Отчет по лабораторной работе №2
Изучение системы отечественных стандартов информационной безопасности
Группа:
ИКТС-21
Студент:
Богатырев Д.Н.
2016г.
СРАВНЕНИЕ IDM-СИСТЕМ
Рынок IdM-решений в настоящее время переживает бурный рост, его российский сегмент с каждым днём пополняется новыми вендорами, и выбрать подходящий продукт становится всё сложнее. В этой статье мы приводим оценку популярных IdM-систем с точки зрения нашего опыта их внедрения и даем практические рекомендации по выбору IdM.
Первое, с чего стоит начать, – это критерии оценки решений. За свою практику мы сталкивались с множеством разных подходов к сравнению продуктов. Для нашего обзора мы выбрали наиболее объективные из них: это оценка аналитических компаний, уровень доверия к вендору, функциональная зрелость, опыт использования, стоимость вхождения. Поскольку показатели либо не измеряются численно, либо сильно зависят от конкретной компании, их оценка приводится в сравнительных величинах.
Ниже мы подробнее расскажем о выбранных нами критериях (в чём их суть, как их можно оценить, почему мы считаем их важными), а также о некоторых популярных подходах к сравнению IdM, которые не попали в нашу оценку.
Оценки аналитических компаний – это мнение западных экспертов, таких как Gartner и Forrester. Они дают хорошее представление об общем состоянии и тенденциях развития современных IdM-решений, особенно полезны в том случае, когда выбор необходимо сделать в короткие сроки, а также для его обоснования бизнес-руководству, особенно зарубежному.
Уровень доверия к вендору учитывает риски, связанные с банкротством, с приобретением вендора другой компанией, с его уходом с рынка IdM, с ресурсными возможностями. Этот уровень измеряется финансовыми показателями компании, известностью на российском и мировом рынке, составом продуктового портфеля, возможностями локальной поддержки. Есть важная составляющая, которую мы учесть не можем, – это опыт взаимоотношений с вендорами. Дело в том, что его нужно оценивать отдельно для каждого клиента.
Уровень доверия является фундаментальным показателем: он определяет риски вложения инвестиций в определённую систему и срок её жизни в компании. В качестве примера можно упомянуть один из российских банков, который приобрел IdM-решение у небольшого российского вендора и оказался в ситуации, когда в систему уже вложено много денег и времени, за новые доработки вендор просит непомерно много, а заменить его другим подрядчиком невозможно – можно только перейти на другую платформу. В конце концов банк сделал именно это.
Отдельно хочется отметить тот факт, что отраслевая принадлежность компании на выбор системы IdM напрямую не влияет. В той или иной степени, задачи по управлению доступом являются общим местом для организаций из самых разных секторов экономики, есть различия только в акцентах. Так, компании финансовой сферы больше внимания уделяют требованиям регуляторов, нефтегазовой отрасли – контролю прав доступа к информационным активам, представители ритейла – операционной эффективности управления правами доступа, а страховые компании – контролю прав доступа агентов и подрядчиков. Всё это – неотъемлемые функции любой зрелой системы IdM.
Функциональная зрелость – это оценка удобства пользовательского интерфейса, объёма функций системы IdM, соответствующих её назначению, и гибкости их настройки. Данный показатель у решений мы оценивали на основании своего опыта внедрения IdM и ожиданий наших клиентов от продуктов. Удобство графического интерфейса очень важно, поскольку пользователями системы является подавляющее большинство сотрудников компании. Если интерфейс будет недостаточно удобным, начнутся проблемы на стадии промышленной эксплуатации IdM.
Рис. 1. Магический квадрант Gartner – вендоры IdM-решений
Объём функций напрямую влияет на число задач, которые может решить система. Чем большим их количеством она обладает, тем более значительные результаты можно получить от внедрения. Гибкость – едва ли не более важный показатель. Поскольку от системы IdM требуется адаптация под инфраструктуру и бизнес-процессы компании, само по себе наличие некоторого функционала даёт не так много, как возможность реализовать его в соответствии с нуждами организации. Функциональная зрелость напрямую влияет на результативность внедрения IdM, на то, насколько компания сможет повысить эффективность своих процессов и снизить издержки, а также на стоимость проектных работ.
Опыт использования системы – это показатель ее работоспособности для решения реальных задач различных организаций. Он отражает готовность системы к enterprise-внедрениям, её способность интегрироваться и функционировать в информационной инфраструктуре предприятия, обеспечивать необходимые характеристики, в том числе отказоустойчивость и масштабируемость. Работоспособность системы можно оценить только по реальным внедрениям. При этом при анализе опыта внедрения важно принимать во внимание такие особенности, как сектор экономики и величина компании, территориальное распределение и количество пользователей системы, место IdM в инфраструктуре.
Опыт использования – один из ключевых показателей, поскольку только на его основании можно говорить о работоспособности системы в целом, о её применимости для решения бизнес-задач. Здесь можно привести интересный пример: у одного из вендоров вышла новая версия системы IdM. Судя по документации, ее переработали достаточно серьезно, добавили много новых функций. Но когда мы начали ее внедрение в одной из компаний, столкнулись со следующим: если что-то работало не так, как описано в документации, вендор не дорабатывал продукт надлежащим образом, а вносил изменения в документацию, подгоняя ее под реальное положение дел. И даже в такой ситуации мы обеспечили необходимый компании функционал.
Табл. 1. Сравнение функционала IdM-решений
Стоимость вхождения – это оценка стоимости «входа», затрат на первый этап внедрения системы. Другими словами, этот показатель отображает объём финансовых вложений в создание фундамента IdM. После этого, как правило, идут этапы развития и поддержки. Стоимость по каждому решению мы оценивали исходя из нашего опыта их внедрения. Отметим, что компании гораздо сложнее пойти на риск внедрения новой системы, если объём инвестиций в неё превышает ожидаемые рамки. Этот показатель необходимо рассматривать в тесной связи с другими, такими как функциональная зрелость. Если продукт обладает низкими стоимостью и функциональной зрелостью, основные расходы на него придутся на этапы развития и поддержки.
Приведем пример: крупный российский банк выбирал систему IdM и остановился на решении западной компании, которая согласилась предоставить лицензии практически даром. Выбранная платформа не обладала необходимой функциональностью, мы пытались убедить в этом банк, но безуспешно. В результате после нескольких лет внедрения, смены исполнителей, подключения вендора, когда система так и не запустилась в необходимом объёме, банк сам пришел к такому выводу. Компания вложила в создание системы большое количество денег, потратила массу времени, а ожидаемого эффекта так и не получила.
Теперь поговорим о распространённых критериях, которые периодически встречаются в сравнениях IdM-решений, но не вошли в нижеследующий обзор. Их множество, но мы остановимся только на самых заметных.
Первый – это количество адаптеров к информационным системам. У большинства развитых IdM-решений их перечень более или менее одинаков. Для крупных промышленных систем, например, ERP, польза от штатных модулей интеграции есть не всегда: при внедрении их зачастую все равно необходимо адаптировать, так что они не решают поставленных задач. Поскольку определённая часть адаптеров разрабатывается при внедрении, этот показатель на выбор платформы значительно не влияет.
Второй – наличие сертификатов ФСТЭК или ФСБ. Система IdM, по сути, является средством автоматизации деятельности по управлению учётными записями и заявками на доступ. Хранить в ней конфиденциальные либо персональные данные высокой степени критичности нет необходимости, поэтому требования к наличию соответствующих сертификатов редко применяются в коммерческом секторе.
«Герои IdM и магии»
Какие же решения будут представлены в нашем обзоре? Прежде всего это традиционные представители российского рынка IdM: Oracle Identity Manager, IBM Security Identity Manager и Microsoft Forefront Identity Manager. Также рассмотрим несколько новых для нашего рынка решений, которые мы уже успели апробировать: это решения SailPoint IdentityIQ, Avanpost IDM и КУБ.
Предлагаем ознакомиться с результатами сравнения IdM-решений из аналитического отчёта компании Gartner «Identity Governance and Administration», составленного в конце 2013 г. (см. рис. 1 – магический квадрант). Мы использовали их для оценки первого критерия. Отметим, что в отчёте Gartner рассматривается большое количество вендоров IdM, их основная часть на российском рынке не представлена, нас же интересует оценка только выбранных нами продуктов.
Также представляем вам составленную нашими экспертами таблицу, демонстрирующую функциональные возможности систем (см. табл. 1).
В таблице представлены все наиболее востребованные функции, которые встречаются в проектах внедрения IdM, и оценка их наличия в каждом отдельном продукте. Отсутствие определённого функционала не означает невозможности его доработки, но в этом случае имеет смысл учитывать показатели гибкости системы, чтобы оценить необходимые ресурсы для её реализации.
Oracle Identity Manager
Продукт Oracle получил одну из самых высоких оценок аналитиков. Oracle – транснациональная компания с высоким уровнем доверия в мире и в России. Из особенностей можно отметить то, что сегодня у Oracle очень широкий стек программно-аппаратных решений, что снижает ТСО и упрощает поддержку. Вместе с тем IdM – возможно, не самая заметная часть стека Oracle, поэтому это направление заслуживает дополнительного продвижения и привлечения внимания.
Рис. 2. Запрос полномочий в Oracle Identity Manager
Функционально продукт зрелый, функционал Role Management представлен в отдельном продукте Oracle Identity Analytics, который поставляется только в составе пакета Oracle Governance Suite. Из преимуществ можно отметить возможность создания массовых заявок, наличие исторической отчётности, гибкую систему разграничения прав. Из функциональных недостатков: как и практически у всех рассматриваемых нами решений, отсутствует возможность запроса доступа на время (обходной путь – это настройка сертификации доступа), Oracle Identity Manager также обладает нетривиальной системой журналирования событий, на основании данных которой иногда непросто узнать причины тех или иных действий с правами. Отдельные недостатки есть у системы согласования заявок: они проходят согласование либо целиком, либо по каждой роли отдельно. В первом случае, если пользователю запросили сто ролей, каждому владельцу роли придёт на согласование вся заявка целиком, даже если он отвечает только за одну роль из ста. Во втором: заявка распадётся на отдельные роли, и если владелец роли отвечает за пятьдесят из ста запрошенных, ему придёт пятьдесят заявок – отдельно по каждой роли.
Продукт имеет очень высокую степень гибкости, особенно в части изменения пользовательского интерфейса, самостоятельной разработки коннекторов к нестандартным системам (например, можно настроить согласование заявки из письма), но при этом требует высокой квалификации персонала. Внешний вид интерфейса на уровне, но зачастую компании хотят доработать его под себя. Здесь оказываются весьма полезными широкие возможности настройки. Также есть некоторые неудобства, связанные со скоростью работы интерфейса пользователя.
Опыт использования решения в мире и в России очень большой, на нашем рынке более половины внедрений IdM приходится на продукты Oracle. Российский опыт их использования включает компании с несколькими десятками тысяч человек, из различных секторов, территориально распределённые по всей стране. Стоимость вхождения для продуктов Oracle достаточно высока.
IBM Security Identity Manager
Продукт IBM получил среднюю оценку аналитиков. IBM – крупная транснациональная компания, хорошо известная в России, и сомнений в доверии не вызывает. Из особенностей можно отметить широкий портфель продуктов без видимого фокуса на IdM.
Объём функций в системе достаточно большой. Из преимуществ хочется отметить большие возможности разграничения доступа к функциям системы, обработки несогласованных полномочий, просмотра журнала всех действий в системе с отображением причины события, предыдущего и нового значений. Из недостатков: штатно нет отчётности на определённую дату в прошлом, запроса ролей на время, массового запроса доступа, частичного согласования заявок. Из-за одновременного использования двух хранилищ данных – СУБД и LDAP – продукт имеет недостатки, связанные с отчётностью: чтобы информация в отчёте была актуальной, необходимо синхронизировать данные между хранилищами.
Гибкость продукта на высоком уровне, есть хорошие возможности доработки, но и недостатки, например, невозможность изменения формы заявки. Можно отметить относительно высокую сложность разработки адаптеров к информационным системам: они разрабатываются в универсальном инструменте для интеграции данных и требуют специальной подготовки. Графический интерфейс решения довольно простой и понятный, внешний вид – на высоте.
Опыт использования решения в мире достаточно большой, в России вполне заметный. Российский опыт включает внедрения в нескольких крупных компаниях из финансового, телекоммуникационного и государственного секторов, с десятками тысяч сотрудников, географически распределённых по всей России. Стоимость вхождения для решения IBM невысока.
Рис. 3. Новый интерфейс запроса полномочий IBM Security Identity Manager
