Обзор "Средства защиты информации и бизнеса 2007" подготовлен	При поддержке

Пример решения: IBM Tivoli Identity Manager и Access Manager для централизованного управления доступом

Обеспечение высокого уровня безопасности ИТ-инфраструктуры является важной задачей. И с каждым днем важность защиты информационных систем только возрастает. Для повышения эффективности операций и увеличения рыночной доли предприятия расширяют свои процессы взаимодействия. Однако одновременно возрастают потенциальные угрозы и риски — и, следовательно, возрастает потребность в четкой, основанной на политиках системе обеспечения безопасности.

В настоящее время задача обеспечения безопасности усложняется влиянием следующих факторов:

• Быстрый рост числа пользователей затрудняет работу администраторов, которые должны управлять ими, открывая и закрывая доступ к ресурсам.
• Несогласованность идентификационных данных в гетерогенных системах.
• Разрозненные механизмы и политики доступа для различных ресурсов.
• Неконтролируемая деятельность привилегированных пользователей.
• Уязвимость информационных систем для внутренних и внешних угроз безопасности может подорвать репутацию компании и снизить уровень доверия к ней.
• Необходимость соблюдения нормативных требований и обеспечения аудита заставляет внедрять надежные политики контроля бизнес-деятельности и хранения данных.

Компания «Информзащита» обеспечивает устранение этих проблем путем построения Системы централизованного управления идентификационными данными и доступом пользователей.

Для решения этой задачи предлагается одно из лучших решений в мире в этом классе Tivoli Identity Manager и Access Manager, производства компании IBM.

Цель и задачи построения системы централизованного управления идентификационными данными и доступом пользователей

Основной целью построения системы является обеспечение:

• Безотлагательного и безошибочного выполнения всех операций, связанных с администрированием идентификационных данных (ИД) и доступа.
• Управления жизненным циклом ИД от найма сотрудника до его увольнения.
• Идентификации, аутентификации и авторизации пользователей в соответствии заданными политиками и ролями.
• Единой защищенной точки доступа пользователя к различным ИТ-ресурсам.
• Синхронизация ИД в гетерогенных системах.
• Дополнительного уровня защиты для приложений и ОС.
• Делегирование пользователям части функций по управлению ИД.
• Контроля деятельности привилегированных пользователей и ИТ-персонала.
• Достоверной и актуальной централизованной отчетности.
• Готовности к аудиту в любой момент времени.

Одним из важнейших преимуществ применения системы является управление идентификационными данными и доступом исходя из логики бизнес-процессов организации. Кроме того, высвободившиеся в результате внедрения системы временные и кадровые ресурсы можно направить на решение иных важных производственных задач.

Архитектура системы

В состав системы входят два программных продукта — IBM Tivoli Identity Manager (TIM) и IBM Tivoli Access Manager (TAM). Эти продукты могут поставляться также и по отдельности для решения части задач. Кроме того, в состав системы могут входить программные продукты Tivoli Directory Integrator и Tivoli Directory Server для обеспечения инфраструктуры идентификационных данных.

Неотъемлемым компонентом внедряемой системы будут следующие элементы:

• Пользователи (сотрудники, партнеры, клиенты)
• Ресурсы (приложения, базы данных, операционные системы)

Для решения дополнительных задач информационной безопасности возможна интеграция с другими продуктами из линейки IBM Tivoli Security.

Подсистема управления ИД

Современная информационная среда крупного предприятия характеризуется большим количеством разнообразных систем хранения и обработки информации (почтовые системы, базы данных, биллинговые системы, системы бухгалтерского учета, системы управления предприятием (ERP, CRM, и т.д.), большим объемом обрабатываемой информации, и, как следствие, большим количеством учетных записей в этих системах.

Отсутствие механизмов синхронизации учетных записей пользователей в таких системах влечет за собой временные и финансовые затраты на администрирование — создание учетной записи пользователя в каждой системе, отслеживание изменений атрибутов, полномочий, и в конечном итоге, удаление учетной записи из каждой системы.

Кроме того, различная степень защищенности корпоративных систем навязывает необходимость использования разных паролей для каждой из системы, а корпоративная политика безопасности предъявляет требования к сложности этих паролей и частоте их замены (запрещая при этом их записывать), что делает штатное использование корпоративных систем сложной задачей не только для администратора, но и для пользователя.

Подсистема управления ИД на базе IBM Tivoli Identity Manager обеспечивает централизацию и автоматизацию процедур создания, изменения и удаления учетных записей и управления идентификационными данными пользователей.

IBM Tivoli Identity Manager напрямую взаимодействует с пользователями и с системами двух внешних типов: источниками идентификационных сведений и механизмами управления доступом и предназначен для решения следующих задач:

• Централизованное и унифицированное управление доступом в различных операционных системах и приложениях предприятия.
• Организация управления учётными записями пользователей на основе политик и ролей пользователей в рамках организационных и географических образований.
• Уменьшение числа ошибок, возникающих при управлении пользовательскими учетными записями вручную, путем автоматизации процессов подачи заявок на изменение учётных записей пользователей и их исполнения.
• Сокращение времени выполнения заявок на внесение изменений в учетные записи пользователей, создание и удаление учетных записей за счёт автоматизации этих процессов.
• Предоставление актуальной информации по пользовательским учетным данным в различных операционных системах и приложениях с помощью встроенной системы генерации отчетов.
• Осуществление аудита пользовательских учётных записей для проверки выполнения корпоративных политик безопасности и предоставления доступа.

Пример взаимодействия подсистемы управления ИД с корпоративными информационными системами:

• Запись о новом пользователе создается в системе управления кадрами.
• Tivoli Identity Manager фиксирует появление нового пользователя (все данные об этом пользователе будут храниться специальном хранилище — метакаталоге).
• Identity Manager создает учетные записи в каждой подключенной системе согласно установленным правилам (например: правила именования почтовых адресов, политика парольной защиты).
• Некоторые данные (адрес электронной почты, телефон), после создания учетных записей в соответствующих системах, могут передаваться назад в кадровую систему.
• Возможны различные варианты конфигурирования парольной защиты, основывающиеся на корпоративной политике безопасности, например: при создании пользователя Identity Manager присваивает учетной записи пользователя первоначальный пароль для входа в систему (допустим в Active Directory), а также устанавливает атрибут обязательной смены пароля при первом входе в систему. В дальнейшем Identity Manager следит за изменением пароля в AD и транслирует изменения в остальные подключенные системы.
• Предоставление новых полномочий пользователю может осуществляться через соответствующий запрос пользователя в web-портале Identity Manager, как в автоматическом режиме (например, если пользователь находится в отделе, всем сотрудникам которого разрешен такой доступ), так и в режиме с подтверждением доступа ответственным сотрудником (например, руководителем отдела).
• Наконец, автоматическое удаление учетных записей (там, где необходимо — с задержкой) из всех подключенных систем при увольнении сотрудника не только сокращает время работы администраторов, но и соответствует общепринятым требованиям информационной безопасности.

Благодаря Web-интерфейсу самообслуживания и встроенному механизму документооборота в составе Tivoli Identity Manager, пользователи могут безопасно и без труда управлять частью собственных записей, не прибегая к помощи справочной службы или IT-персонала. Используя интерфейсы самообслуживания Tivoli Identity Manager, конечные пользователи могут сами сбрасывать пароли и выполнять синхронизацию паролей, а также модифицировать набор настраиваемых администратором индивидуальных атрибутов при помощи Web-браузера.

Подсистема управления доступом

Пользователи компьютеров часто жалуются на множество паролей, а основная слабость систем безопасности компьютерных сетей заключается в плохом выборе паролей и управлении ими конечными пользователями. Для удобства пользователей и безопасности компьютеров требовалось решение унифицированной аутентификации и централизованного входа в приложения. При помощи IBM Tivoli Access Manager for Enterprise Single Sign-On (TAM E-SSO), пользователи удостоверяют свою подлинность только однократно и получают безопасный доступ ко всем требуемым ресурсам.

IBM Tivoli Access Manager for Enterprise Single Sign-On представляет собой корпоративное решение для обеспечения доступа пользователей с однократным вводом пароля. TAM E-SSO обеспечивает единую регистрацию для доступа ко всем приложениям и всегда находится между пользователем и приложениями. Клиентское программное обеспечение TAM E-SSO позволяет распознавать и отвечать на запросы паролей, поступающие практически из любой системы или приложения. Поддерживаются различные типы аутентификации пользователя — от обычного ввода пароля до применения смарт-карт и считывания биометрических параметров. Регистрационные данные пользователя (вместе с настройками и политиками его системы) можно хранить в любом каталоге LDAP или в одной из баз данных SQL.

Для расширения базовой функциональности TAM E-SSO, возможна поставка дополнительных программных модулей (адаптеров):

• Desktop Password Reset Adapter позволяет пользователям самостоятельно сбрасывать свои пароли Windows без обращения в службу поддержки.
• Authentication Adapter позволяет использовать продвинутые способы аутентификации пользователей — токены, смарт-карты, биометрию и пароли.
• Provisioning Adapter осуществляет интеграцию с системой управления пользовательскими записями (Tivoli Identity Manager)
• Kiosk Adapter осуществляет автоматическое завершение неактивных сессий и закрытие приложений для киосков и ПК общего пользования.

Инфраструктура идентификационных данных

Для обеспечения эффективного функционирования системы централизованного управления идентификационными данными и доступом, в линейке IBM Tivoli существует ряд программных продуктов для создания инфраструктуры идентификационных данных — IBM Tivoli Directory Integrator и IBM Tivoli Directory Server.

Tivoli Directory Server (TDS) представляет собой мощный, надежно защищенный и совместимый со стандартами каталог уровня предприятия для внутренних корпоративных сетей и Интернета. Решение Directory Server является основой для быстрой разработки и внедрения Web-приложений, а также программ по управлению идентификацией и безопасностью с помощью соответствующих функций управления, репликации и обеспечения безопасности.

Tivoli Directory Server содержит подключаемый интерфейс SASL (Simple Authentication Security Layer), включающий механизм аутентификации с запросом и подтверждением CRAM-MD5 (Challenge-Response Authentication Mechanism MD5) и технологию аутентификации Kerberos (если необходимо).

Основные особенности IBM Tivoli Directory Server:

• Поддержка LDAP V3 гарантирует совместимость со стандартными LDAP-приложениями.
• Надежные программные средства IBM DB2 Universal Database V8.1 обеспечивают возможность расширения до десятков миллионов элементов, позволяя обслуживать рабочие группы, состоящие из сотен и тысяч участников.
• Поддержка широкого ряда платформ, включая AIX, Solaris, Microsoft Windows 2000, HP-UX, дистрибутивы Linux для Intel и платформы IBM eServer iSeries, pSeries и zSeries.
• Надежная репликация в системах с главным и подчиненными серверами, шлюзовая, каскадная и одноранговая репликация в сетях с большим числом серверов.
• Упрощенное управление и повышенное удобство использования за счет применения графического пользовательского интерфейса для Web-администрирования и таких функций, как создание динамических и вложенных групп, а также сортировка и постраничный вывод результатов поиска.
• Тесная интеграция с операционными системами IBM, промежуточным ПО WebSphere и решениями Tivoli в сфере управления идентификацией и обеспечения безопасности.
• Ведение журналов по доступу к единому каталогу и осуществляемым в них изменениям.

Tivoli Directory Integrator (TDI) представляет собой метакаталог с открытой архитектурой, который осуществляет синхронизацию и обмен информацией в среде приложений и платформ, обеспечивая цельное представление информации каталога в масштабах предприятия. Он позволяет создать мощную и надежную инфраструктуру каталога, выполняя роль гибкого, синхронизированного связующего слоя между идентификационной структурой и источниками идентификационных данных в приложениях.

Tivoli Directory Integrator может быть использован как глобальный каталог и имеет возможность объединять несовместимые источники данных. TDI является инструментом для решения следующих задач:

• Объединение данных, расположенных в директориях, базах данных и различных бизнес приложениях.
• Настройка процесса взаимосвязи различных хранилищ данных по всей организации.
• Настройка синхронизации обмена информацией между хранилищами.
• Управление данными между различными хранилищами, обеспечивая поддержку приложений, в том числе приложений по безопасности.

Программные продукты Tivoli Directory Server и Tivoli Directory Integrator бесплатно поставляются с продуктами Tivoli Identity и Access Manager (при соблюдении ряда условий).

Поддерживаемые операционные системы и соответствующие аппаратные платформы:

Tivoli Identity Manager:

• AIX
• HP-UX
• Linux
• Solaris
• Microsoft Windows 2000 Server
• Microsoft Windows 2003 Server

Tivoli Access Manager for E-SSO:

• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows 2003 Server

Этапы проведения работ

Работы по внедрению системы централизованного управления идентификационными данными и доступом пользователей компания «Информзащита» предлагает проводить в 5 этапов:

• Оценка и планирование
  — Cбор данных об ИТ-среде и бизнесе организации, необходимых для планирования решений по управлению ИД.
  — Обоснование и выбор средств построения системы управления ИД.
  — Планирование перехода на общекорпоративную систему управления ИД.

• Техническое проектирование
  — Разработка концептуального плана решения.
  — Формирование структуры системы и схем размещения программных средств.
  — Описание технологического процесса функционирования системы.

• Поставка компонент и обучение
  — Поставка программных средств по утвержденной спецификации.
  — Прием-передача компонент системы и подготовка к пуско-наладочным работам.
  — Обучение технического персонала заказчика.

• Установка и опытная эксплуатация
  — Разработка комплекта документации (программа опытной эксплуатации, инструкции администраторам и пользователям, регламенты и т.д.).
  — Установка и настройка компонентов системы на тестовом участке.
  — Опытная эксплуатация системы.

• Ввод в промышленную эксплуатацию.
  — Полномасштабное внедрение системы в рабочей среде.
  — Проведение приемо-сдаточных испытаний.
  — Техническая поддержка промышленной эксплуатации.

Ожидаемые результаты внедрения

• Автоматизацию процесса управления пользователями, паролями, учетными записями в разных операционных системах, базах данных и приложениях.
• Исключение возможность предоставления неавторизованного доступа или доступа с нарушениями политики безопасности.
• Оперативность и отсутствие ошибок в администрировании.
• Возможность действительно централизованного управления доступом ко всем информационными подсистемами и владения ситуацией о правах доступа к ресурсам ИС.
• Индивидуальную идентификацию, аутентификацию и авторизацию пользователей при доступе к любым ресурсам.
• Доступ пользователей к ресурсам без прохождения дополнительной аутентификации (single sign-on).
• Соблюдение корпоративной политики в отношении ИД и доступа.
• Прозрачность работы системных администраторов, службы безопасности и пользователей.
• Минимальный простой пользователей из-за проблем администрирования.
• Быстрое внедрение коммерческих инициатив и поддержку расширения компании с помощью набора инструментов для управления приложениями.

Система быстро окупает вложенные в нее средства, позволяя быстро включать в работу пользователей и ресурсы, эффективно управлять учетными записями, правами доступа и требованиями конфиденциальности. Высвободившиеся в результате автоматизации временные и кадровые ресурсы можно направить на решение иных важных производственных задач.