Кардинальное обновление ведущей российской IDM-системы

Кардинальное обновление ведущей российской IDM-системы05.06.2014Кардинальное обновление ведущей российской IDM-системы

С началом лета компания Avanpost, ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), объявила о выходе нового релиза своего программного комплекса (ПК) «Avanpost 4.0».

Самое масштабное обновление системы за все ее время существования поставило ее в один ряд с ведущими IDM-решениями высшего класса. При этом новый релиз усиливает и закрепляет ряд принципиальных преимуществ ПК «Avanpost» перед зарубежными решениями:

  • в плане сроков и затрат на внедрение,
  • возможности провести внедрение методически корректно,
  • постоянно поддерживать ролевую модель в актуальном состоянии,
  • полноты интеграции IDM-системы с другими элементами ИС.

От IDM к комплексному управлению доступом

file/news/news-avanpost-circle.jpgПК «Avanpost 4.0» построен вокруг формулы комплексного управления доступом (IDM + PKI + SSO), которую компания активно продвигает на российском рынке с прошлого года.

Четвертый релиз вносит в инфраструктуру комплекса несколько важных нововведений: переработанная архитектура продукта упрощает создание коннекторов и позволяет легко добавлять новые механизмы аутентификации, а также реализовывать различные варианты N-факторной аутентификации (например, за счет взаимодействия с IDM, PKI, биометрией, СКУД и др.).

Популярность на российском рынке решений на базе интеграции IDM со СКУД и аппаратными средствами биометрической аутентификации будет постепенно расти, однако, еще более востребованными будут чисто программные технологии и решения, в которых задействованы мобильные устройства: смартфоны и планшеты. Поэтому на 2014 год намечен выпуск целого ряда соответствующих механизмов, которые пользователи будут получать в виде малых обновлений ПК «Avanpost 4.0».

Изменения в составе функциональных модулей

Учитывая этот тренд, разработчик скорректировал набор функциональных модулей ПК «Avanpost». Теперь в состав продукта входят три основных модуля, которые можно внедрять отдельно или в любых сочетаниях:

  • IDM (Identity Management),
  • PKI (Public Key Infrastructure)
  • SSO (Single Sign-On),

Другую существенную часть ПК «Avanpost 4.0» составляют различные сервисные инструменты:

  • позволяющие строить и поддерживать в актуальном состоянии ролевые модели
  • организовывать документооборот, связанный с управлением доступом
  • самостоятельно разрабатывать коннекторы к различным ИТ- и ИБ-системам
  • гибко настраивать информационно-аналитические отчеты.

В дальнейшем компания Аванпост будет развивать именно эти технологии, подсистемы, модули и инструменты.

В то же время, два других модуля, ранее входивших в состав ПК «Avanpost» (IPSec – построение защищенных каналов и SES – контроль действий пользователя), выведены из состава продукта и предложений компании. Развиваться они будут только по запросам организаций-пользователей; в то же время, компания Аванпост продолжит сопровождение этих модулей в составе уже внедренных решений, что полностью защитит затраты клиентов. Функции же модуля Avanpost Mobile перенесены в модуль SSO.

Работа с крупными компаниями

Сохранив гибкую лицензионную политику и легкость, сделавшие полнофункциональное IDM-решение доступным даже для среднего российского бизнеса, теперь ПК «Avanpost 4.0» поддерживает также самые крупные децентрализованные организации федерального масштаба, одновременно применяющие в различных подразделениях разнородные кадровые системы.

Нагрузочные испытания подтверждают работоспособность комплекса в конфигурации на 30 тыс. групп и 150 тыс. пользователей в домене. При этом верхняя планка масштабирования гораздо выше.

Поддержка кластеров

Кроме того, «Avanpost 4.0» поддерживает различные варианты трансграничного управления правами доступа в группах организаций, взаимодействующих по схеме кластера. В такой схеме центральная организация должна надежно контролировать доступ к своим приложениям, информационным ресурсам и элементам ИТ-инфраструктуры для сотрудников множества сторонних организаций (партнеров, аутсорсеров, членов расширенной цепочки поставок и др.), не имея при этом прямого доступа к их внутренним кадровым системам.

В российской экономике такие кластеры характерны для вертикально-интегрированных компаний, а также для ряда отраслей экономики (телекоммуникации, ТЭК, сельскохозяйственное производство, аэрокосмическая отрасль, машиностроение и др.).

Интеграция с облаками и гибридными системами

На базе ПК «Avanpost 4.0» уже можно создавать комплексные системы управления доступом для гибридных ИС, объединяющих традиционные приложения и элементы ИТ-инфраструктуры и частные облака.

В настоящее время решение Аванпост для частных облаков и гибридных ИС полностью проработано, а его коммерческое продвижение начнется как только на российском рынке появится устойчивый спрос на подобные решения.

Интеграция основных модулей ПК «Avanpost 4.0» с другими элементами ИС

Практическая ценность IDM-решения тем выше, чем полнее оно интегрировано c максимально возможным числом прикладных и инфраструктурных элементов ИС, ведь отсутствие взаимодействия – это брешь в системе ИБ предприятия.

Важнейший приоритет развития ПК «Avanpost» — увеличение числа готовых модулей сопряжения (коннекторов), упрощение и удешевление их разработки, а также качественное сопровождение коннекторов, гарантирующее их совместимость с новыми версиями ядра и функциональных модулей.

В новом релизе механизм интеграции существенно переработан и значительно усовершенствован, увеличено число точек взаимодействия ПК «Avanpost 4.0» с другими системами:

  • системы дистанционного банковского обслуживания (ДБО),
  • удостоверяющие центры (поддерживаются все УЦ, популярные на российском рынке),
  • устройства для биометрической идентификации,
  • СКУД,
  • различные дополнительные средства аутентификации.

Для коннекторов с доверенными источниками данных и целевыми системами создан инструментарий разработчика (SDK), которым могут пользоваться сторонние организации. Это упрощает интеграцию ПК «Avanpost 4.0» с унаследованными системами, закрытыми внутрикорпоративными разработками, с отраслевыми решениями и системами для узких сегментов рынка.

Сегодня ПК «Avanpost 4.0» располагает наибольшим числом готовых коннекторов к распространенным на российском рынке ИТ-системам, а также доступными технологиями их разработки силами вендора, партнеров и клиентов. В дальнейшем, число коннекторов будет увеличиваться, а также будут появляться новые точки сопряжения ПК «Avanpost» с другими системами. Так, в конце 2014 г. встроенная система координации процессов (Avanpost Workflow) сможет взаимодействовать с системами класса Service Desk и ЭДО (электронный документооборот).

Безопасность мобильных устройcтв и BYOD

Функционал модуля Avanpost Mobile, перенесенный в четвертом релизе в модуль SSO, предоставляет безопасный доступ через веб-браузер с мобильных устройств к внутрикорпоративным порталам и интранет-приложениям (портал, корпоративная веб-почта Microsoft Outlook Web App и др.) для обеих наиболее популярных мобильных платформ -  Android и iOS.

Версия для OS Android также содержит встроенную полнофункциональную систему SSO, поддерживающую системы VoIP-телефонии, видео- и видеоконференцсвязи (например, Skype, SIP), а также любые Android-приложения (например, клиенты корпоративных систем: CRM, ERP, HR, бухгалтерия и др.) и облачные Web-сервисы.

Тем самым на мобильном устройстве обеспечивается главное преимущество SSO: пользователям не нужно запоминать множество идентификационных пар, при этом организация может использовать политики безопасности, требующие применения длинных стойких труднозапоминаемых, часто меняющихся паролей, которые еще и различаются во всех приложениях. Модуль Avanpost Mobile и система Mobile SSO позволяют компании-клиенту полностью интегрировать мобильные устройства в корпоративную инфраструктуру IDM.

Методически-корректное внедрение и сопровождение IDM

Одним из ключевых нововведений стали инструменты построения и поддержания в актуальном состоянии т.н. ролевых моделей. Построение, оптимизация и актуализация таких моделей всегда были настолько сложными и трудоемкими, что значительная (если не бо́льшая часть) IDM-внедрений или застревала на этапе построения или согласования ролевой модели, или приводила к огромному неконтролируемому увеличению стоимости и срока внедрений, или заходила в тупик, поскольку к моменту построения модели и получения всех необходимых согласований модель безнадежно устаревала и теряла практический смысл. Естественно, о частом повторении этой работы не было и речи.

ПК «Avanpost 4.0» – это единственное на настоящий момент IDM-решение на российском рынке, имеющее полный набор инструментов для построения ролевых моделей и их поддержания в актуальном состоянии. Причем эти инструменты не увеличили стоимость лицензий.

Построение ролевой модели

За построение модели отвечает модуль Role Manager, который, используя стандартные коннекторы ПК «Avanpost», загружает из всех подключенных ИТ-систем точные и полные данные о фактическом распределении прав сотрудников, а затем анализирует эту информацию и генерирует (в соответствии с заданным критерием) оптимальный набор бизнес-ролей, который можно затем скорректировать вручную.

Благодаря Avanpost Role Manager, методически-корректное внедрение стало доступно для любой организации, причем даже в наиболее сложном варианте (с оптимизацией ролей). Кроме того, Role Manager выявляет различные «дыры» в ИБ: обнаруживает «мертвые души», избыточные права и др.

Аудит и управление ролями

Модуль ресертификации позволяет поддерживать ролевую модель в актуальном состоянии и одновременно формализовать и автоматизировать соответствующие процессы. Работа модуля основана на механизме заявок: владелец роли и другие авторизованные лица запрашивают нужные действия, а подсистема координации процессов (workflow) ПК «Avanpost 4.0» проводит заявки через соответствующий цикл визирования в соответствии с утвержденным регламентом, и в случае успеха вносит необходимые изменения в ролевую модель.

Руководствуясь этими изменениями, IDM-ядро (через коннекторы) автоматически и практически мгновенно перенастраивает механизмы управления доступом подключенных ИТ-систем – и вся система управления доступом вновь полностью соответствует новым правилам.

Использование механизма заявок в модуле ресертификации ролей и в ряде других подсистем ПК «Avanpost» (например, при управлении ИТ-ролями) максимально упрощает вовлечение бизнес-подразделений в процессы администрирования IDM. В ПК «Avanpost 4.0» он реализован как Web-приложение, с которым работают все категории пользователей: любые сотрудники могут самостоятельно регистрировать заявки, которые затем проходят заданные маршруты и регламенты визирования; а для их настройки нужны соответствующие полномочия.

В частности, реализован механизм делегирования, сложные правила управления групповыми заявками (визирующие лица могут утверждать заявку для одних кандидатов и отклонять – для других), зоны видимости, а также заявки, вызывающие вре́менное изменение режима работы ПК «Avanpost» (например, создание роли, действующей одну неделю), которое по истечении указанного периода будет автоматически отменено.

Новая подсистема отчетов

В ПК «Avanpost 4.0» встроена новая унифицированная подсистема подготовки отчетов, которая используется во всех функциональных модулях: IDM, PKI, Role Manager и др. Работа с этой системой идет через специальное Web-приложение, а технология создания отчета рассчитана на пользователей и администраторов, имеющих базовые навыки программирования на языках HTML и C#.

Это обеспечивает практически неограниченную гибкость, позволяет создавать отчеты со сложной логикой, а также шаблоны сложных отчетов, которые в ходе внедрения проходят глубокую кастомизацию под нужды конкретной организации. Разработку и кастомизацию отчетов могут проводить как интеграторы, так и специалисты заказчика.

В распоряжении пользователей появилась и библиотека, включающая более десятка предустановленных наиболее востребованных форм отчетов.

  file/news/news-avanpost-konusov.jpgАндрей Конусов, генеральный директор компании Аванпост:
— Впервые российская IDM достигла такой сбалансированности и зрелости, когда не осталось существенных функций, по которым она принципиально отстает от ведущих западных решений. Более того, она выигрывает у них не только по цене, но и по ряду принципиальных особенностей, касающихся функциональности, практичности, методологической обеспеченности, открытости и глубины интеграции в ИС предприятия.

 

DatAnywhere: Облачное хранение на корпоративных серверах

Правовое образование в области информационной безопасности

НТКС высупил с докладом на V ФОРУМЕ "Безопасность Урала"13.11.2015НТКС высупил с докладом на V ФОРУМЕ "Безопасность Урала"
В пятый раз в Екатеринбурге прошел ежегодный ФОРУМ "Безопасность Урала" - самое значимое мероприятие для специалистов в области безопасности.
PERIMETRIX обновляет лицензии ФСТЭК30.09.2015PERIMETRIX обновляет лицензии ФСТЭК
Компания PERIMETRIX обновила лицензии на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации Федеральной Службы по Техническому и Экспортному Контролю. Обновленные лицензии не ограничены сроком действия и являются действительными при условии прохождения проверок на соответствие лицензионным требованиям и условиям.
Новая версия ПК Avanpost — ответ на изменения на отечественном ИТ-рынке20.10.2015Новая версия ПК Avanpost — ответ на изменения на отечественном ИТ-рынке
Компания Аванпост объявляет о выпуске нового, пятого, релиза своего флагманского программного продукта «Avanpost 5.0». В этой версии кардинально переработаны все функциональные модули (IDM, PKI и SSO), а также архитектура и многие важнейшие подсистемы — пользовательский интерфейс, управление бизнес-процессами, интеграция с внешними системами, управление ролями и др.
Диплом по праву в области информационной безопасности01.06.2014Диплом по праву в области информационной безопасности
Преподаватели юридических ВУЗов намерены взяться за разработку учебного курса и приступить к обучению первых магистрантов уже этой осенью.
Все ходы будут записаны!01.04.2014Все ходы будут записаны!
Теперь запись действий администраторов и пользователей при помощи ObserveIT может автоматически производиться при запросе доступа к важным прикладным системам через Lieberman ERPM.
Обзор информационных угроз мая 201431.05.2014Обзор информационных угроз мая 2014
Международная антивирусная компания ESET представляет отчет о наиболее активных угрозах мая 2014 года.
По годам: 2015 2014 все
eng | pda