ПРОБЛЕМЫ ПРОЕКТИРОВАНИЯ РОЛЕВОЙ МОДЕЛИ IAM

ISSUES IN DESIGNING IAM ROLE MODEL

Dana Shchekuteeva

student, Faculty of Mechanics and Mathematics, Department of Information Systems Security, Samara State University,

Russia, Samara

АННОТАЦИЯ

Рассмотрены проблемы проектирования ролевой модели системы идентификации и управления доступом IAM (Identity and Access Management).

Предложена методика, которая на основе выявленных недостатков поможет обеспечить более высокий уровень безопасности ресурсов информационной системы и повысить эффективность управления доступом.

Представлены результаты сравнительного анализа программных средств идентификации и аутентификации пользователей на основе ролевой модели.

ABSTRACT

The problems of designing the role model of the IAM (Identity and Access Management) identification and access management system are considered.

A methodology is proposed that, based on the identified shortcomings, will help to ensure a higher level of security of information system resources and increase the effectiveness of access control.

The results of a comparative analysis of software tools for user identification and authentication based on a role model are presented.

Ключевые слова: идентификация, управление доступом, IAM.

Keywords: identification, access control, IAM.

Введение

В современном информационном обществе защита данных и обеспечение безопасного доступа к информационным ресурсам становятся приоритетными задачами для всех организаций, как государственных, так и коммерческих.

Одним из часто применяемых подходов к обеспечению безопасности информационных ресурсов является ролевое управление доступом (Role-Based Access Control, RBAC) [1]. В контексте широкого распространения RBAC в корпоративной среде, понимание проблем проектирования ролевой модели IAM и разработка решений для их преодоления становятся критически важными.

Общие сведения

Выбор наиболее подходящего метода управления доступом в IAM зависит от характера ресурсов, уровня безопасности, а также уровня рисков и конкретных потребностей организации.

В частности, ролевое управление доступом основано на назначении ролям определенного набора прав доступа, которые затем связываются с пользователями. Каждая роль представляет собой совокупность задач или функций, которые выполняет пользователь или группа пользователей. Данный метод позволяет упростить процесс управления доступом, так как права доступа назначаются на основе роли, а не индивидуально для каждого пользователя, что облегчает администрирование и обеспечивает более систематический подход к управлению доступом [2].

Ролевая модель является ключевым элементом систем IAM, определяя права доступа пользователей к ресурсам в соответствии с их ролями и обязанностями в организации. Однако проектирование ролевой модели часто сталкивается с рядом сложностей, которые могут затруднить эффективное управление доступом и повысить уязвимость системы к угрозам безопасности. Среди таких проблем можно выделить следующие:

Несогласованность ролей с реальными задачами и доступом. Проблема возникает, когда назначенные роли пользователям не соответствуют их реальным обязанностям и требуемому доступу. Это может привести к либо избыточным правам, либо ограниченному доступу, что ухудшает производительность и безопасность системы.

Неоднородность ролевых привилегий. Проблема заключается в том, что роли могут иметь различные уровни доступа к ресурсам, что затрудняет управление и контроль доступом. Например, одна и та же роль может предоставлять разные права доступа в разных системах или даже в рамках одной системы.

Сложности в сборе данных для ролевого моделирования. Недостаточная или неполная информация может привести к неправильному определению ролей и назначению привилегий из-за разнообразия источников данных, их неоднородности и объема.

Изменчивость организационной структуры и бизнес-процессов. Проблема может привести к несоответствиям между ролями и реальными обязанностями пользователей. Например, создание новых подразделений или изменение бизнес-процессов может потребовать пересмотра ролевой модели и назначения новых привилегий.

Отсутствие стандартизированных методов и инструментов. Без единых стандартов могут возникать проблемы с согласованностью и совместимостью ролевых моделей в различных системах и организациях.

Понимание этих проблем и применение соответствующих подходов к их решению позволит организациям создавать более эффективные и безопасные ролевые модели в системах IAM.

Объекты исследования

В работе предложена методика, которая на основе выявленных недостатков поможет обеспечить уровень безопасности и повысить эффективность управления доступом.

В рамках методики по устранению недостатков в проектировании ролевой модели IAM были выделены следующие ключевые подходы, каждый из которых направлен на решение проблем:

• систематизация и аудит ролевой модели;
• использование машинного обучения для оптимизации ролевых моделей;
• создание пользовательских историй;
• принцип динамической авторизации;
• адаптивная архитектура ролевого моделирования.

Эти подходы разработаны для обеспечения более эффективного управления доступом и снижения уязвимости системы к угрозам безопасности, представляя собой комплексную стратегию, направленную на повышение уровня защиты информации и ресурсов организации.

А также в работе проведён анализ программных средств идентификации и аутентификации пользователей на основе ролевой модели.

В качестве объектов исследования были выбраны следующие программные средства:

• ADManager Plus;
• Access Rights Manager;
• Okta;
• SailPoint IdentityIQ;
• MidPoint.

Инструмент IAM ADManager Plus

ADManager Plus [4] – это интегрированный инструмент управления Active Directory, который предоставляет широкий спектр функций для управления пользователями, группами и ресурсами в среде Windows. Его основные возможности включают автоматизацию рутинных задач управления, массовое изменение атрибутов объектов Active Directory, создание и управление отчетами, а также аудит изменений.

Одной из ключевых особенностей ADManager Plus является его простой в использовании интерфейс, который позволяет администраторам эффективно управлять Active Directory, минимизируя время и усилия, затрачиваемые на выполнение административных задач. Однако стоимость лицензий может быть существенной для некоторых организаций, и иногда требуется дополнительный функционал или ресурсы для полного удовлетворения специфических потребностей.

Инструмент IAM Access Rights Manager

Этот инструмент управления правами доступа обеспечивает централизованное управление доступом к ресурсам в среде информационной безопасности. Его основные возможности заключаются в отслеживании, управлении правами доступа пользователей к различным ресурсам, автоматизации процесса предоставления и отзыва доступа, а также помощь организациям обеспечить эффективное управление доступом, минимизируя уязвимости и риски в области безопасности информации. Но инструмент требует времени и ресурсов на настройку и может иметь ограничения в интеграции с другими системами [3].

Инструмент IAM Okta

Okta [6] – это облачная платформа IAM, предоставляющая комплексные решения для аутентификации, авторизации и управления доступом к приложениям и данным в облаке и внутри предприятия.

Важным преимуществом является включение в состав Okta платформы Auth0 для авторизации документов. Отличительной особенностью является возможность работы на мобильных устройствах, локально и в облаке. Однако следует отметить, что для аутентификации в локальных приложениях может потребоваться дорогостоящее оборудование, а в случае утери пароля возможна потеря доступа ко всему.

Инструмент IAM SailPoint IdentityIQ

SailPoint IdentityIQ [7] – это интегрированное решение, использующее искусственный интеллект и машинное обучение для автоматизации процессов предоставления ресурсов, сертификации доступа и эффективного разделения задач. Оно обеспечивает оптимизацию запросов и доставки доступа, обеспечивая при этом лучшую видимость и контроль над доступом пользователей к конфиденциальным приложениям и данным.

Инструмент применяют как облачный унификатор, подключая различные системы управления доступом на различных платформах. SailPoint IdentityIQ предлагает набор соединителей и интеграций для интеллектуального управления доступом к бизнес-приложениям. Однако внедрение и настройка этого решения могут требовать значительных временных и финансовых затрат.

Инструмент IAM MidPoint

MidPoint [5], являющийся лидером в области защиты личных данных с открытым исходным кодом, выступает примером гибкого инструмента IAM. MidPoint обеспечивает также мощные возможности контроля и мониторинга. Решение предоставляет инструменты для выполнения аудита и мониторинга, обеспечивая прозрачность в управлении доступом и обеспечивая соответствие стандартам безопасности и регулирования. Это позволяет организациям эффективно контролировать и управлять доступом пользователей к конфиденциальным приложениям и данным.

В целом, MidPoint является мощным и гибким инструментом, который обеспечивает эффективное управление идентичностью и доступом в организации, обеспечивая безопасность, гибкость и простоту использования. Однако его использование может потребовать от пользователей определенного времени и обучения для эффективной работы.

В приведённых инструментах IAM выделены характеристики, на основе которых можно проведен сравнительный анализ, данные представлены в таблице 1.

Таблица 1.

Инструменты IAM: программное обеспечение для идентификации и управления доступом

Рекомендации по выбору программных средств

Для крупных корпоративных пользователей можно рекомендовать продукты, такие как SailPoint IdentityIQ и Okta, которые обладают широкими возможностями, высокой масштабируемостью и поддержкой сред с большим количеством пользователей и приложений.

Для малого и среднего бизнеса подойдут продукты: ADManager Plus и Access Rights Manager, которые предлагают более простые в использовании и доступные решения для управления Active Directory, доступом к ресурсам и соблюдения правил безопасности.

MidPoint – выбор для организаций любого размера, которые предпочитают использовать open-source решения и имеют возможность самостоятельно настраивать и адаптировать продукт под свои потребности без больших затрат.

Выводы

1. Применение ролевой модели для идентификации и авторизации пользователей значительно повышает безопасность работы информационной системы и снижает риски инцидентов с несанкционированным доступом к ресурсам.
2. Ключевую роль играет правильный выбор программных средств аутентификации.
3. Программный пакет MidPoint является примером гибкого инструмента управления политиками доступа, который позволяет продемонстрировать функциональные возможностей для разработки и реализации ролевых моделей.

Список литературы:

1. Role-Based Access Control in Business Process Management [Электронный ресурс]. // Cflow: сайт. – URL: https://www.cflowapps.com/role-based-access-control/ (дата обращения: 30.03.2024)
2. Semančík R. Practical Identity Management With MidPoint– Evolveum, 2022.– 389 с.
3. Официальный сайт Access Rights Manager [Электронный ресурс]. // SolarWinds: сайт. – URL: https://www.solarwinds.com/access-rights-manager/ (дата обращения: 12.04.2024)
4. Официальный сайт ADManager Plus [Электронный ресурс]. // ManageEngine: сайт. – URL: https://www.manageengine.com/ (дата обращения: 12.04.2024)
5. Официальный сайт MidPoint [Электронный ресурс]. // Evolveum: сайт. – URL: https://evolveum.com/midpoint/ (дата обращения: 16.04.2024)
6. Официальный сайт Okta [Электронный ресурс]. // Okta: сайт. – URL: https://www.okta.com/pricing/ (дата обращения: 15.04.2024)
7. Официальный сайт SailPoint IdentityIQ [Электронный ресурс]. // SailPoint: сайт. – URL: https://www.sailpoint.com/products/identityIQ/ (дата обращения: 15.04.2024)