Кардинальное обновление российской IDM-системы: "Avanpost 4.0"
С началом лета компания Avanpost, ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), объявила о выходе нового релиза своего программного комплекса (ПК) «Avanpost 4.0».
Самое масштабное обновление системы за все ее время существования поставило ее в один ряд с ведущими IDM-решениями высшего класса. При этом новый релиз усиливает и закрепляет ряд принципиальных преимуществ ПК «Avanpost» перед зарубежными решениями: в плане
- сроков и затрат на внедрение,
- возможности провести внедрение методически корректно,
- постоянно поддерживать ролевую модель в актуальном состоянии,
- полноты интеграции IDM-системы с другими элементами ИС.
От IDM к комплексному управлению доступом
ПК «Avanpost 4.0» построен вокруг формулы комплексного управления доступом (IDM + PKI + SSO), которую компания активно продвигает на российском рынке с прошлого года.
Четвертый релиз вносит в инфраструктуру комплекса несколько важных нововведений: переработанная архитектура продукта упрощает создание коннекторов и позволяет легко добавлять новые механизмы аутентификации, а также реализовывать различные варианты N-факторной аутентификации (например, за счет взаимодействия с IDM, PKI, биометрией, СКУД и др.).
Популярность на российском рынке решений на базе интеграции IDM со СКУД и аппаратными средствами биометрической аутентификации будет постепенно расти, однако, еще более востребованными будут чисто программные технологии и решения, в которых задействованы мобильные устройства: смартфоны и планшеты. Поэтому на 2014 год намечен выпуск целого ряда соответствующих механизмов, которые пользователи будут получать в виде малых обновлений ПК «Avanpost 4.0».
Изменения в составе функциональных модулей
Учитывая этот тренд, разработчик скорректировал набор функциональных модулей ПК «Avanpost». Теперь в состав продукта входят три основных модуля, которые можно внедрять отдельно или в любых сочетаниях:
- IDM (Identity Management),
- PKI (Public Key Infrastructure)
- SSO (Single Sign-On),
Другую существенную часть ПК «Avanpost 4.0» составляют различные сервисные инструменты:
- позволяющие строить и поддерживать в актуальном состоянии ролевые модели
- организовывать документооборот, связанный с управлением доступом
- самостоятельно разрабатывать коннекторы к различным ИТ- и ИБ-системам
- гибко настраивать информационно-аналитические отчеты.
В дальнейшем компания Аванпост будет развивать именно эти технологии, подсистемы, модули и инструменты.
В то же время, два других модуля, ранее входивших в состав ПК «Avanpost» (IPSec – построение защищенных каналов и SES – контроль действий пользователя), выведены из состава продукта и предложений компании. Развиваться они будут только по запросам организаций-пользователей; в то же время, компания Аванпост продолжит сопровождение этих модулей в составе уже внедренных решений, что полностью защитит затраты клиентов. Функции же модуля Avanpost Mobile перенесены в модуль SSO.
Работа с крупными компаниями
Сохранив гибкую лицензионную политику и легкость, сделавшие полнофункциональное IDM-решение доступным даже для среднего российского бизнеса, теперь ПК «Avanpost 4.0» поддерживает также самые крупные децентрализованные организации федерального масштаба, одновременно применяющие в различных подразделениях разнородные кадровые системы.
Нагрузочные испытания подтверждают работоспособность ПК «Avanpost 4.0» в конфигурации на 30 тыс. групп и 150 тыс. пользователей в домене. При этом верхняя планка масштабирования гораздо выше.
Поддержка кластеров
Кроме того, «Avanpost 4.0» поддерживает различные варианты трансграничного управления правами доступа в группах организаций, взаимодействующих по схеме кластера. В такой схеме центральная организация должна надежно контролировать доступ к своим приложениям, информационным ресурсам и элементам ИТ-инфраструктуры для сотрудников множества сторонних организаций (партнеров, аутсорсеров, членов расширенной цепочки поставок и др.), не имея при этом прямого доступа к их внутренним кадровым системам.
В российской экономике такие кластеры характерны для вертикально-интегрированных компаний, а также для ряда отраслей экономики (телекоммуникации, ТЭК, сельскохозяйственное производство, аэрокосмическая отрасль, машиностроение и др.).
Интеграция с облаками и гибридными системами
На базе ПК «Avanpost 4.0» уже можно создавать комплексные системы управления доступом для гибридных ИС, объединяющих традиционные приложения и элементы ИТ-инфраструктуры и частные облака.
В настоящее время решение Аванпост для частных облаков и гибридных ИС полностью проработано, а его коммерческое продвижение начнется как только на российском рынке появится устойчивый спрос на подобные решения.
Интеграция основных модулей ПК «Avanpost 4.0» с другими элементами ИС
Практическая ценность IDM-решения тем выше, чем полнее оно интегрировано c максимально возможным числом прикладных и инфраструктурных элементов ИС, ведь отсутствие взаимодействия – это брешь в системе ИБ предприятия.
Важнейший приоритет развития ПК «Avanpost» — увеличение числа готовых модулей сопряжения (коннекторов), упрощение и удешевление их разработки, а также качественное сопровождение коннекторов, гарантирующее их совместимость с новыми версиями ядра и функциональных модулей.
В новом релизе механизм интеграции существенно переработан и значительно усовершенствован, увеличено число точек взаимодействия ПК «Avanpost 4.0» с другими системами:
- системы дистанционного банковского обслуживания (ДБО),
- удостоверяющие центры (поддерживаются все УЦ, популярные на российском рынке),
- устройства для биометрической идентификации,
- СКУД,
- различные дополнительные средства аутентификации.
Для коннекторов с доверенными источниками данных и целевыми системами создан инструментарий разработчика (SDK), которым могут пользоваться сторонние организации. Это упрощает интеграцию ПК «Avanpost 4.0» с унаследованными системами, закрытыми внутрикорпоративными разработками, с отраслевыми решениями и системами для узких сегментов рынка.
Сегодня ПК «Avanpost 4.0» располагает наибольшим числом готовых коннекторов к распространенным на российском рынке ИТ-системам, а также доступными технологиями их разработки силами вендора, партнеров и клиентов.
В дальнейшем, число коннекторов будет увеличиваться, а также будут появляться новые точки сопряжения ПК «Avanpost» с другими системами. Так, в конце 2014 г. встроенная система координации процессов (Avanpost Workflow) сможет взаимодействовать с системами класса Service Desk и ЭДО (электронный документооборот).
Безопасность мобильных устройcтв и BYOD
Функционал модуля Avanpost Mobile, перенесенный в четвертом релизе в модуль SSO, предоставляет безопасный доступ через веб-браузер с мобильных устройств к внутрикорпоративным порталам и интранет-приложениям (портал, корпоративная веб-почта Microsoft Outlook Web App и др.) для обеих наиболее популярных мобильных платформ - Android и iOS.
Версия для OS Android также содержит встроенную полнофункциональную систему SSO, поддерживающую системы VoIP-телефонии, видео- и видеоконференцсвязи (например, Skype, SIP), а также любые Android-приложения (например, клиенты корпоративных систем: CRM, ERP, HR, бухгалтерия и др.) и облачные Web-сервисы.
Тем самым на мобильном устройстве обеспечивается главное преимущество SSO: пользователям не нужно запоминать множество идентификационных пар, при этом организация может использовать политики безопасности, требующие применения длинных стойких труднозапоминаемых, часто меняющихся паролей, которые еще и различаются во всех приложениях.
Модуль Avanpost Mobile и система Mobile SSO позволяют компании-клиенту полностью интегрировать мобильные устройства в корпоративную инфраструктуру IDM.
Методически-корректное внедрение и сопровождение IDM
Одним из ключевых нововведений стали инструменты построения и поддержания в актуальном состоянии т.н. ролевых моделей. Построение, оптимизация и актуализация таких моделей всегда были настолько сложными и трудоемкими, что значительная (если не бо́льшая часть) IDM-внедрений или застревала на этапе построения или согласования ролевой модели, или приводила к огромному неконтролируемому увеличению стоимости и срока внедрений, или заходила в тупик, поскольку к моменту построения модели и получения всех необходимых согласований модель безнадежно устаревала и теряла практический смысл. Естественно, о частом повторении этой работы не было и речи.
ПК «Avanpost 4.0» – это единственное на настоящий момент IDM-решение на российском рынке, имеющее полный набор инструментов для построения ролевых моделей и их поддержания в актуальном состоянии. Причем эти инструменты не увеличили стоимость лицензий.
Построение ролевой модели
За построение модели отвечает модуль Role Manager, который, используя стандартные коннекторы ПК «Avanpost», загружает из всех подключенных ИТ-систем точные и полные данные о фактическом распределении прав сотрудников, а затем анализирует эту информацию и генерирует (в соответствии с заданным критерием) оптимальный набор бизнес-ролей, который можно затем скорректировать вручную.
Благодаря Avanpost Role Manager, методически-корректное внедрение стало доступно для любой организации, причем даже в наиболее сложном варианте (с оптимизацией ролей). Кроме того, Role Manager выявляет различные «дыры» в ИБ: обнаруживает «мертвые души», избыточные права и др.
Аудит и управление ролями
Модуль ресертификации позволяет поддерживать ролевую модель в актуальном состоянии и одновременно формализовать и автоматизировать соответствующие процессы.
Работа модуля основана на механизме заявок: владелец роли и другие авторизованные лица запрашивают нужные действия, а подсистема координации процессов (workflow) ПК «Avanpost 4.0» проводит заявки через соответствующий цикл визирования в соответствии с утвержденным регламентом, и в случае успеха вносит необходимые изменения в ролевую модель.
Руководствуясь этими изменениями, IDM-ядро (через коннекторы) автоматически и практически мгновенно перенастраивает механизмы управления доступом подключенных ИТ-систем – и вся система управления доступом вновь полностью соответствует новым правилам.
Использование механизма заявок в модуле ресертификации ролей и в ряде других подсистем ПК «Avanpost» (например, при управлении ИТ-ролями) максимально упрощает вовлечение бизнес-подразделений в процессы администрирования IDM.
В ПК «Avanpost 4.0» он реализован как Web-приложение, с которым работают все категории пользователей: любые сотрудники могут самостоятельно регистрировать заявки, которые затем проходят заданные маршруты и регламенты визирования; а для их настройки нужны соответствующие полномочия.
В частности, реализован механизм делегирования, сложные правила управления групповыми заявками (визирующие лица могут утверждать заявку для одних кандидатов и отклонять – для других), зоны видимости, а также заявки, вызывающие вре́менное изменение режима работы ПК «Avanpost» (например, создание роли, действующей одну неделю), которое по истечении указанного периода будет автоматически отменено.
Новая подсистема отчетов
В ПК «Avanpost 4.0» встроена новая унифицированная подсистема подготовки отчетов, которая используется во всех функциональных модулях: IDM, PKI, Role Manager и др.
Работа с этой системой идет через специальное Web-приложение, а технология создания отчета рассчитана на пользователей и администраторов, имеющих базовые навыки программирования на языках HTML и C#.
Это обеспечивает практически неограниченную гибкость, позволяет создавать отчеты со сложной логикой, а также шаблоны сложных отчетов, которые в ходе внедрения проходят глубокую кастомизацию под нужды конкретной организации. Разработку и кастомизацию отчетов могут проводить как интеграторы, так и специалисты заказчика.
В распоряжении пользователей появилась и библиотека, включающая более десятка предустановленных наиболее востребованных форм отчетов.