One Identity Manager разрешает взлёт. О создании IAM-системы в динамично развивающемся аэропорту Шереметьево

One Identity Manager разрешает взлёт. О создании IAM-системы в динамично развивающемся аэропорту Шереметьево

На фоне утверждений о расширении источников и коварстве внешних киберугроз глубоко погружённые в тему информационной безопасности (ИБ) специалисты единодушны во мнении, что главные угрозы для конфиденциальности информации и целостности/доступности информационных ресурсов и информационных систем таятся внутри организации.

При этом для большой, динамично развивающейся компании упомянутые угрозы зачастую могут исходить не от враждебных сил, а возникать вследствие несовершенства системы для управления идентификацией и правами доступа (IAM). А то и вследствие фактического отсутствия такой системы именно как системы, меняющейся синхронно с изменениями в основном ядре деловых процессов в компании/организации.

ПОДТВЕРЖДЕНИЕ ТЕЗИСА

В то же время можно использовать такой подход к созданию, эксплуатации и поддержке IAM-системы, который обеспечит экономически эффективное её внедрение, простоту администрирования и обеспечение должного уровня ИБ в контексте процессов управления идентификацией и доступом к различным ресурсам компании/организации.

Подтверждение этого тезиса можно найти в опыте внедрения IAM-системы на основе платформы OneIdentityManager в аэропорту Шереметьево. Эта платформа сочетает в себе законченность «коробочного» решения и возможности кастомизации и развития силами самой организации. Впрочем, слово «силами» возможно слишком сильное определение для потребных ресурсов (прошу прощения за тавтологию), ибо в конкретном примере речь идёт о нескольких специалистах (меньше пяти, их количество менялось по ходу выполнения проекта), в то время, как общие масштабы и человеческие ресурсы аэропорта Шереметьево хорошо представляют, полагаю, большинство читателей этого материала.

СТАРТОВЫЕ УСЛОВИЯ

Какими были стартовые условия? Рассказывает начальник Службы информационной безопасности аэропорта Шереметьево Андрей Корабельников: «Во-первых, мы недавно вошли в большую лигу аэропортов с пассажиропотоком более 40 млн пассажиров в год. Во-вторых, у нас существовал ручной режим управления доступом с периодическими проверками прав доступа. В-третьих, основная задача, которая у нас была на момент старта проекта, — это прекращение избыточного доступа».

По сути, стартовые условия, в которых было принято решение о начале проекта по внедрению новой системы комплексного и непрерывного управления идентификацией и правами доступа, — ​это движение, переход. Переход от состояния организации, замершей в какой-то момент в своём развитии, организации со стабильным в количественном и персональном измерениях коллективом, к состоянию, когда меняется и развивается базовая инфраструктура и деловые процессы аэропорта, проводится кадровая реорганизация, появляются новые отделы, открываются в конкретных временных рамках новые проекты и для этого привлекается дополнительный персонал, и завершаются старые проекты, а задействованные в них сотрудники переходят на новые места с иными требованиями к использованию ресурсов компании.

В новых условиях «ручное» управление процессами идентификации и правами доступа стало не поспевать за меняющимися требованиями к коррекции прав доступа, требованиям к своевременности прекращения избыточного доступа, не поспевать за динамикой требований к управлению идентификацией и правами доступа новых сотрудников, находящихся в разных трудовых отношениях с компанией.

ЖЁСТКАЯ КОНКУРЕНЦИЯ

Почему была выбрана именно компания One Identity? Рассказывает Андрей Корабельников: «В 2018 году у нас появилось понимание, чего мы хотим от IdM-продукта и какие характеристики важны. При выборе коммерческого решения для создания IAM-системы аэропорта Шереметьево рассматривалось несколько «претендентов». One Identity Manager выиграл «гонку» по сумме критериев. Можно отметить следующие важные особенности One Identity Manager, которые были важны для нас:

• хорошая документированность системы;
• высокий уровень зрелости продукта;
• готовность системы к самостоятельному сопровождению и развитию. Многие вещи мы смогли сделать самостоятельно;
• открытость интерфейса для глубокой кастомизации;
• глубокая интеграция с системой SAP».

Другим достоинством One Identity Manager, оцененным специалистами аэропорта Шереметьево, стала открытость кода платформы, что позволяет производить кастомизацию конечного решения в ходе конкретного проекта и оперативно актуализировать возможности уже работающий IAM-системы аэропорта с использованием agile-подхода по мере появления новых потребностей.

В ДВА ЭТАПА

Создание IAM-системы в Шереметьево, которая, как уже доказано практикой, удобно обеспечила сотрудникам компании постоянный доступ к требуемым приложениям, платформам, системам и данным, происходило в два этапа, без предпроектного «консалтинга».

С апреля по октябрь прошёл пилотный проект, в результате которого организация получила надёжно работающую и высокоавтоматизированную IAM-систему, которая к тому же освободила базовые ИТ-службы от поддержки системы управления идентификацией и правами доступа.

После этого, менее чем через год, по мере роста зрелости процессов в организации, был выполнен расширенный проект.

В ЧИСЛЕ ПРОЧЕГО

Результатом выполненных работ оказалась, в числе прочего, возможность для пользователей в компании управлять личным доступом через веб-портал самообслуживания без вмешательства ИТ-специалистов. При необходимости с помощью этого портала пользователи создают запросы на предоставление доступа к ресурсам компании, выбрав необходимый ресурс и «положив» его в корзину, после чего запрос проверяется. Руководитель может самостоятельно одобрять или отклонять поступающие запросы, не обращаясь за помощью к ИТ-специалистам — ​для этого достаточно использовать графический редактор. При этом One Identity Manager поддерживает режим моделирования, который позволяет оценить последствия изменений до того, как они будут внедрены в работу и выявить на какие объекты, пользователей, правила и процессы такие изменения повлияли.

Встроенные в One Identity Manager инструменты аудита позволяют отслеживать любые действия, выполняемые с любыми объектами в рамках любых процессов, а также все производимые изменения объектов и процессов. Функция «аудиторского следа» позволяет получить информацию о том, что было изменено, каким образом, кем и в какое время. Полученная информация может быть представлена в удобной для анализа форме, с помощью создаваемых в графическом редакторе отчетов.

ПРОВЕРЕНО ПРАКТИКОЙ

Что на сегодня? Рассказывает Андрей Корабельников: «Мы считаем, что мы достаточно плавно прошли этап появления роли владельца ресурса в компании. Пользователи на практике убедились и усвоили, что если все делать правильно, по процессу, то они в итоге тратят меньше времени.

Процесс идет. Сейчас у нас команда управления доступом состоит из двух человек. В ближайшее время планируем подключить к IdM порядка десяти ИТ-систем, которые необходимы в рамках выполнения требований 187-ФЗ по защите критической инфраструктуры».

В заключение уместно заметить, что на основе One Identity Manager выполнено немало успешных проектов, в мире более 700 и около 40 проектов в России и СНГ, что позволяет российским заказчикам предварительно ознакомиться с возможностями «боевых» решений на основе этой платформы. В качестве «вишенки» на торте перед окончательным выбором One Identity Manager возможно проведение бесплатного «пилота» на тестовой среде.