Upload
diana-frolova
View
68
Download
0
Embed Size (px)
Citation preview
www.avanpost.ru
Эффективное управление доступом. Пример внедрения IDM
Олег Губка Директор по развитию
Для подразделения ИТ: Не автоматизированная отработка огромного потока заявок на предоставление, изменение и отзыв прав доступа пользователей в ИТ системах приводит к:
Актуальность вопроса
Высокой
загрузке/перегрузке
дорогостоящих ИТ
специалистов
Простою
сотрудников из-
за длительного
выполнения их
запросов
Возможным
ошибкам
Для подразделения ИБ:
Актуальность вопроса
Контроль за учетными записями и правами доступа пользователей является одной из важнейших задач обеспечения Информационной Безопасности любой организации!!!
Возможность злоумышленнику получить доступ к информации под видом легитимного пользователя является универсальной уязвимостью, с которой не справится ни одна система защиты.
Проблематика управления доступом
Классическая схема управления доступом к ресурсам организации
Основные минусы:
Все приложения разрозненны.
Политики доступа к ним не
однородны.
Учетные данные хранятся
разрозненно, появляются
«мертвые души».
Большие затраты на
администрирование.
DB / LDAP
Приложение
Сотрудники
Приложение Приложение Приложение
DB / LDAP DB / LDAP DB / LDAP
User ID User ID User ID User ID
Администраторы ИТ - подразделения
IDM-решения
Управление доступом с использованием IDM-решения
Основные плюсы:
Централизованное хранение и
управление всеми учетными
данными пользователей.
Учет всех кадровых событий
(прием, перевод, увольнение) в
режиме реального времени.
Централизованное управление
политиками доступа.
Централизованный аудит,
возможность формирования
любой отчетности по
управлению доступом.
Удобство согласования
дополнительных прав доступа
с помощью процесса Workflow
Существенное снижение затрат
на администрирование.
DB / LDAP
Приложение
Сотрудники
Приложение Приложение Приложение
DB / LDAP DB / LDAP DB / LDAP
User ID User ID User ID
Администраторы ИТ - подразделения
IDM
Администратор Отдел кадров
User ID
Основные процессы IDM
Кадровые события
Управляющие действия в ИС
Функциональные
действия
Увольнение
Перевод
Прием на работу
Отпуск
Аудит УЗ и прав
Блокирование/разблокирование УЗ
Создание УЗ
Изменение свойств УЗ
Назначение/отзыв прав
Отчеты
Согласование
Настройка
Контроль
Новый
сотрудник
Консоль
самообслуживания
HR-
система
Действующий
сотрудник
Информационные
системы
Заявка
на доступ
Процессы
Функциональныесотрудники
Роли
Политики
Трудозатрат ИТ-специалистов на предоставление и отзыв доступа;
Административные издержки на согласование заявок на доступ;
Время простоя сотрудников при предоставлении доступа;
Затраты на внешний аудит ИТ;
Затраты на проведение внутреннего аудита;
Затраты на лицензирование прикладного программного обеспечения;
Риски безопасности, вызванными избыточными правами доступа
(«мертвые души», отсутствие ролевой модели и ее контроля и т.д.).
Производительность Help-desk;
Эффективность управления учетными записями;
Ценность внедрения IDM
Avanpost IDM
Позволяет полностью автоматизировать предоставление прав доступа сотрудников к ИТ системам организации, а также выстроить систему автоматического аудита изменения прав доступа, предотвращающую ошибки и умышленные злоупотребления.
Архитектура
Структура ПК «Avanpost» Функциональность модулей решения
Avanpost IDM – модуль управления учетными
записями и правами пользователей
- полнофункциональное IDM-решение;
Avanpost SSO – модуль однократной
аутентификации (single sign on);
Ключевые функции (модули):
Avanpost PKI – модуль управления
элементами инфраструктуры открытых ключей
PKI;
Коннекторы:
Коннекторы – необходимы для интеграции ПК
«Avanpost» с различными информационными
системами.
Основные трудности при внедрении IDM
Высокая стоимость лицензий и стоимость внедрения
Высокая длительность внедрения и высокие риски перехода проекта в долгострой
Отсутствие коннекторов к самописным или узко отраслевым системам и не возможность их оперативной разработки
Отсутствие Ролевой модели и Матрицы доступа и сложность ее разработки в ходе проекта
Доступ
Пути преодоления описанных трудностей
Разумная цена и гибкая политика ценообразования
Российского вендора
Возможность разработки коннекторов под клиента силами
вендора
Легкость решения делает гораздо более предсказуемыми
сроки внедрения
Наличие модуля
Role Manager и Ресертификации Ролей позволяет создавать и
поддерживать Ролевую модель в автоматическом режиме
Avanpost Workflow Консоль управления заявками
Создание заявок на предоставление прав доступа к информационным ресурсам.
Создание заявок происходит в личном кабинете web-интерфейса самообслуживания
пользователей;
Настройка процесса согласования заявок. Настраивается список согласующих лиц, их
заместителей и порядок их участия в процессе согласования заявок.
Сокращение сроков согласования заявок на предоставление дополнительных прав
доступа к информационным ресурсам.
Цель:
Функционал:
Дополнительные возможности
Avanpost Role Manager Консоль управления ролевой моделью
Автоматизированное создание базовой ролевой модели на предприятии. Механизм
создания основан на анализе прав доступа сотрудников с одинаковыми должностями;
Добавление исключений к ролям отдельных сотрудников. В случае, если каким либо
сотрудникам помимо ролевой матрицы положены еще какие либо права, можно добавить
это в исключение.
Сокращение сроков внедрения IDM-решения, а так же повышение достоверности базовой
матрицы доступа к информационным ресурсам.
Цель:
Функционал:
Дополнительные возможности
Трехфакторная аутентификация Первые реальные результаты интеграции со СКУД
Единая смарт-карта / токен для входа в на территорию офиса и для входа в
информационные системы. Карты и токены можно оснащать различными RFID метками
для поддержки текущей системой СКУД;
Полноценное управление политиками СКУД на основе бизнес ролей. При приеме на
работу сотрудника автоматически задается политика доступа в помещения;
Интеграция модулей IDM и PKI с системами СКУД. При этом реализуется принцип
трехфакторной аутентификации, когда для принятия решения о предоставлении доступа
берутся в расчет данные о текущем местоположении пользователя из СКУД;
Идея:
Функционал:
Дополнительные возможности
Список готовых коннекторов
MS Active Directory, Exchange, База данных MS SQL, База данных
Oracle, My SQL, Линейка продуктов 1С версии 8, SAP, АБС Кворум,
Lotus Notes/Domino, СПО Аламеда, SOAP, LDAP (стандартный
коннектор), jDocFlow, TOPS Unicus, Виртуальный коннектор, СКУД
AS101, Directum, Летограф, ЦФТ IBSO, Галактика, PayDocs,
Sharepoint, Oracle E-Business Suite и т.д.
1С, Exсel, HRB, LDAP, Oracle HR, SAP HR, БОСС Кадровик, Госналог,
ДИАСОФТ, СТ.Кадры, Галактика Управление персоналом
Коннекторы к кадровым система:
Коннекторы к целевым системам:
Новые версии Avanpost IDM
Avanpost 5.0 (апрель 2016)
Новый удобный WEB-интерфейс
Новый workflow c конструктором
бизнес-процессов
Новый механизм назначения ролей
Управление парольными политиками
Avanpost 5.1 (июль 2016)
Новые типы заявок:
Блокировка/разблокировка УЗ
Изменение ПДн
Одновременная смена паролей
Кадровая консоль: объединение
подразделений
Просмотр информации о подчиненных
Avanpost 5.2 (сентябрь 2016)
Обновление данных в целевых системах
по событиям
Архивация и переиспользование
логинов
Замена XML интерфейса клиента
на Web API
Avanpost 5.3 (ноябрь 2016)
Поддержка Postgres
Оптимизация и масштабирование
аудита
Переаттестация прав
пользователей
Новый интерфейс
Пример внедрения IDM
Заказчик – Крупнейшая компания
коммунального хозяйства
Количество пользователей – 5000
Общее количество информационных
систем – больше 10
На текущий момент к Avanpost IDM
подключено 6 целевых и 1 кадровая
ИС
Проект 2-х этапный, общий срок
около одного года
ПК Avanpost
БД Аванпост
IDM-коннектор
IDM-коннектор
1C:ЗУП 8.3
Веб-сервер
Avanpost IDMСервер
Сервис синхронизации
Oracle E-Business Suite
Данные о сотрудниках
Сотрудник/Руководитель
Биллинговая система на базе 1С 8.3
1С Бухгалтерия 8.3IDM-коннектор
IDM-коннектор
Администратор системы
Владелецресурса
Запрос дополнительного
доступа
Согласованиедоступа
Настройкасистемы
Администратор безопасности
Контрольдоступа
MS AD
IDM-коннектор
Геоинформационная система
СЭД
IDM-коннектор
Этапность проекта
1-й этап «Интеграционный»
Разработка коннекторов к ИС
IDМ в режиме контроля матрицы доступа
В MS AD – базовые роли
2-й этап «Бизнес внедрение»
Разработка ролевой модели
Создание бизнес-процессов
Запуск IDM в полном функционале
государственные
заказчики
крупный и
средний бизнес
банковский
сектор
холдинговые
структуры
50 000 пользователей
(PKI)
150 000 пользователей
(IDM+PKI)
300 000 пользователей
(PKI)
80 000 пользователей
(IDM)
О компании Аванпост
8 лет
успеха
2 млн.
пользователей
50+ внедрений
70+
партнеров
Аванпост – ведущий российский разработчик систем
идентификации и управления доступом к информационным
ресурсам предприятия (IDM), работает на рынке
информационных технологий и информационной безопасности с
июня 2007 года и к настоящему моменту является
технологическим лидером в сегменте Identity Management.
Наши главные решения
Avanpost IDM
Avanpost PKI
Avanpost SSO
Управление доступом к информационным
ресурсам
Управление всеми элементами инфраструктуры
открытых ключей
Модуль единого входа в систему или приложение
О компании Аванпост
Олег Губка Директор по развитию
+7 (495) 641-8080
+7 (903) 193-0044
www.avanpost.ru
Готов ответить на Ваши вопросы!