Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Пожалуйте на ковер

Джеффри Рабин

Пакет управления идентификацией и доступом позволит продемонстрировать ваше особое отношение к партнерам и клиентам в предоставлении к доступа к информационным ресурсам вашей компании.

Вам наверняка знакома такая проблема: ваша организация должна, с одной стороны, обеспечить надежную авторизацию, аутентификацию и аудит пользователей и информационных ресурсов, к которым они обращаются, с другой — гарантировать своим клиентам и партнерам максимум удобств при работе в сети.

Для соблюдения первого условия нужно реализовать систему, решающую так называемую задачу трех “А”: аутентификации (кто вы?), авторизации (к каким ресурсам у вас есть допуск?) и аудита (кто, когда и к каким ресурсам обращался?). Собирать все эти данные вручную — процесс слишком трудоемкий, и многие организации с целью снижения издержек прибегают к автоматизации. Но и это задача непростая: приходится иметь дело с множеством хранилищ идентифицирующей информации, разнообразными ОС и учитывать интересы бизнес-подразделений фирмы.

Полную версию данной статьи смотрите в 13-ом номере журнала за 2004 год.

По данным компании Gartner, типичная корпорация из списка Fortune 1000 поддерживает в среднем 181 хранилище данных. Джексон Шоу, менеджер по продуктам MIIS (Microsoft Identity Information Server), рассказал нам об одном из своих заказчиков, у которого было 89 отдельных хранилищ идентифицирующей информации. Другой менеджер, работающий в отделе клиентского обслуживания одной из компаний из списка Fortune 100, сообщил, что в течение рабочего дня его идентифицирующие параметры сверяются с данными дюжины внутренних и десятка внешних хранилищ. По словам Шоу, его сильно беспокоит возникновение риска, связанного с хранением данных как нынешних, так и бывших работников компании, притом что сотрудники нередко пользуются несанкционированным доступом к информационным ресурсам. Обратная ситуация столь же неприятна: сотрудник, которому действительно нужен доступ к ресурсу, не может его получить и тратит недели, пытаясь добиться соответствующей авторизации.

Не следует думать, будто такие ситуации редкость. Мы попросили наших читателей оценить число Web-ресурсов, предлагаемых их организациями пользователям, прошедшим аутентификацию. Почти половина из 307 респондентов сообщили, что они поддерживают более 100 таких ресурсов, а 12% — что у них свыше 5 тыс. доступных ресурсов. Теперь представьте себе, как сложно решить задачу персонализации доступа к этим ресурсам для VIP-клиентов и партнеров компании, включая единую регистрацию и функции самообслуживания.

Такое печальное состояние дел можно отнести на счет отсутствия интеграции технологий и недостатков процедур и политики безопасности. Если какое-то подразделение компании пытается реализовать ИТ-проект в рамках ограниченного бюджета, ему проще нанять консультанта, чтобы он установил самостоятельное Web-приложение, нежели пытаться продираться сквозь дебри инстанций и интегрировать его с уже имеющимся хранилищем идентифицирующих данных. По большей части такие вроде бы маловажные проекты осуществляются без одобрения и — более того — без ведома отдела ИТ, который узнает о них только тогда, когда появляются проблемы с безопасностью или масштабируемостью приложений.

Что делать?

Помочь вам могут пакеты управления идентификацией и доступом (Identity and Access Management — IAM). Мы проте-стировали пять IAM-продуктов (см. обзор “Управляю, следовательно, существую” в этом номере журнала). Рынок IAM-продуктов за последние два года сильно изменился. Многие поставщики, когда-то специализировавшиеся на решениях управления либо Web-доступом, либо идентификацией, теперь предлагают ПО, обеспечивающее и те и другие функции. Ниже приводим краткий перечень ключевых концепций в данной области:

• Процесс управления идентификацией включает в себя создание, поддержку идентифицирующей информации, ее удаление и общий контроль за ней в рамках организации. Другими словами, управление идентификацией имеет отношение исключительно к аутентификации, а не к авторизации — так? Не совсем. Для управления идентификацией требуется применение политики безопасности и осуществление синхронизации идентифицирующих данных между несколькими хранилищами. Такие хранилища могут иметь сетевые ОС, серверы БД, службы справочника, системы кадрового учета, бизнес-приложения и ПО электронной коммерции.Многие организации, еще больше усложняя процесс управления, подчас держат идентифицирующую информацию в двух хранилищах, иногда содержащих противоречивые данные. Например, данные об адресе в отделе кадров могут быть обновлены, а в онлайновом списке сотрудников остаться прежними. Так как в ИТ-отрасли сейчас популярна идея интегрированной идентификации (federated identity), которая позволяет безопасно обмениваться идентифицирующими данными между доменами, то организации, некогда управлявшие только данными своих сотрудников, теперь должны разбираться и с внешними идентифицирующими данными, в том числе с данными своих поставщиков, посредников и партнеров. Поскольку интегрированная идентификация все еще пребывает, так сказать, в “младенчестве”, то велика вероятность, что реализуемые сегодня подобные системы сильно изменятся в будущем.

• Управление Web-доступом заключается в предоставлении пользователям контролируемого допуска к Web-ресурсам. Система управления Web-доступом, как правило, включает в себя компонент единой регистрации (Single Sign-On — SSO) для единовременной аутентификации. Такая система отслеживает “удостоверения личности” (мандаты) пользователей во время их попыток получить доступ к информационным ресурсам внутри или вне организации. Однако из-за сложности интегрирования разнородных и, возможно, унаследованных приложений реализация SSO часто оказывается делом будущего, а не ближайшей перспективы. Лучшее, на что здесь могут рассчитывать большинство организаций, — это “урезанный” вариант SSO, поддерживающий минимальное число регистраций.

• В силу возникновения всякого рода проблем, связанных с выделением ресурсов (provisioning), новому сотруднику нередко приходится ждать более суток, прежде чем ему выдадут цифровое “удостоверение личности” с соответствующим уровнем допуска к ресурсам. Выделение ресурсов с точки зрения бизнеса является обычно более сложным делом, чем с технологической точки зрения, поскольку в компании часто не представляют себе, кто отвечает за управление ресурсами, кто — за аудит и кто — за предполагаемые риски. Системы выделения ресурсов позволяют упростить управление процессом предо-ставления или отказа в допуске к ресурсам и централизовать его. Протестированные нами модули выделения ресурсов разрешают пользователям регистрироваться самостоятельно и поддерживают бизнес-процедуру утверждения их полномочий доступа.

• Делегирование административных полномочий ведет к тому, что организации начинают доверять своим подразделениям или даже партнерам право управления подмножествами пользователей или задач. Такая децентрализация управления дает возможность организациям смягчить остроту проблемы управления идентификацией. В этом процессе задействованы по меньшей мере два субъекта: лицо, официально устанавливающее полномочия доступа, и лицо (механизм), которое(ый) физически предоставляет доступ.

• Интегрированная идентификация (federated identity) является “новой волной” в индустрии информационной безопасности, которую большинство поставщиков мечтают “оседлать” в ближайшие несколько лет. Система управления интегрированной идентификацией (Federated Identity Management — FIM) позволит компаниям обмениваться идентифицирующей информацией, предоставляя сотрудникам, заказчикам и партнерам доступ к корпоративным информационным системам и ресурсам. FIM — это нечто большее, чем просто технология: чтобы воспользоваться всеми ее преимуществами, организация должна реализовать соответствующую политику, осуществить некоторые процедуры и заключить соглашения о доверительных отношениях.

Как уже указывалось, FIM находится еще на “младенческой” стадии развития, для которой характерно соперничество стандартов. Лидирует спецификация SAML (Security Assertion Markup Language), ее поддерживают все поставщики протестированных нами продуктов. Эта спецификация базируется на технологии XML и разрабатывается комитетом SSTC (Security Services Technical Committee) в рамках организации OASIS (Organiza-tion for the Advancement of Structured Information Standards). SAML в качестве составной части входит в спецификацию Liberty Alliance, поддерживаемую одноименной отраслевой группой, сформированной с целью продвижения стандартов интегрированной идентификации.

Компании Microsoft и IBM выступили с предложением альтернативной спецификации — WS-Federation (Web Services-Federation). Мы считаем, что эти два стандарта со временем объединятся в один — возможно, когда на свет появится SAML 2.0.

Движущие силы рынка

Можно назвать четыре основных мотива для развертывания IAM-систем: соответствие юридическим требованиям, безопасность, экономия на издержках и увеличение доходов.

Соответствие юридическим требованиям. В последние годы было принято несколько законов, имеющих прямое отношение к управлению идентификацией и обеспечению безопасного доступа к информационным ресурсам. Помимо актов, которые будут перечислены ниже, организациям следует ознакомиться также с актом Gramm-Leach-Bliley от 1999 г. и постановлениями Европейского Союза о неприкосновенности частной жизни — они строже аналогичных законов США.

• Sarbanes-Oxley Act: в его разделе 404 от организаций требуется развертывание и поддержка соответствующей инфраструктуры управления доступом с ежегодной оценкой ее эффективности.

• HIPAA (Health Insurance Portability and Accountability Act): в разделе 164.312 прописаны принципы реализации политики и процедур безопасности, позволяющих гарантировать доступ к конфиденциальной медицинской информации только лицам с соответствующими полномочиями.

• Patriot Act: в разделе 326 от фирм, оказывающих финансовые услуги на территории США, требуется осуществлять сбор, проверку и документирование информации, идентифицирующей каждое физическое или юридическое лицо, которое открывает счет.

Безопасность. Недостатки в планировании и реализации информационных систем увеличивают риск несанкционированного вторжения в них. Например, злоумышленник, “взломавший” одну учетную запись SSO, сможет сразу получить доступ к множеству ресурсов. Для отражения этой угрозы во все протестированные нами IAM-продукты встроены средства детального аудита и отчетности, а некоторые из них снабжены триггерами событий, средствами мониторинга и уведомления.

Экономия на издержках. Со временем IAM-инфраструктура должна дать как осязаемую, так и неосязаемую экономию на издержках. Например, большинство из протестированных нами систем поддерживают средства делегирования административных полномочий и выделения ресурсов пользователям, что облегчает менеджерам процедуры задания параметров, запрета и контроля доступа к конкретным ресурсам. Вдобавок пользователи могут переустанавливать свои пароли с помощью функций самообслуживания этого ПО. Применение таких средств должно привести к снижению числа звонков в службу поддержки и суммарных издержек на администрирование. По данным нашего опроса, 31% респондентов заявили, что их компании разрешают конечным пользователям самостоятельно переустанавливать пароли, а также обновлять свои персональные данные, такие, как адрес и телефонный номер. Согласно данным Gartner, компания со штатом в 10 тыс. человек, автоматизировавшая выделение ресурсов для 12 приложений, сэкономит около 3,5 млн долл. за три года, исходя из предположения, что каждый год она сэкономит 6600 рабочих часов службы поддержки и еще 14 тыс. часов, которые менеджеры отдела ИТ в совокупности тратят на управление доступом пользователей.

Настроив под свои нужды ПО IAM, компании смогут получить и дополнительную экономию за счет использования встроенных функций или специализированных API-интерфейсов для автоматизации бизнес-процедур. И наконец, единая регистрация и функции самообслуживания дадут сотрудникам возможность незамедлительно получать доступ к ресурсам и облегчат запоминание идентифицирующей информации.

Увеличение доходов. Главной целью любой организации, занимающейся электронной коммерцией, остается увеличение числа транзакций, проходящих через ее Web-сайт. Реализация решения интегрированной идентификации поможет достижению этой цели, позволив организации гарантировать своим торговым представителям, партнерам и внешним филиалам безопасный доступ к информационным ресурсам при более высоких скорости и удобстве использования.

А подходит ли IAM для меня?

На данный момент возможностью реализации IAM в основном заинтересовались крупные организации; около половины участников нашего опроса думают, что потратят менее 50 тыс. долл. на эту технологию. Только 6% из них сказали, что потратят более 500 тыс. долл.

Это только вопрос времени, когда технологии IAM дойдут и до организаций среднего масштаба, которым требуются средства управления регистрацией своих клиентов. По словам менеджера по новым продуктам Брайана Бретона из RSA Security, в его компании как раз около тысячи сотрудников; организации такого масштаба могут пока не спешить с реализацией IAM, хотя его компания уже управляет идентификацией более 12 тыс. пользователей. И RSA не уникальна в этом отношении: один консультант, имеющий большой опыт работы с IAM-решениями, сказал нам, что число учетных записей, которыми надо управлять, может вырасти на порядок, особенно если компания открывает партнерам доступ к своей сети поставок.

Microsoft, сделав упор на управлении идентификацией, пытается завоевать рынок двумя версиями своего ПО MIIS. Пакет Identity Integration Feature Pack — это бесплатная версия MIIS, поддерживающая только справочник Active Directory. Корпоративная версия стоит 24 999 долл. в расчете на один процессор и может работать с несколькими из протестированных нами продуктов. Однако сам продукт Microsoft не подошел для нашего тестирования, поскольку не обеспечивал управления доступом.

Мы не рекомендуем пытаться самостоятельно использовать эти продукты без соответствующего обучения или консультаций. Так, например, после тестирования продуктов SiteMinder и IdentityMinder компании Netegrity, мы почувствовали потребность пройти “аспирантуру” в штаб-квартире Netegrity, прежде чем погружаться дальше во все хитросплетения управления этим продуктом.

Ниже в приведенном обзоре мы еще поговорим о том, что запуск ПО IAM — это только малая часть трудностей, связанных с ним. Все поставщики, посетившие нашу лабораторию Real-World Labs, в один голос заявили нам, что определение политики и интегрирование хранилищ идентифицирующих данных отнимают массу времени. Так, обычная компания с несколькими хранилищами данных должна установить правила, определяющие, какое хранилище имеет приоритет перед остальными и как хранилища обмениваются идентифицирующей информацией. Политика безопасности может базироваться, в частности, на административном делении (на отделы) или же быть динамической, как в случае с политикой, базирующейся на информации из нескольких хранилищ данных. Необходимо предусмотреть типовые роли и/или функции пользователей. Ролевой контроль упрощает управление тысячами пользователей за счет предоставления им доступа к информационным ресурсам на основе политики безопасности. Если пользователь не соответствует в точности определенной роли, то организация может предоставлять ему допуск к определенным функциям (контроль доступа на базе функций); это позволит добиться более детального управления доступом, но и повысит системные накладные расходы.

Решение о том, какие ресурсы должны быть защищены и в какой степени компрометация данного ресурса окажет неблагоприятное воздействие на всю организацию, должно приниматься на этапе планирования. Это поможет определить уровень аутентификации, необходимый для предоставления доступа к данному ресурсу. Так, помимо имен пользователей и паролей, все протестированные нами продукты поддерживают жетоны, смарт-карты, сертификаты X.509, интегрированную идентификацию и биометрику. После принятия такого решения — тогда и только тогда! — менеджеру по ИТ или правомочному собственнику ресурса можно приступать к заданию списков контроля доступа и правил. Это, конечно, огромная работа, но она окупится за счет расширения возможностей настройки, повышения эффективности и безопасности работы с информационными ресурсами, что позволит ИТ-отделу сделать реальный вклад в процветание компании..





  
13 '2004
СОДЕРЖАНИЕ

бизнес

• 44 этажа «интеллекта» на Canary Wharf

инфраструктура

• Снова о виртуализации памяти

• Централизованное управление удаленными офисами

• Раздача воздуха в системах кондиционирования

• Что стоит за ACD

информационные системы

• Фактор XML

• Приложения ИКТ в здравоохранении

сети связи

• Оптические беспроводные системы связи

• Все дороги телефонии ведут к... IP?

кабельные системы

• Рефлектометры на любой вкус

• Разработка стандарта на центры обработки данных близится к завершению

защита данных

• Пожалуйте на ковер

• Управляю, следовательно, существую

• MPLS и безопасность

новые продукты

• Angel преодолевает препятствия; Новые монтажные шкафы EcoLine; Сервисный маршрутизатор Alcatel 7750 SR


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх