IDaaS – аутентификация как сервис

В рубрику "Облачная безопасность" | К списку рубрик | К списку авторов | К списку публикаций

IDaaS – аутентификация как сервис

Identity-as-Service (IDaaS) – облачная служба, обеспечивающая функции аутентификации, авторизации и управления идентификационными данными для облачных и корпоративных ИС организаций. Появление этой технологии связано с ростом популярности облачных информационных ресурсов (SaaS), уже достаточно широко распространенных на нашем рынке (Office 365, 1С-Битрикс и др.) После перехода на их использование у компаний появился новый пласт задач.

Дмитрий Бондарь
Руководитель направления Solar inRights компании Solar Security

Зачем это нужно и как работает?

Отечественный сервис-провайдер. Какой он?Удобнее всего, если это будет вендоронезависимая компания, не конкурирующая с SaaS, имеющая возможность установить партнерские отношения с максимальным числом облачных сервисов. Доступные технологии различных производителей позволили бы обеспечить дополнительную защиту SaaS-пользователей в виде двухфакторной аутентификации, принудительную смену и контроль сложности паролей. Такая компания могла бы наряду с другими сервисами безопасности предоставлять IDaaS, вести единую пользовательскую базу, устанавливать доверенные отношения с корпоративными SaaS-провайдерами и привычными сервисами конкретного пользователя.

Использование облачных IТ-сервисов привело к возникновению класса задач, решавшихся в компаниях системами Identity & Access Management либо же встроенными средствами ИС. К ним относятся аутентификация, контроль и управление доступом:

задачи однократной и строгой аутентификации;
задачи разграничения прав доступа в приложениях;
задачи своевременного предоставления и отзыва доступа сотрудников;
задачи аудита доступа сотрудников к информационным ресурсам.

В условиях облаков сами информационные системы находятся за пределами IТ-инфраструктуры организации, и традиционные способы решения этих задач недоступны. Благодаря этому появилась потребность в новой технологии – IDaaS.

Принцип работы IDaaS

Облачные приложения поставщиков услуг осуществляют функции аутентификации и, при необходимости, авторизации посредством службы IDaaS. Когда сотрудник обращается к облачному сервису, у которого настроены доверительные отношения с поставщиком IDaaS, сервис определяет, что пользователь не аутентифицирован, и перенаправляет его на страницу аутентификации. После отправки идентификационных данных служба IDaaS отправляет запрос на проверку данных агенту, установленному на стороне организации сотрудника. В случае успешного прохождения проверки сотрудника перенаправляют в запрашиваемый сервис. При этом в рамках всех сервисов, доверенных провайдеру IDaaS, обеспечивается однократная аутентификация.

Плюсы и минусы

К услуге IDaaS можно подключить и корпоративные системы. Для этого на стороне целевой системы надо обеспечить поддержку требуемого протокола федеративной аутентификации и установить доверенные отношения.

У технологии IDaaS есть ряд преимуществ. Во-первых, подключение IDaaS позволяет быстро получить полноценную систему управления доступом. Во-вторых, IDaaS не требует значительных вложений в инфраструктуру и как услуга может прозрачно масштабироваться на любое количество пользователей. В-третьих, после подключения сервиса сотрудники компании получают однократную аутентификацию во все приложения, доверяющие поставщику IDaaS (при наличии необходимых разрешений), а при необходимости, для всех сервисов можно быстро обеспечить строгую аутентификацию. И в-четвертых – во всех доступных приложениях осуществляется детальный аудит работы пользователей в защищенных сервисах вплоть до посещенных ими страниц.

Среди недостатков IDaaS можно отметить существенную зависимость от поставщика (проблемы с предоставлением сервиса могут остановить работу всей компании) и необходимость передавать идентификационные данные вовне.

Тонкости построения

Для подключения к IDaaS необходимо на стороне организации установить агент и настроить репликацию данных о пользователях провайдеру IDaaS. В этом случае передается только имеющая отношение к процессу аутентификации и авторизации информация (исключая пароли).

Когда сотрудник компании обращается к какому-либо облачному ресурсу, имеющему доверенные отношения с ее провайдером IDaaS, он проходит предусмотренную процедуру аутентификации. Для проверки идентификационных данных IDaaS обращается к агенту, установленному на стороне организации.

Российскому IDaaS`у быть?

В России интерес к облачным сервисам появился относительно недавно, и рынок IDaaS только начинает формироваться. Однако уже есть отечественные примеры реализации этой технологии. Первый – единая система идентификации и аутентификации (ЕСИА), используемая для обеспечения доступа к государственным информационным системам (к Порталу государственных услуг). Второй – сервис Safenet Authentication Service (компании Safenet).

Преимущества ЕСИА заметны почти каждому активному гражданину, хоть раз пользовавшемуся электронными госуслугами, но, к сожалению, система обслуживает строго определенные государственные сервисы. Российских поставщиков на рынке сейчас просто нет. Таким образом, обнаруживается свободная ниша IDaaS, где просто необходим отечественный сервис-провайдер (MSSP).

Заключение

Популярность облачных сервисов в России заметно растет. Результатом процесса перехода информационных ресурсов в облака станет необходимость обеспечивать контроль и управление доступом в них. Поэтому с уверенностью можно сказать, что перспективы у IDaaS достаточно хороши и являются исключительно вопросом времени. К тому же в этом направлении уже есть первопроходцы. Услуга IDaaS будет прежде всего интересна (даже незаменима) для компаний, строящих бизнес на облачных технологиях. Что касается крупных компаний с развитой собственной инфраструктурой, то для них это, скорее, способ ее усложнить.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2015

IDaaS – аутентификация как сервис