Ibm security identity manager

Отчет по лабораторной работе №2

Изучение совокупности отечественных стандартов информационной безопасности

Несколько:

ИКТС-21

Студент:

Богатырев Д.Н.

2016г.

СРАВНЕНИЕ IDM-СОВОКУПНОСТЕЙ

Рынок IdM-ответов на данный момент переживает бурный рост, его российский сегмент с каждым днём пополняется новыми вендорами, и выбрать подходящий продукт делается всё сложнее. В данной статье мы приводим оценку популярных IdM-совокупностей с позиций отечественного опыта их внедрения и даем практические советы по выбору IdM.

Первое, с чего стоит начать, – это критерии оценки ответов. За собственную практику мы сталкивались с множеством различных подходов к сравнению продуктов. Для отечественного обзора мы выбрали самые объективные из них: это оценка аналитических компаний, уровень доверия к вендору, функциональная зрелость, опыт применения, цена вхождения. Потому, что показатели или не измеряются численно, или во многом зависят от конкретной компании, их оценка приводится в сравнительных размерах.

Ниже мы подробнее поведаем о выбранных нами параметрах (в чём их сущность, как их возможно оценить, из-за чего мы вычисляем их серьёзными), и о некоторых популярных подходах к сравнению IdM, каковые не попали в отечественную оценку.

Оценки аналитических компаний – это вывод западных специалистов, таких как Gartner и Forrester. Они дают хорошее представление об тенденциях развития и общем состоянии современных IdM-ответов, в особенности нужны в том случае, в то время, когда выбор нужно сделать в сжатые сроки, и для его обоснования бизнес-управлению, в особенности зарубежному.

Уровень доверия к вендору учитывает риски, которые связаны с банкротством, с покупкой вендора второй компанией, с его уходом с рынка IdM, с ресурсными возможностями. Данный уровень измеряется денежными показателями компании, известностью на русском и мировом рынке, составом продуктового портфеля, возможностями локальной помощи. Имеется ответственная составляющая, которую мы учесть не можем, – это опыт взаимоотношений с вендорами. Дело в том, что его необходимо оценивать раздельно для каждого клиента.

Уровень доверия есть фундаментальным показателем: он определяет риски вложения инвестиций в срок и определённую систему её жизни в компании. Как пример возможно упомянуть один из русских банков, что купил IdM-ответ у маленького российского вендора и был в ситуации, в то время, когда в совокупность уже положено большое количество денег и времени, за новые доработки вендор требует непомерно большое количество, а заменить его вторым подрядчиком нереально – возможно лишь перейти на другую платформу. В итоге банк сделал именно это.

Раздельно хочется отметить тот факт, что отраслевая принадлежность компании на выбор совокупности IdM напрямую не воздействует. В той либо другой степени, задачи по управлению доступом являются неспециализированным местом для организаций из самых различных секторов экономики, имеется различия лишь в выговорах. Так, компании денежной сферы больше внимания уделяют требованиям регуляторов, нефтегазовой отрасли – контролю прав доступа к информационным активам, представители ритейла – операционной эффективности управления правами доступа, а страховые компании – контролю прав подрядчиков и доступа агентов. Всё это – неотъемлемые функции любой зрелой совокупности IdM.

Функциональная зрелость – это оценка удобства интерфейса пользователя, количества функций совокупности IdM, соответствующих её назначению, и гибкости их настройки. Этот показатель у ответов мы оценивали на основании собственного опыта внедрения IdM и ожиданий отечественных клиентов от продуктов. Удобство графического интерфейса крайне важно, потому, что пользователями совокупности есть большинство сотрудников компании. В случае если интерфейс будет не хватает эргономичным, начнутся неприятности на стадии промышленной эксплуатации IdM.

Рис. 1. Волшебный квадрант Gartner – вендоры IdM-ответов

Количество функций напрямую воздействует на число задач, каковые может решить совокупность. Чем громадным их числом она владеет, тем более большие результаты возможно получить от внедрения. Гибкость – чуть ли не более ответственный показатель. Потому, что от совокупности IdM требуется адаптация под бизнес и инфраструктуру-процессы компании, само по себе наличие некоего функционала даёт не так много, как возможность реализовать его в соответствии с потребностями организации. Функциональная зрелость напрямую воздействует на результативность внедрения IdM, на то, как компания сможет повысить эффективность собственных процессов и сократить затраты, и на цена проектных работ.

Опыт применения совокупности – это показатель ее работоспособности для ответа настоящих задач разных организаций. Он отражает готовность совокупности к enterprise-внедрениям, её свойство интегрироваться и функционировать в информационной инфраструктуре предприятия, снабжать нужные характеристики, а также отказоустойчивость и масштабируемость. Работоспособность совокупности возможно оценить лишь по настоящим внедрениям. Наряду с этим при анализе опыта внедрения принципиально важно принимать к сведенью такие особенности, как величина компании и сектор экономики, количество пользователей и территориальное распределение совокупности, место IdM в инфраструктуре.

Опыт применения – один из главных показателей, потому, что лишь на его основании возможно сказать о работоспособности совокупности в целом, о её применимости для ответа бизнес-задач. Тут возможно привести занимательный пример: у одного из вендоров вышла новая версия совокупности IdM. Если судить по документации, ее переработали достаточно без шуток, добавили большое количество новых функций. Но в то время, когда мы начали ее внедрение в одной из компаний, столкнулись со следующим: в случае если что-то трудилось не так, как обрисовано в документации, вендор не дорабатывал продукт надлежащим образом, а вносил трансформации в документацию, подгоняя ее под настоящее положение дел. А также в таковой ситуации мы обеспечили нужный компании функционал.

Табл. 1. Сравнение функционала IdM-ответов

Цена вхождения – это оценка цены «входа», затрат на первый этап внедрения совокупности. Иначе говоря данный показатель отображает количество денежных вложений в создание фундамента IdM. Затем, в большинстве случаев, идут поддержки и этапы развития. Цена по каждому ответу мы оценивали исходя из отечественного опыта их внедрения. Напомним, что компании значительно сложнее пойти на риск внедрения новой совокупности, в случае если количество инвестиций в неё превышает ожидаемые рамки. Данный показатель нужно разглядывать в тесной связи с другими, такими как функциональная зрелость. В случае если продукт владеет низкими функциональной зрелостью и стоимостью, главные затраты на него придутся на поддержки и этапы развития.

Приведем пример: большой российский банк выбирал совокупность IdM и остановился на ответе западной компании, которая дала согласие дать лицензии фактически бесплатно. Выбранная платформа не владела нужной функциональностью, мы пробовали убедить в этом банк, но бесполезно. В следствии по окончании нескольких лет внедрения, смены исполнителей, подключения вендора, в то время, когда совокупность так и не запустилась в нужном количестве, банк сам пришел к такому выводу. Компания положила в создание совокупности много денег, израсходовала массу времени, а ожидаемого результата так и не взяла.

Сейчас поболтаем о распространённых параметрах, каковые иногда видятся в сравнениях IdM-ответов, но не вошли в нижеследующий обзор. Их множество, но мы остановимся лишь на самых заметных.

Первый – это количество адаптеров к информационным совокупностям. У многих развитых IdM-ответов их список более либо менее однообразен. Для больших промышленных совокупностей, к примеру, ERP, польза от штатных модулей интеграции имеется не всегда: при внедрении их обычно все равно нужно приспособить, так что они не решают задач. Потому, что определённая часть адаптеров разрабатывается при внедрении, данный показатель на выбор платформы существенно не воздействует.

Второй – наличие сертификатов ФСТЭК либо ФСБ. Совокупность IdM, по сути, есть средством автоматизации деятельности по управлению заявками и учётными записями на доступ. Хранить в ней тайные или персональные эти высокой степени критичности нет необходимости, исходя из этого требования к наличию соответствующих сертификатов редко используются в коммерческом секторе.

«Храбрецы IdM и магии»

Какие конкретно же ответы будут представлены в отечественном обзоре? В первую очередь это классические представители русского рынка IdM: Oracle Identity Manager, IBM Security Identity Manager и Микрософт Forefront Identity Manager. Кроме этого разглядим пара новых для отечественного рынка ответов, каковые мы уже успели апробировать: это решения SailPoint IdentityIQ, Avanpost IDM и КУБ.

Предлагаем ознакомиться с результатами сравнения IdM-ответов из аналитического отчёта компании Gartner «Identity Governance and Administration», составленного в конце 2013 г. (см. рис. 1 – волшебный квадрант). Мы применяли их для оценки первого критерия. Напомним, что в отчёте Gartner рассматривается много вендоров IdM, их главная часть на русском рынке не представлена, нас же интересует оценка лишь выбранных нами продуктов.

Кроме этого воображаем вам составленную отечественными специалистами таблицу, демонстрирующую функциональные возможности совокупностей (см. табл. 1).

В таблице представлены все самый востребованные функции, каковые видятся в проектах внедрения IdM, и оценка их наличия в каждом отдельном продукте. Отсутствие определённого функционала не свидетельствует неосуществимости его доработки, но в этом случае имеет суть учитывать показатели гибкости совокупности, дабы оценить нужные ресурсы для её реализации.

Oracle Identity Manager

Продукт Oracle взял одну из самых высоких оценок аналитиков. Oracle – транснациональная компания с большим уровнем доверия в мире и в Российской Федерации. Из изюминок необходимо отметить то, что сейчас у Oracle весьма широкий стек программно-аппаратных ответов, что снижает ТСО и упрощает помощь. Вместе с тем IdM – быть может, не самая заметная часть стека Oracle, исходя из этого это направление заслуживает привлечения внимания и дополнительного продвижения.

Рис. 2. Запрос полномочий в Oracle Identity Manager

Функционально продукт зрелый, функционал Role Management представлен в отдельном продукте Oracle Identity Analytics, что поставляется лишь в составе пакета Oracle Governance Suite. Из преимуществ необходимо отметить возможность создания массовых заявок, наличие исторической отчётности, эластичную совокупность разграничения прав. Из функциональных недочётов: как и фактически у всех разглядываемых нами ответов, отсутствует возможность запроса доступа на время (обходной путь – это настройка сертификации доступа), Oracle Identity Manager кроме этого владеет нетривиальной совокупностью журналирования событий, на основании данных которой время от времени непросто определить обстоятельства тех либо иных действий с правами. Отдельные недочёты имеется у совокупности согласования заявок: они проходят согласование или полностью, или по каждой роли раздельно. В первом случае, если пользователю запросили сто ролей, каждому обладателю роли придёт на согласование вся заявка полностью, даже если он отвечает лишь за одну роль из 100. Во втором: заявка распадётся на отдельные роли, и в случае если обладатель роли несёт ответственность за пятьдесят из 100 запрошенных, ему придёт пятьдесят заявок – раздельно по каждой роли.

Продукт имеет весьма высокую степень гибкости, в особенности в части трансформации интерфейса пользователя, независимой разработки коннекторов к нестандартным совокупностям (к примеру, возможно настроить согласование заявки из письма), но наряду с этим требует высокой квалификации персонала. Внешний вид интерфейса на уровне, но обычно компании желают доработать его под себя. Тут оказываются очень нужными много возможностей настройки. Кроме этого имеется кое-какие неудобства, связанные со скоростью работы интерфейса пользователя.

Опыт применения ответа в мире и в Российской Федерации большой, на отечественном рынке более половины внедрений IdM приходится на продукты Oracle. Российский опыт их применения включает компании с несколькими десятками тысяч людей, из разных секторов, территориально распределённые по всей стране. Цена вхождения для продуктов Oracle высока.

IBM Security Identity Manager

Продукт IBM взял среднюю оценку аналитиков. IBM – большая транснациональная компания, прекрасно узнаваемая в Российской Федерации, и сомнений в доверии не вызывает. Из изюминок необходимо отметить широкий портфель продуктов без видимого фокуса на IdM.

Количество функций в совокупности большой. Из преимуществ хочется отметить довольно широкие возможности разграничения доступа к функциям совокупности, обработки несогласованных полномочий, просмотра издания всех действий в совокупности с отображением обстоятельства события, прошлого и нового значений. Из недочётов: штатно нет отчётности на определённую дату в прошлом, запроса ролей на время, массового запроса доступа, частичного согласования заявок. Из-за одновременного применения двух хранилищ данных – СУБД и LDAP – продукт имеет недочёты, которые связаны с отчётностью: дабы информация в отчёте была актуальной, нужно синхронизировать эти между хранилищами.

Гибкость продукта на самом высоком уровне, имеется хорошие возможности доработки, но и недочёты, к примеру, невозможность трансформации формы заявки. Необходимо отметить довольно высокую сложность разработки адаптеров к информационным совокупностям: они разрабатываются в универсальном инструменте для интеграции данных и требуют особой подготовки. Графический интерфейс ответа достаточно несложный и понятный, внешний вид – на высоте.

Опыт применения ответа в мире большой, в Российской Федерации в полной мере заметный. Российский опыт включает внедрения в нескольких больших компаниях из денежного, телекоммуникационного и национального секторов, с десятками тысяч сотрудников, географически распределённых по всей России. Цена вхождения для ответа IBM низка.

Рис. 3. Новый интерфейс запроса полномочий IBM Security Identity Manager

IBM Security Identity Manager Training


Также читать:

Понравилась статья? Поделиться с друзьями: