Немного об Access Governance

Немного об Access Governance

Access Governance - это весьма активно развивающийся сегмент рынка IAM (Identity and Access Management - наиболее частоупотребляемое название, но помимо него также встречаются варианты Identity and Access Governance и Identity and Access Intelligence). Иногда этот термин используют как синоним IAM, но я склонен считать, что инструменты создания учетных записей в IT-системах со всеми сопутствующими механизмами обеспечения относятся сегменту, известному как Identity Management. Насколько я могу судить, в нашей стране Access Governance еще не набрал достаточную актуальность, чтобы быть на слуху и быть ключевым для рынка IAM. Что уж говорить, если сам термин я стал использовать не так уж и давно. Собственно от части из-за этого я хочу познакомить с ним и вас.

Access Governance специализируется на реализации средств управления доступом к IT-системам (преимущественно Enterprise уровня) и Middleware-приложениям, а также реализации средств управления рисками предоставления этого доступа. Важный акцент делается именно на рисках, т.к. последствия их наступления зачастую имеют серьезный практический ущерб. Риски включают несанкционированный доступ к конфиденциальным сведениям, подмену информации, а также взлом систем и прочее. Банковские инциденты в целом являются яркими примерами таких рисков, но помимо них существуют примеры промышленного шпионажа (утечка планов и проектов), мошенничество в системах ERP в целях сокрытия незаконных банковских операций, нанесение ущерба имиджу из-за разглашение конфиденциальных данных, утечка в прессу информации ограниченного доступа и многое другое. Таким образом задачи Access Governance тесно связаны с реализацией концепции GRC (Governance, Risk Management, Compliance).

Говоря простыми словами, продукты Access Governance дают ответ на вопрос "кто и к чему имеет доступ?". Помимо этого есть еще парочка ключевых вопросов. Это вопрос "кто и к чему имел доступ ранее?", а также вопрос "кто согласовал/предоставил этот доступ?". Чтобы получить ответы на данные вопросы в продуктах Access Governance реализован функционал, включающий следующие возможности:

  • хранилище доступа (Warehouse) - репозиторий, в котором хранятся данные о текущем и ранее предоставленном доступе в различные системы. Сбор данных о доступе осуществляется как с помощью собственных коннекторов, так и с использованием IDM-систем, обеспечивающих предоставление доступа (provisioning). Иногда хранилище доступа может быть набором неструктурированных файлов (*.csv);
  • аттестация и ресертификация (Attestation and Recertification) - периодический или выполняемый по требованию аудит текущих прав доступа (политик и назначенных ролей) и, в случаях обнаружения изменений, не соответствующих политикам, их корректировка;
  • аналитика (Analytics and Intelligence) - средства для анализа текущего состояния прав доступа, иногда включает в себя средства для мониторинга доступа в реальном времени;
  • управление рисками (Risk Management) - определение рисков и допустимого доступа к системам в целом или для конкретной информации, а также анализ, на основе этих рисков;
  • управление запросами доступа (Request Management) - интерфейсы, с помощью которых пользователи осуществляют запрос доступа к конкретным системам и/или определенной информации;
  • контроль разделения полномочий (Segregation of Duties, SoD) - определение бизнес-правил и контроль за их соблюдением для управления разделением полномочий и обязанностей;
  • управление ролями (Role Management) - средства для ролевой модели управления доступом (Role Based Access Controls), включающие в обязательном порядке возможности создания и анализа ролей. Хотя в данный момент существует тренд пересмотра этой концепции в строну более детальной реализации доступа на основе атрибутов - ABAC (Attribute Based Access Control)

Весь этот функционал реализуется двумя группами продуктов: решения Access Governance только для управления доступом и продукты сегмента Identity Management, изначально заточенные на "провижининг", но в дальнейшем расширившие свой функционал. Первый вариант решений характерен для относительно новых вендоров и различных стартапов, появившихся за последние несколько лет. Второй подход, расширение функционала IDM-решений функциями Access Governance, чаще используется крупными вендорами. Правда, вендоры, предлагающие решения Access Governance только для управления доступом тоже начали добавлять средства "провижининга" в свои продукты. Таким образом рынок условно сформирован вендорами, которые создавали изначально решения Access Governance и сейчас расширяют их функциями IDM, и вендорами, которые изначально предлагали IDM решения и теперь расширяют свои линейки продуктов решениями Access Governance. Постепенно разница между ними сведется на нет.

Оставить комментарий