Эксперты «Индид» и Айдентити Клуба обсудили внедрение систем IdM

Айдентити Клуб — сообщество экспертов, организованное компанией Индид. Клуб объединяет профильных специалистов для совместных исследований, разработки инициатив, обмена опытом и популяризации лучших практик в области безопасности айдентити. 

Руководители крупных российских компаний и ведущие специалисты в области информационной безопасности собрались, чтобы обменяться опытом и обсудить эффективные подходы к реализации IdM-проектов. Официальными партнерами встречи стали компании «Индид», Octopus Identity, УЦСБ, Identigy, Avanpost. Среди участников — представители компаний «РУСАЛ», «Северсталь», Lamoda Tech, Газпромбанк и «ВКонтакте». Модератором мероприятия выступил Яков Фишелев, основатель Octopus Identity.

Яков Фишелев, основатель Octopus Identity: 

«Айдентити Клуб — это площадка для открытого диалога и популяризации лучших практик обеспечения безопасности айдентити. Мы стремимся обсуждать не теоретические подходы, а реальные кейсы и вызовы, с которыми сталкиваются компании. На встрече экспертов IdM уделяется особое внимание опыту использования Identity Management продуктов, подходам к построению цифрового суверенитета и роли технологий искусственного интеллекта в трансформации IdM-систем».

Решения класса IdM — один из элементов комплексного подхода к защите айдентити и важный инструмент организации контролируемого доступа к корпоративным ресурсам. Внедряя методы IdM, компаниям в первую очередь необходимо сделать систему безопасной, удобной и при этом экономически эффективной.

Эксперты отметили: чтобы повысить уровень зрелости процессов управления доступом и упростить взаимодействие с системами IdM, можно применять технологии искусственного интеллекта (ИИ). Использование решений класса IdM в связке с ИИ существенно помогает в работе системным администраторам, офицерам безопасности, инженерам по внедрению. Немалую выгоду получают и конечные пользователи, например линейные руководители и владельцы бизнеса.

Участники также уделили значительное внимание управлению технологическими учетными записями — данными, которые позволяют сервисам проходить аутентификацию в других компонентах ИТ-инфраструктуры предприятия. Обеспечение контроля над такими учетными записями часто выносится за рамки проектов в области Identity Management из-за масштаба задачи — необходимость контроля большого количества аккаунтов во множестве систем делает реализацию сложной, что повышает риски информационной безопасности. 

Еще одной важной темой обсуждения стала сложность применения One Identity Manager — системы управления доступом, относящейся к классам IdM/IAM. За последние годы это решение, разработанное иностранной компанией, завоевало немалую популярность на отечественном рынке. В 2022 г. его поставщик ушел из России, поэтому пользователи One Identity Manager столкнулись с отказом в техподдержке и невозможностью увеличить количество лицензий.

Андрей Каганский, начальник отдела внедрения систем IdM/IGA в УЦСБ:

«После ухода One Identity с рынка три года назад исчезла и официальная поддержка продукта. Главная проблема — невозможность получить помощь при сбоях в работе текущей версии. В частности, сейчас российские пользователи не могут создать тикет, обратиться с инцидентом. Конечно, есть профильные сообщества и чаты, где можно спросить совета, найти похожие решения. В какой-то степени это помогает, но в целом получить поддержку стало значительно тяжелее».

Во время дискуссии участники мероприятия поделились практическим опытом замещения One Identity Manager и рассказали о результатах, которых им удалось достичь в процессе решения этой задачи.

Виктор Егоров, руководитель управления эксплуатации АО «Северсталь-инфоком»:

«В «Северстали» централизованное управление учетными записями и доступом обеспечивается с помощью продукта One Identity Manager, разработчик которого покинул российский рынок. Актуальный для многих вопрос: есть ли жизнь после ухода вендора? Сейчас есть, и мы как раз это демонстрируем на примере реализованного нами с партнерами решения. Его функциональность позволяет управлять полным жизненным циклом учетных записей более чем 150 тысяч наших сотрудников».

Кроме того, эксперты рассказали о проектах, в ходе которых им удалось успешно автоматизировать критически важные для бизнеса функции в текущей в системе IdM. Автоматизация позволила исключить ручной труд, повысить эффективность предоставления доступа и управления им. 

Илья Кулешов, руководитель отдела развития ИБ и Павел Кулажко, старший специалист по IdM в Lamoda Tech:

«С помощью системы IdM мы ежедневно управляем 24 тысячами активных учетных записей. В рамках кадровой работы создаем около 700 и блокируем около 400 учетных записей. На определенном этапе мы столкнулись с проблемой: сотрудники, переезжающие за границу, например из одной страны СНГ в другую, не попадали в корректный кадровый источник».

В заключение эксперты обсудили важные вопросы, касающиеся жизненного цикла контейнеров. Они сошлись во мнении, что если автоматизировать его с помощью решений класса IdM, то можно не только снизить нагрузку на службу поддержки, но и помочь разработчикам выполнять свои задачи безопаснее и быстрее.

Максим Егоров, инженер «ВКонтакте»: 

«Мы добились значительной эффективности в управлении доступом, автоматизируя жизненный цикл контейнеров разработки через нашу систему IdM. Процесс начинается с инициации операции в IdM: система отправляет на сервер TeamCity запрос на создание контейнера или обновление ключей SSH. Далее отслеживает статус выполнения по уникальному идентификатору (ID) билда и в случае успеха продолжает процесс, а при ошибке уведомляет ответственных в чате».