В простейшем варианте управление идентификацией сводится к обеспечению безопасности с помощью логинов и паролей, но когда речь идет о доступе пользователей к множеству приложений из внешних и внутренних сетей, то проблема сразу усложняется. Правда, вместе с этим растут возможности для поставщиков решений.
Эффективная политика безопасности диктует сложную структуру паролей, которые следует часто менять, а необходимость удаленного доступа создает дополнительные трудности в виде VPN и технологий с использованием сертификатов. Все эти элементы, собранные вместе, наглядно демонстрируют, насколько сложно управлять идентификацией, и эта сложность увеличивает стоимость систем безопасности, а также увеличивает нагрузку на системных администраторов.
Указанные проблемы создают новые возможности для деятельности интеграторов, специализирующихся на построении решений в области безопасности и продающих системы по управлению идентификацией. Достаточно взглянуть на затраты, связанные с поддержкой пользователей, чтобы понять масштабы таких обычных проблем, как потеря пароля или предоставление доступа, — на решение данных вопросов компании тратят немалые средства. И это становится главным катализатором внедрения решений по управлению идентификацией.
Некоторые элементы управления идентификацией довольно просты и их внедрение не вызывает трудностей. Чтобы продемонстрировать заказчику, какие выгоды он получит, достаточно обратиться к методам единой регистрации (single sign-on, SSO). Этот подход предусматривает сведение всех элементов идентификации и паролей в единый репозиторий, который может использоваться различными операционными системами и приложениями. Главным преимуществом SSO является то, что пользователям требуется лишь один набор идентифицирующих параметров, чтобы получить доступ к определенной группе бизнес-систем, что повышает удобство работы для рядового исполнителя и снижает количество звонков в справочную службу по проблемам доступа.
Некоторые специалисты полагают, что синхронизация паролей вполне может решить многие проблемы. Предлагаемый подход обеспечивает автоматическое использование одного и того же пароля для различных систем. Например, для системы безопасности на базе LDAP, службы Active Directory и сервера RADIUS. Но по сравнению с методами SSO синхронизация паролей увеличивает расходы, связанные с оплатой труда сетевых администраторов, поскольку кто-то должен создавать исходные учетные записи пользователей в каждой системе безопасности. Иными словами, администратор все равно остается ответственным за внесение каждого пользователя во множество систем и сопровождение этих учетных записей. Некоторые решения по синхронизации паролей помогают облегчить данный процесс. Пользователь все равно будет должен использовать разные логины для доступа к различным системам, но необходимость запоминания множества паролей устраняется.
Проблемы, связанные с паролями, — бич многих справочных служб. В зависимости от используемых политик безопасности восстановление паролей может представлять собой весьма сложный процесс и потребовать больших затрат времени. Эти трудности можно устранить, обратившись к технологиям восстановления паролей, которые дают возможность пользователям делать это самостоятельно. Обычно пользователь подключается к программе восстановления пароля через браузер или по телефону с интерактивным речевым ответом. Затем осуществляется аутентификация пользователя с помощью вопросов, на которые знает ответ только он.
Средства управления доступом также помогают администраторам эффективно и централизованно управлять правами пользователей. Типовая система включает несколько способов аутентификации для проверки пользователя. В их числе пароли, цифровые сертификаты, индивидуальные карточки либо программные продукты.
Более того, большинство систем управления доступом позволяют администраторам делегировать права администрирования, передав часть этих функций менеджерам компании или персоналу поддержки. Но при этом администраторы все равно должны иметь возможность быстро отменить привилегии пользователя или группы в отношении различных ресурсов.
Внедрение биометрии создает дополнительные удобства для пользователей и персонала поддержки. После того как у клиента будут внедрены решения, сочетающие методы биометрии и SSO, почти все проблемы поддержки, касающиеся идентификации, должны исчезнуть. Более того, совместное использование биометрических устройств и систем управления идентификацией способно создать высокозащищенную среду, особенно если к процессу доступа добавлен PIN-код. Такое сочетание обеспечивает простоту использования и гарантирует, что каждый сотрудник владеет своим уникальным (биометрическим) ключом доступа.
Реселлеры рассчитывают, что, когда покров тайны со многих технологий обеспечения безопасности будет снят, им не придется агитировать ни крупных, ни мелких заказчиков внедрять решения по управлению идентификацией.
5 важных факторов
- Типичная организация, насчитывающая 2,5 тыс. пользователей, может ежегодно тратить свыше 850 тыс. долл. только на справочную службу (Gartner Group).
- Если бы компания со штатом 10 тыс. человек автоматизировала восстановление паролей, то количество звонков в справочную службу сократилось бы на треть и фирма могла экономить 648 тыс. долл. ежегодно (Meta Group).
- Ежемесячно 11% сотрудников компаний испытывают проблемы с правами доступа, а работа 7% затруднена из-за неверного ввода персональной информации (Meta Group).
- Управление паролями входит в десятку главных рисков безопасности, с какими сталкиваются сегодня компании (Gartner Group, SANS Institute и ФБР).
- Объем продаж систем управления идентификацией возрастет до 4,6 млрд. долл. в 2007 г., что почти вдвое превысит оборот 2002 г., который составил 2,4 млрд. долл. (IDC).
