В работе с информационными системами (ИС) ранее широко использовались в основном клиент-серверные приложения и толстые клиенты, однако в настоящее время их остается все меньше, а все больше внедряемых ИС базируются на веб-технологиях. За счет смещения «центра тяжести» вычислений на серверную часть такой подход снижает нагрузку на средства пользовательского доступа к ИС, расширяет возможности использования тонких клиентов, работающих (в отличие от жестко привязанных к операционным системам толстых клиентов) на самых разных программных платформах — от операционных систем, установленных на настольных компьютерах, до ОС, предназначенных для мобильных устройств.
Курс на централизацию
По мере распространения ИС, построенных на веб-архитектуре, актуализируются задачи организации контроля и управления пользовательским доступом к таким системам. При этом можно, разумеется, положиться на отвечающие за такой функционал средства, непосредственно встроенные в СУБД и серверы приложений, которые включают в состав этих ИС. Однако в этом случае каждое приложение оказывается уникальным в части используемых механизмов идентификации, аутентификации и пользовательских учетных записей, что потребует от пользователей запоминать и вводить для доступа к каждому из них свои логины и пароли.
Выход специалисты видят в использовании систем централизованной идентификации, аутентификации и даже авторизации пользователей, единых для всех ИС, к которым обращаются пользователи. Подобные системы избавляют пользователей от необходимости запоминания множества логинов и паролей и предоставляют им под единственной учетной записью прозрачный и однократный вход ко всем ИС, назначенным им ролевой моделью доступа, без необходимости повторного ввода аутентификационной информации даже при перехода из одной ИС в другую. Важно, что при этом ИС используют единые и унифицированные внешние механизмы идентификации и аутентификации, которые к тому же могут быть сертифицированными регуляторами, вместо использования различных и проприетарных механизмов в каждой ИС. В таких системах появляется возможность унифицировать механизмы идентификации и аутентификации благодаря организации единой точки контроля доступа, что позволяет избавить ИКТ-инфраструктуру от избыточной сложности при контроле и аудите доступа сотрудников к ИС.
Централизация процессов контроля и управления идентификацией и аутентификацией является важной современной тенденцией, в развитии которой в первую очередь заинтересованы службы информационной безопасности (ИБ). Ведь при обычном для средней компании количестве ИС, исчисляемом десятками, ИБ-специалисту оперативно определить, с какой ИС в данный момент работает тот или иной пользователь, очень затруднительно. Системы централизации управления доступом позволяют эти задачи решать в кратчайшие сроки и с минимальными трудозатратами, имея к тому же возможность пресечь несанкционированный доступ пользователя при выявлении инцидента информационной безопасности.
Не менее заинтересованной в данном классе систем является служба ИТ — ведь использование прозрачного и сквозного входа в информационные системы позволяет минимизировать количество обращений в службу технической поддержки по вопросам забытых паролей к информационным системам, которых при использовании разнородных систем аутентификации могут быть десятки.
Наряду с идентификацией и аутентификацией при организации доступа пользователя к ИС производится его авторизация, которая по сути определяет объем предоставляемых ему атомарных полномочий в рамках роли при использовании ИС. Процесс авторизации тоже требует централизованного управления, с тем чтобы объединить изолированные в рамках отдельных ИС права доступа, описанные в ролевой модели доступа к каждой конкретной системе.
Доступ в рамках каждой роли строится на базе гранулярной авторизации из атомарных прав доступа к набору объектов и возможных действий с ними. Механизмы централизованной авторизации, объединяя права доступа к объектам в едином ландшафте ИБ, позволяют избежать необходимости хранения авторизационных данных для каждой системы отдельно.
Следует отметить, что веб-приложения, работа которых уже налажена в организации, под требования централизованного управления авторизацией переделывать не стоит. Однако если компания планирует переходить на новую ИКТ-инфраструктуру или вести разработку большого количества веб-приложений, то для нее есть смысл вынести авторизацию пользователей в отдельный ландшафт.
Технологические тренды
В единой системе идентификации и аутентификации можно задействовать возможности мобильных устройств доступа для организации двухфакторной аутентификации, в которой одним из факторов становится само мобильное устройство. В качестве примера можно привести распространенный способ подтверждения доступа к интернет-банкингу кодом подтверждения, передаваемым на мобильный телефон пользователя через SMS.
Помимо мобильных устройств вторым фактором аутентификации в таких системах могут выступать отчуждаемые устройства вроде токенов с цифровой подписью, токенов, генерирующих одноразовые пароли, и т. п.
Все большую популярность в подсистемах управления аутентификацией в качестве второго фактора приобретают биометрические технологии, позволяющие сравнивать с записанными в базы данных эталонами отпечатки пальцев, изображения сетчатки глаз и т. п. претендентов на доступ. Биометрические данные сложно подделывать, а надежность биометрических технологий за последние лет пять существенно повысилась.
Дополнительные преимущества, как при мобильном, так и при стационарном доступе, предоставляет так называемая адаптивная аутентификация, в которой по сути реализуется функционал противодействия мошенничеству. Системы, использующие адаптивную аутентификацию, контролируют места, откуда пользователь осуществляет вход в ИС и его поведение во время сеанса взаимодействия с ИС. При обнаружении аномалии, например при попытке пользователя войти в ИС не с свойственного для этого пользователя устройства или из непривычного местоположения, а также при выполнении им в системе необычных действий, от него запрашивают дополнительные аутентификационные данные в виде контрольного слова, ввода пароля, переданного на его смартфон или планшет по SMS и т. п.
Требования к неопровержимости аутентификации заставляют все чаще использовать вместо логинов и паролей цифровые сертификаты, с помощью которых гораздо достовернее можно определить пользователя. Пароль пользователь может написать на стикере, а потом наклеить его на корпус монитора, или забыть заблокировать рабочую станцию при покидании рабочего места. Но без носителя ключей (например, смарт-карты), который одновременно может являться электронным пропуском, регламентирующим передвижение по офису, он не станет покидать рабочее место — т. е., отправляясь на совещание или встречу с заказчиком, он должен изъять носитель из компьютера, что немедленно приведет к прерыванию сеанса доступа к ИС.
При взаимодействии организаций между собою и их взаимодействии с индивидуальными пользователями (например, для поддержки партнерского и клиентского доступа) можно задействовать так называемую федеративную аутентификацию. В таком случае организации используют аутентификационные данные, поддерживаемые сторонними ИКТ-структурами. С помощью федеративной аутентификации можно четко разделить внешних (по отношению к ИКТ-инфраструктуре организации) пользователей и внутренних.
Однако в корпоративной среде федеративная аутентификация мало распространена, поскольку компании предпочитают строить для решения выше упомянутых задач свою собственную инфраструктуру идентификации и аутентификации, выделяя для этого в ИКТ-среде изолированные сегменты с ограниченными правами гостевого доступа в них. Зато в сети Интернет она используется активно, например, для подключения ко всевозможным электронным сервисам при использовании учетных записей социальных сетей (Facebook и пр.) и популярных цифровых платформ (Google, Microsoft Account...).
Все более широкое распространение получает технология единого входа (SSO), базирующаяся на запоминании и автоматическом вводе логинов и паролей при входе в ИС. Системы управления доступом, в которых используется технология SSO, тоже позволяют организовать для пользователя вход в несколько ИС под единой доменной учетной записью без каких-либо дополнительных логинов и паролей. Технология SSO успешно реализуется как для толстых, так и для тонких клиентов, позволяет использовать сложные пароли без необходимости запоминать их, хотя, конечно, нужно иметь ввиду, что первичный доступ к SSO-системе в целях повышения ее защищенности следует строить с помощью двухфакторной аутентификации или технологии одноразовых паролей — это позволит минимизировать риск несанкционированного доступа.
Автор статьи — директор департамента технологий управления доступом компании RedSys.
СПЕЦПРОЕКТ КОМПАНИИ REDSYS
