурой, и поэтому они предоставляют корректные инструменты для интеграции с системами класса IAM. Это влечет за собой появление такого функционала в on-premise продуктах, и в целом облегчает задачу в части интеграции современных решений.

Как считает Яков Фишелев, ИИ становится одним из существенных направлений развития IDM-систем. Это особенно актуально, потому что IDM остается сложным классом решений: такие проекты требуют технической настройки, консалтинга, анализа процессов, построения ролевых моделей, интеграции со множеством систем и постоянной адаптации под изменения у заказчика. ИИ может упростить работу как на этапе внедрения, так и в процессе эксплуатации. В инженерных задачах он способен помогать с конфигурированием, анализом интеграций, подготовкой сценариев и поиском ошибок. В задачах бизнеса и аналитики — упрощать взаимодействие с IDM-системой через запросы на естественном языке, помогать в расследованиях, выявлять закономерности, аномалии и потенциальные риски в модели доступа.

Особенно перспективно применение ИИ в аналитике доступа и развитии ролевых моделей. Вместо ручного построения сложных отчетов пользователь сможет задавать системе вопросы: кто имеет доступ к определенному ресурсу, почему он был выдан, где есть конфликты полномочий или какие права выглядят нетипичными для конкретной роли, могут анализировать фактические доступы сотрудников, находить повторяющиеся паттерны и предлагать потенциальные роли. ИИ в IDM, по мнению Якова Фишелева, не просто дополнительная функциональность, а инструмент для перехода к более точному и гибкому управлению доступом.

Станислав Винарский считает, что ИИ в контексте IAM нужно рассматривать как инструмент поведенческого анализа нового уровня, а решения на его основе, как продвинутые, постоянно обучающиеся системы. Для тиражируемых решений, по его мнению, это очень сложно и дорого в разработке, внедрении и сопровождении; однако кастомная разработка для крупных заказчиков вполне возможна.

Активный переход от классических статических систем контроля к динамическому управлению идентификацией и доступом, по мнению директор управления сервисов безопасности компании «СберТех» Евгения Синельщикова, делает использование ИИ в российских решениях IAM крайне востребованным. Технологии машинного обучения стали ключевым ответом на усложнение ИТ-ландшафта, нехватку профильных специалистов и рост киберугроз. В условиях масштабного импортозамещения отечественные вендоры активно внедряют ИИ, чтобы сохранять конкурентоспособность. ИИ закрывает пробелы в безопасности и автоматизации, качественно меняя привычные процессы. К примеру, поведенческий анализ (UEBA) позволяет обучать систему на привычках сотрудников, чтобы мгновенно блокировать доступ при фиксации аномалий — нетипичное время входа, странные запросы или использование новых устройств. Умная выдача прав (Role Mining) помогает автоматически выявлять и формировать оптимальные ролевые модели в крупных корпорациях на основе анализа реальных доступов похожих сотрудников. Автоматизация рутины передает ИИ-агентам согласование типовых и безопасных прав, что разгружает ИТ-службу и снижает издержки. В отличие от классических IAM-систем, которые работают по строгим статическим правилам, современные решения с ИИ обеспечивают непрерывную оценку рисков в режиме реального времени на протяжении всей рабочей сессии. Это позволяет бизнесу минимизировать человеческий фактор как причину утечек данных, ускорить внедрение систем контроля внутри организации и эффективно защищать ИТ-инфраструктуру.

Евгений Синельщиков предупреждает, что использование ИИ порождает для IAM-систем новые задачи — контроль доступа самих ИИ-агентов. По мере их распространения компании должны управлять правами агентов так же строго, как и правами сотрудников. При этом для безопасности бизнеса важно, чтобы такие решения оставались совместимыми с существующей инфраструктурой и не требовали сложных аппаратных внедрений.