В рубрику "Облачная безопасность" | К списку рубрик | К списку авторов | К списку публикаций
Использование облачных IТ-сервисов привело к возникновению класса задач, решавшихся в компаниях системами Identity & Access Management либо же встроенными средствами ИС. К ним относятся аутентификация, контроль и управление доступом:
В условиях облаков сами информационные системы находятся за пределами IТ-инфраструктуры организации, и традиционные способы решения этих задач недоступны. Благодаря этому появилась потребность в новой технологии – IDaaS.
Облачные приложения поставщиков услуг осуществляют функции аутентификации и, при необходимости, авторизации посредством службы IDaaS. Когда сотрудник обращается к облачному сервису, у которого настроены доверительные отношения с поставщиком IDaaS, сервис определяет, что пользователь не аутентифицирован, и перенаправляет его на страницу аутентификации. После отправки идентификационных данных служба IDaaS отправляет запрос на проверку данных агенту, установленному на стороне организации сотрудника. В случае успешного прохождения проверки сотрудника перенаправляют в запрашиваемый сервис. При этом в рамках всех сервисов, доверенных провайдеру IDaaS, обеспечивается однократная аутентификация.
У технологии IDaaS есть ряд преимуществ. Во-первых, подключение IDaaS позволяет быстро получить полноценную систему управления доступом. Во-вторых, IDaaS не требует значительных вложений в инфраструктуру и как услуга может прозрачно масштабироваться на любое количество пользователей. В-третьих, после подключения сервиса сотрудники компании получают однократную аутентификацию во все приложения, доверяющие поставщику IDaaS (при наличии необходимых разрешений), а при необходимости, для всех сервисов можно быстро обеспечить строгую аутентификацию. И в-четвертых – во всех доступных приложениях осуществляется детальный аудит работы пользователей в защищенных сервисах вплоть до посещенных ими страниц.
Среди недостатков IDaaS можно отметить существенную зависимость от поставщика (проблемы с предоставлением сервиса могут остановить работу всей компании) и необходимость передавать идентификационные данные вовне.
Для подключения к IDaaS необходимо на стороне организации установить агент и настроить репликацию данных о пользователях провайдеру IDaaS. В этом случае передается только имеющая отношение к процессу аутентификации и авторизации информация (исключая пароли).
Когда сотрудник компании обращается к какому-либо облачному ресурсу, имеющему доверенные отношения с ее провайдером IDaaS, он проходит предусмотренную процедуру аутентификации. Для проверки идентификационных данных IDaaS обращается к агенту, установленному на стороне организации.
В России интерес к облачным сервисам появился относительно недавно, и рынок IDaaS только начинает формироваться. Однако уже есть отечественные примеры реализации этой технологии. Первый – единая система идентификации и аутентификации (ЕСИА), используемая для обеспечения доступа к государственным информационным системам (к Порталу государственных услуг). Второй – сервис Safenet Authentication Service (компании Safenet).
Преимущества ЕСИА заметны почти каждому активному гражданину, хоть раз пользовавшемуся электронными госуслугами, но, к сожалению, система обслуживает строго определенные государственные сервисы. Российских поставщиков на рынке сейчас просто нет. Таким образом, обнаруживается свободная ниша IDaaS, где просто необходим отечественный сервис-провайдер (MSSP).
Популярность облачных сервисов в России заметно растет. Результатом процесса перехода информационных ресурсов в облака станет необходимость обеспечивать контроль и управление доступом в них. Поэтому с уверенностью можно сказать, что перспективы у IDaaS достаточно хороши и являются исключительно вопросом времени. К тому же в этом направлении уже есть первопроходцы. Услуга IDaaS будет прежде всего интересна (даже незаменима) для компаний, строящих бизнес на облачных технологиях. Что касается крупных компаний с развитой собственной инфраструктурой, то для них это, скорее, способ ее усложнить.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2015