Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Пример решения: IBM Tivoli Identity Manager и Access Manager для централизованного управления доступом

Пример решения: IBM Tivoli Identity Manager и Access Manager  для централизованного управления доступом

Обеспечение высокого уровня безопасности ИТ-инфраструктуры является важной задачей. И с каждым днем важность защиты информационных систем только возрастает. Для повышения эффективности операций и увеличения рыночной доли предприятия расширяют свои процессы взаимодействия. Однако одновременно возрастают потенциальные угрозы и риски — и, следовательно, возрастает потребность в четкой, основанной на политиках системе обеспечения безопасности.

В настоящее время задача обеспечения безопасности усложняется влиянием следующих факторов:

  • Быстрый рост числа пользователей затрудняет работу администраторов, которые должны управлять ими, открывая и закрывая доступ к ресурсам.
  • Несогласованность идентификационных данных в гетерогенных системах.
  • Разрозненные механизмы и политики доступа для различных ресурсов.
  • Неконтролируемая деятельность привилегированных пользователей.
  • Уязвимость информационных систем для внутренних и внешних угроз безопасности может подорвать репутацию компании и снизить уровень доверия к ней.
  • Необходимость соблюдения нормативных требований и обеспечения аудита заставляет внедрять надежные политики контроля бизнес-деятельности и хранения данных.

Компания «Информзащита» обеспечивает устранение этих проблем путем построения Системы централизованного управления идентификационными данными и доступом пользователей.

Для решения этой задачи предлагается одно из лучших решений в мире в этом классе Tivoli Identity Manager и Access Manager, производства компании IBM.

Цель и задачи построения системы централизованного управления идентификационными данными и доступом пользователей

Основной целью построения системы является обеспечение:

  • Безотлагательного и безошибочного выполнения всех операций, связанных с администрированием идентификационных данных (ИД) и доступа.
  • Управления жизненным циклом ИД от найма сотрудника до его увольнения.
  • Идентификации, аутентификации и авторизации пользователей в соответствии заданными политиками и ролями.
  • Единой защищенной точки доступа пользователя к различным ИТ-ресурсам.
  • Синхронизация ИД в гетерогенных системах.
  • Дополнительного уровня защиты для приложений и ОС.
  • Делегирование пользователям части функций по управлению ИД.
  • Контроля деятельности привилегированных пользователей и ИТ-персонала.
  • Достоверной и актуальной централизованной отчетности.
  • Готовности к аудиту в любой момент времени.

Одним из важнейших преимуществ применения системы является управление идентификационными данными и доступом исходя из логики бизнес-процессов организации. Кроме того, высвободившиеся в результате внедрения системы временные и кадровые ресурсы можно направить на решение иных важных производственных задач.

Архитектура системы

В состав системы входят два программных продукта — IBM Tivoli Identity Manager (TIM) и IBM Tivoli Access Manager (TAM). Эти продукты могут поставляться также и по отдельности для решения части задач. Кроме того, в состав системы могут входить программные продукты Tivoli Directory Integrator и Tivoli Directory Server для обеспечения инфраструктуры идентификационных данных.

Неотъемлемым компонентом внедряемой системы будут следующие элементы:

  • Пользователи (сотрудники, партнеры, клиенты)
  • Ресурсы (приложения, базы данных, операционные системы)

Для решения дополнительных задач информационной безопасности возможна интеграция с другими продуктами из линейки IBM Tivoli Security.

Подсистема управления ИД

Современная информационная среда крупного предприятия характеризуется большим количеством разнообразных систем хранения и обработки информации (почтовые системы, базы данных, биллинговые системы, системы бухгалтерского учета, системы управления предприятием (ERP, CRM, и т.д.), большим объемом обрабатываемой информации, и, как следствие, большим количеством учетных записей в этих системах.

Отсутствие механизмов синхронизации учетных записей пользователей в таких системах влечет за собой временные и финансовые затраты на администрирование — создание учетной записи пользователя в каждой системе, отслеживание изменений атрибутов, полномочий, и в конечном итоге, удаление учетной записи из каждой системы.

Кроме того, различная степень защищенности корпоративных систем навязывает необходимость использования разных паролей для каждой из системы, а корпоративная политика безопасности предъявляет требования к сложности этих паролей и частоте их замены (запрещая при этом их записывать), что делает штатное использование корпоративных систем сложной задачей не только для администратора, но и для пользователя.

Подсистема управления ИД на базе IBM Tivoli Identity Manager обеспечивает централизацию и автоматизацию процедур создания, изменения и удаления учетных записей и управления идентификационными данными пользователей.

IBM Tivoli Identity Manager напрямую взаимодействует с пользователями и с системами двух внешних типов: источниками идентификационных сведений и механизмами управления доступом и предназначен для решения следующих задач:

  • Централизованное и унифицированное управление доступом в различных операционных системах и приложениях предприятия.
  • Организация управления учётными записями пользователей на основе политик и ролей пользователей в рамках организационных и географических образований.
  • Уменьшение числа ошибок, возникающих при управлении пользовательскими учетными записями вручную, путем автоматизации процессов подачи заявок на изменение учётных записей пользователей и их исполнения.
  • Сокращение времени выполнения заявок на внесение изменений в учетные записи пользователей, создание и удаление учетных записей за счёт автоматизации этих процессов.
  • Предоставление актуальной информации по пользовательским учетным данным в различных операционных системах и приложениях с помощью встроенной системы генерации отчетов.
  • Осуществление аудита пользовательских учётных записей для проверки выполнения корпоративных политик безопасности и предоставления доступа.

Пример взаимодействия подсистемы управления ИД с корпоративными информационными системами:

  • Запись о новом пользователе создается в системе управления кадрами.
  • Tivoli Identity Manager фиксирует появление нового пользователя (все данные об этом пользователе будут храниться специальном хранилище — метакаталоге).
  • Identity Manager создает учетные записи в каждой подключенной системе согласно установленным правилам (например: правила именования почтовых адресов, политика парольной защиты).
  • Некоторые данные (адрес электронной почты, телефон), после создания учетных записей в соответствующих системах, могут передаваться назад в кадровую систему.
  • Возможны различные варианты конфигурирования парольной защиты, основывающиеся на корпоративной политике безопасности, например: при создании пользователя Identity Manager присваивает учетной записи пользователя первоначальный пароль для входа в систему (допустим в Active Directory), а также устанавливает атрибут обязательной смены пароля при первом входе в систему. В дальнейшем Identity Manager следит за изменением пароля в AD и транслирует изменения в остальные подключенные системы.
  • Предоставление новых полномочий пользователю может осуществляться через соответствующий запрос пользователя в web-портале Identity Manager, как в автоматическом режиме (например, если пользователь находится в отделе, всем сотрудникам которого разрешен такой доступ), так и в режиме с подтверждением доступа ответственным сотрудником (например, руководителем отдела).
  • Наконец, автоматическое удаление учетных записей (там, где необходимо — с задержкой) из всех подключенных систем при увольнении сотрудника не только сокращает время работы администраторов, но и соответствует общепринятым требованиям информационной безопасности.

Благодаря Web-интерфейсу самообслуживания и встроенному механизму документооборота в составе Tivoli Identity Manager, пользователи могут безопасно и без труда управлять частью собственных записей, не прибегая к помощи справочной службы или IT-персонала. Используя интерфейсы самообслуживания Tivoli Identity Manager, конечные пользователи могут сами сбрасывать пароли и выполнять синхронизацию паролей, а также модифицировать набор настраиваемых администратором индивидуальных атрибутов при помощи Web-браузера.

Подсистема управления доступом

Пользователи компьютеров часто жалуются на множество паролей, а основная слабость систем безопасности компьютерных сетей заключается в плохом выборе паролей и управлении ими конечными пользователями. Для удобства пользователей и безопасности компьютеров требовалось решение унифицированной аутентификации и централизованного входа в приложения. При помощи IBM Tivoli Access Manager for Enterprise Single Sign-On (TAM E-SSO), пользователи удостоверяют свою подлинность только однократно и получают безопасный доступ ко всем требуемым ресурсам.

IBM Tivoli Access Manager for Enterprise Single Sign-On представляет собой корпоративное решение для обеспечения доступа пользователей с однократным вводом пароля. TAM E-SSO обеспечивает единую регистрацию для доступа ко всем приложениям и всегда находится между пользователем и приложениями. Клиентское программное обеспечение TAM E-SSO позволяет распознавать и отвечать на запросы паролей, поступающие практически из любой системы или приложения. Поддерживаются различные типы аутентификации пользователя — от обычного ввода пароля до применения смарт-карт и считывания биометрических параметров. Регистрационные данные пользователя (вместе с настройками и политиками его системы) можно хранить в любом каталоге LDAP или в одной из баз данных SQL.

Для расширения базовой функциональности TAM E-SSO, возможна поставка дополнительных программных модулей (адаптеров):

  • Desktop Password Reset Adapter позволяет пользователям самостоятельно сбрасывать свои пароли Windows без обращения в службу поддержки.
  • Authentication Adapter позволяет использовать продвинутые способы аутентификации пользователей — токены, смарт-карты, биометрию и пароли.
  • Provisioning Adapter осуществляет интеграцию с системой управления пользовательскими записями (Tivoli Identity Manager)
  • Kiosk Adapter осуществляет автоматическое завершение неактивных сессий и закрытие приложений для киосков и ПК общего пользования.

Инфраструктура идентификационных данных

Для обеспечения эффективного функционирования системы централизованного управления идентификационными данными и доступом, в линейке IBM Tivoli существует ряд программных продуктов для создания инфраструктуры идентификационных данных — IBM Tivoli Directory Integrator и IBM Tivoli Directory Server.

Tivoli Directory Server (TDS) представляет собой мощный, надежно защищенный и совместимый со стандартами каталог уровня предприятия для внутренних корпоративных сетей и Интернета. Решение Directory Server является основой для быстрой разработки и внедрения Web-приложений, а также программ по управлению идентификацией и безопасностью с помощью соответствующих функций управления, репликации и обеспечения безопасности.

Tivoli Directory Server содержит подключаемый интерфейс SASL (Simple Authentication Security Layer), включающий механизм аутентификации с запросом и подтверждением CRAM-MD5 (Challenge-Response Authentication Mechanism MD5) и технологию аутентификации Kerberos (если необходимо).

Основные особенности IBM Tivoli Directory Server:

  • Поддержка LDAP V3 гарантирует совместимость со стандартными LDAP-приложениями.
  • Надежные программные средства IBM DB2 Universal Database V8.1 обеспечивают возможность расширения до десятков миллионов элементов, позволяя обслуживать рабочие группы, состоящие из сотен и тысяч участников.
  • Поддержка широкого ряда платформ, включая AIX, Solaris, Microsoft Windows 2000, HP-UX, дистрибутивы Linux для Intel и платформы IBM eServer iSeries, pSeries и zSeries.
  • Надежная репликация в системах с главным и подчиненными серверами, шлюзовая, каскадная и одноранговая репликация в сетях с большим числом серверов.
  • Упрощенное управление и повышенное удобство использования за счет применения графического пользовательского интерфейса для Web-администрирования и таких функций, как создание динамических и вложенных групп, а также сортировка и постраничный вывод результатов поиска.
  • Тесная интеграция с операционными системами IBM, промежуточным ПО WebSphere и решениями Tivoli в сфере управления идентификацией и обеспечения безопасности.
  • Ведение журналов по доступу к единому каталогу и осуществляемым в них изменениям.

Tivoli Directory Integrator (TDI) представляет собой метакаталог с открытой архитектурой, который осуществляет синхронизацию и обмен информацией в среде приложений и платформ, обеспечивая цельное представление информации каталога в масштабах предприятия. Он позволяет создать мощную и надежную инфраструктуру каталога, выполняя роль гибкого, синхронизированного связующего слоя между идентификационной структурой и источниками идентификационных данных в приложениях.

Tivoli Directory Integrator может быть использован как глобальный каталог и имеет возможность объединять несовместимые источники данных. TDI является инструментом для решения следующих задач:

  • Объединение данных, расположенных в директориях, базах данных и различных бизнес приложениях.
  • Настройка процесса взаимосвязи различных хранилищ данных по всей организации.
  • Настройка синхронизации обмена информацией между хранилищами.
  • Управление данными между различными хранилищами, обеспечивая поддержку приложений, в том числе приложений по безопасности.

Программные продукты Tivoli Directory Server и Tivoli Directory Integrator бесплатно поставляются с продуктами Tivoli Identity и Access Manager (при соблюдении ряда условий).

Поддерживаемые операционные системы и соответствующие аппаратные платформы:

Tivoli Identity Manager:

  • AIX
  • HP-UX
  • Linux
  • Solaris
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2003 Server

Tivoli Access Manager for E-SSO:

  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Windows 2003 Server

Этапы проведения работ

Работы по внедрению системы централизованного управления идентификационными данными и доступом пользователей компания «Информзащита» предлагает проводить в 5 этапов:

  • Оценка и планирование
    — Cбор данных об ИТ-среде и бизнесе организации, необходимых для планирования решений по управлению ИД.
    — Обоснование и выбор средств построения системы управления ИД.
    — Планирование перехода на общекорпоративную систему управления ИД.

  • Техническое проектирование
    — Разработка концептуального плана решения.
    — Формирование структуры системы и схем размещения программных средств.
    — Описание технологического процесса функционирования системы.

  • Поставка компонент и обучение
    — Поставка программных средств по утвержденной спецификации.
    — Прием-передача компонент системы и подготовка к пуско-наладочным работам.
    — Обучение технического персонала заказчика.

  • Установка и опытная эксплуатация
    — Разработка комплекта документации (программа опытной эксплуатации, инструкции администраторам и пользователям, регламенты и т.д.).
    — Установка и настройка компонентов системы на тестовом участке.
    — Опытная эксплуатация системы.

  • Ввод в промышленную эксплуатацию.
    — Полномасштабное внедрение системы в рабочей среде.
    — Проведение приемо-сдаточных испытаний.
    — Техническая поддержка промышленной эксплуатации.

Ожидаемые результаты внедрения

Внедрение системы позволит обеспечить:
  • Автоматизацию процесса управления пользователями, паролями, учетными записями в разных операционных системах, базах данных и приложениях.
  • Исключение возможность предоставления неавторизованного доступа или доступа с нарушениями политики безопасности.
  • Оперативность и отсутствие ошибок в администрировании.
  • Возможность действительно централизованного управления доступом ко всем информационными подсистемами и владения ситуацией о правах доступа к ресурсам ИС.
  • Индивидуальную идентификацию, аутентификацию и авторизацию пользователей при доступе к любым ресурсам.
  • Доступ пользователей к ресурсам без прохождения дополнительной аутентификации (single sign-on).
  • Соблюдение корпоративной политики в отношении ИД и доступа.
  • Прозрачность работы системных администраторов, службы безопасности и пользователей.
  • Минимальный простой пользователей из-за проблем администрирования.
  • Быстрое внедрение коммерческих инициатив и поддержку расширения компании с помощью набора инструментов для управления приложениями.

Система быстро окупает вложенные в нее средства, позволяя быстро включать в работу пользователей и ресурсы, эффективно управлять учетными записями, правами доступа и требованиями конфиденциальности. Высвободившиеся в результате автоматизации временные и кадровые ресурсы можно направить на решение иных важных производственных задач.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS