Сегодня компания Аванпост – ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) – официально объявляет о выпуске нового (четвертого) релиза своего флагманского продукта – программного комплекса (ПК) «Avanpost 4.0». По технологическому уровню, функциональности и простоте внедрения этот релиз, самый масштабный за все время существования ПК «Avanpost», поставил его в один ряд с ведущими IDM-системами высшего класса, продвигаемыми мировыми лидерами в сфере ИТ и ИБ. При этом новый релиз усиливает и закрепляет ряд принципиальных методических и технико-экономических преимуществ ПК «Avanpost» перед зарубежными решениями, – в плане сроков и затрат на внедрение, возможности провести его методически корректно и затем постоянно поддерживать ролевую модель в актуальном состоянии, полноты интеграции IDM-системы с другими элементами ИС. Особо подчеркнем: будучи полностью российской разработкой, продукт компании Аванпост соответствует российской нормативной базе в области информационной безопасности, поддерживает важнейшие российские разработки в этой сфере (УЦ, ЭП, смарт-карты и токены, универсальные карты и др.) и обеспечивает технологическую независимость российского бизнеса и системы госуправления на таком важном участке ИБ, как комплексное управление доступом к конфиденциальной информации.
От IDM к комплексному управлению доступом
ПК «Avanpost 4.0» построен вокруг формулы комплексного управления доступом (IDM + PKI + SSO ), которую компания Аванпост активно продвигает на российском рынке с 2013 года. Эта концепция устраняет крайне опасную и распространенную ситуацию, складывающуюся в организациях, которые внедрили дорогостоящие системы, отвечающие за те или иные частные аспекты ИБ, но не внедрили IDM в качестве центрального звена корпоративной системы ИБ и не интегрировали с ней инфраструктуры PKI и SSO. Как показывает практика, злоумышленники легко преодолевают такую защиту, действуя от лица легитимных пользователей ИС. Эту проблему полностью решает комплексная система управления доступом, центральным элементом которой является IDM-решение, тесно интегрированное с подсистемами PKI и SSO.
Отметим, что ПК «Avanpost» изначально поддерживал интеграцию функций трех указанных подсистем, но после выпуска релиза 3.0 (март 2012 года) был выполнен целый ряд важных разработок, позволивших поддержать эту концепцию в полном объеме. Среди них особо отметим: новую инфраструктуру интеграции с доверенными источниками информации и с удостоверяющими центрами, поддержку двух- и трехфакторной аутентификации и биометрических технологий идентификации, реализацию SSO для ведущих мобильных платформ Android и iOS, а также выпуск множества новых коннекторов (модулей сопряжения) ПК «Avanpost» с прикладными и инфраструктурными элементами ИС предприятия.
Усиливая эту линию, ПК «Avanpost 4.0» вносит еще несколько важных нововведений. Так, переработанная архитектура продукта упрощает создание коннекторов и позволяет легко добавлять новые механизмы аутентификации, а также реализовывать различные варианты N-факторной аутентификации (например, за счет взаимодействия с IDM, PKI, биометрией, СКУД и др.). Популярность на российском рынке решений на базе интеграции IDM со СКУД и аппаратными средствами биометрической аутентификации будет постепенно расти, однако, еще более востребованными будут чисто программные технологии и решения, в которых задействованы мобильные устройства: смартфоны и планшеты. Поэтому на 2014 год намечен выпуск целого ряда соответствующих механизмов, которые пользователи будут получать в виде малых обновлений ПК «Avanpost 4.0».
Изменения в позиционировании продукта и составе функциональных модулей
Учитывая этот тренд, Аванпост скорректировала позиционирование и набор функциональных модулей ПК «Avanpost». Теперь в состав продукта входят три основных модуля (IDM, PKI и SSO), которые можно внедрять отдельно или в любых сочетаниях. Другую существенную часть ПК «Avanpost 4.0» составляют различные инструменты, позволяющие строить и поддерживать в актуальном состоянии ролевые модели; организовывать документооборот, связанный с управлением доступом; разрабатывать коннекторы к различным ИТ- и ИБ-системам; гибко настраивать информационно-аналитические отчеты. В дальнейшем компания Аванпост будет развивать именно эти технологии, подсистемы, модули и инструменты.
В то же время, два других модуля, ранее входивших в состав ПК «Avanpost» (IPSec – построение защищенных каналов и SES – контроль действий пользователя), выведены из состава продукта и предложений компании. Развиваться они будут только по запросам организаций-пользователей; в то же время, компания Аванпост продолжит сопровождение этих модулей в составе уже внедренных решений, что полностью защитит затраты клиентов. Функции же модуля Avanpost Mobile (см. ниже) перенесены в модуль SSO.
Кроме того, ПК «Avanpost 4.0» рассчитан на более широкий диапазон масштабов внедрений. Напомним, что лицензионная политика и легкость ПК «Avanpost 3.0» впервые сделали полнофункциональное IDM-решение доступным даже для среднего российского бизнеса, что кардинально расширило потенциальный рынок и стало важным конкурентным преимуществом флагманского продукта компании Аванпост. Эти преимущества полностью сохраняются в новом релизе. Однако теперь ПК «Avanpost 4.0» поддерживает также самые крупные организации федерального масштаба.
Поддержка крупных организаций и кластеров
В новый релиз ПК «Avanpost» включены в обобщенной форме все ключевые доработки, сделанные в 2013 году в рамках крупных внедрений. Особенно это касается внедрения в ФНС России, где ПК «Avanpost 3.0» стал технологической основой системы управления доступом ГАС «Налог-3». Теперь ПК «Avanpost 4.0» полностью поддерживает децентрализованные организации любого размера, одновременно применяющие в различных подразделениях разнородные кадровые системы.
Существенно повышена масштабируемость решения: нагрузочные испытания подтверждают работоспособность ПК «Avanpost 4.0» в конфигурации на 30 тыс. групп и 150 тыс. пользователей в домене. При этом верхняя планка масштабирования гораздо выше.
Кроме того, «Avanpost 4.0» поддерживает различные варианты трансграничного управления правами доступа в группах организаций, взаимодействующих по схеме кластера. В такой схеме центральная организация должна надежно контролировать доступ к своим приложениям, информационным ресурсам и элементам ИТ-инфраструктуры для сотрудников множества сторонних организаций (партнеров, аутсорсеров, членов расширенной цепочки поставок и др.), не имея при этом прямого доступа к их внутренним кадровым системам. В российской экономике такие кластеры характерны для вертикально-интегрированных компаний, а также для ряда отраслей экономики (телекоммуникации, ТЭК, сельскохозяйственное производство, аэрокосмическая отрасль, машиностроение и др.).
В связи с этим отметим, что на базе ПК «Avanpost 4.0» уже можно создавать IDM-решения и комплексные системы управления доступом для гибридных ИС, объединяющих традиционные приложения и элементы ИТ-инфраструктуры и частные облака, работающие по схеме IaaS, PaaS и SaaS (в последнем случае требуется API облачного приложения). В настоящее время решение Аванпост для частных облаков и гибридных ИС полностью проработано, а его коммерческое продвижение начнется как только на российском рынке появится устойчивый спрос на подобные решения.
Интеграция основных модулей ПК «Avanpost 4.0» с другими элементами ИС
Практическая ценность IDM-решения тем выше, чем полнее оно интегрировано c максимально возможным числом прикладных и инфраструктурных элементов ИС, ведь отсутствие взаимодействия – это брешь в системе ИБ предприятия. Именно поэтому увеличение числа готовых модулей сопряжения (коннекторов), упрощение и удешевление их разработки, а также качественное сопровождение коннекторов, гарантирующее их совместимость с новыми версиями ядра и функциональных модулей, – важнейшие приоритеты развития ПК «Avanpost». Уже версия 3.0 обладала широким набором таких коннекторов, позволявшим интегрировать IDM-систему и с наиболее распространенными на российском рынке ИТ-решениями, и с «самописными» системами. Однако в новом релизе механизм интеграции существенно переработан и значительно усовершенствован.
Кроме того, увеличено число точек взаимодействия ПК «Avanpost 4.0» с другими системами. Среди них: системы дистанционного банковского обслуживания (ДБО), удостоверяющие центры (поддерживаются все УЦ, популярные на российском рынке), устройства для биометрической идентификации, СКУД, различные дополнительные средства аутентификации.
Для каждого вида взаимодействия (например, ядра IDM – с доверенными источниками данных и целевыми системами) разработан унифицированный интерфейс и используемая всеми коннекторами инфраструктура интеграции, в которую перенесено множество наиболее сложных функций (например, синхронизация данных). Сам же коннектор становится простейшим плагином, описывающим структуру данных и способ взаимодействия с конкретной системой. По этому принципу, в частности, организовано взаимодействие с доверенными источниками информации (кадровые системы, службы каталогов, файловые источники, корпоративные порталы и др.) и всевозможными целевыми системами, настройками которых управляет IDM-решение. Новая архитектура сокращает время создания коннекторов (вдвое – для взаимодействия с доверенными источниками данных) и упрощает их сопровождение.
Для коннекторов с доверенными источниками данных и целевыми системами создан инструментарий разработчика (SDK), которым могут пользоваться сторонние организации. Это упрощает интеграцию ПК «Avanpost 4.0» с унаследованными системами, закрытыми внутрикорпоративными разработками, с отраслевыми решениями и системами для узких сегментов рынка.
Сегодня ПК «Avanpost 4.0» располагает наибольшим числом готовых коннекторов к распространенным на российском рынке ИТ-системам, а также доступными технологиями их разработки силами вендора, партнеров и клиентов. В дальнейшем, число коннекторов будет увеличиваться, а также будут появляться новые точки сопряжения ПК «Avanpost» с другими системами. Так, в конце 2014 г. встроенная система координации процессов (Avanpost Workflow) сможет взаимодействовать с системами класса Service Desk и ЭДО (электронный документооборот). Подчеркнем, что многие разработки Аванпост в области интеграции (например, с ДБО) не имеют аналогов на российском рынке.
Безопасность мобильных устройcтв и BYOD
В 2013-2014 гг. один из ключевых трендов в сфере ИБ связан со стремительным ростом числа мобильных устройств (в первую очередь, смартфонов и планшетов), с помощью которых сотрудники работают (в офисе или дистанционно) с конфиденциальной корпоративной информацией: электронной почтой, хранилищами документов, интранет, различными бизнес-приложениями и др. При этом все более популярной в России и за рубежом становится модель BYOD (Bring Your Own Device), при которой сотрудники могут практически без ограничений использовать на работе собственные устройства, на которых может быть установлено практически любое ПО. Противодействие возникающим при этом угрозам – одна из наиболее актуальных и сложных проблем ИБ в ближайшие пять-семь лет.
В ПК «Avanpost 4.0» имеется решение – перенесенный в модуль SSO функционал модуля Avanpost Mobile, поддерживающий обе наиболее популярные мобильные платформы: Android и iOS. Для обеих платформ этот модуль предоставляет безопасный доступ через веб-браузер с мобильных устройств к внутрикорпоративным порталам и интранет-приложениям (интранет-портал, корпоративная веб-почта Microsoft Outlook Web App и др.). Версия для OS Android также содержит встроенную полнофункциональную систему SSO, поддерживающую системы VoIP-телефонии, видео- и видеоконференцсвязи (например, Skype, SIP), а также любые Android-приложения (например, клиенты корпоративных систем: CRM, ERP, HR, бухгалтерия и др.) и облачные Web-сервисы. Тем самым на мобильном устройстве обеспечивается главное преимущество SSO: пользователям не нужно запоминать множество идентификационных пар, при этом организация может использовать политики безопасности, требующие применения длинных стойких труднозапоминаемых, часто меняющихся паролей, которые еще и различаются во всех приложениях. Модуль Avanpost Mobile и система Mobile SSO позволяют компании-клиенту полностью интегрировать устройства, использующие наиболее популярные мобильные платформы, в корпоративную инфраструктуру IDM, созданную на базе ПК «Avanpost».
Методически-корректное внедрение и сопровождение IDM
Одним из ключевых нововведений, вышедших после выпуска ПК «Avanpost 3.0», стали инструменты построения и поддержания в актуальном состоянии т.н. ролевых моделей. В таких моделях, являющихся сердцевиной IDM-решения, четко прописаны категории сотрудников, их права в каждой инфраструктурной или прикладной подсистеме ИС, а также индивидуальные отклонения от этой схемы для отдельных сотрудников и групп. Построение, оптимизация и актуализация таких моделей всегда были настолько сложными и трудоемкими, что значительная (если не бо́льшая часть) IDM-внедрений или застревала на этапе построения или согласования ролевой модели, или приводила к огромному неконтролируемому увеличению стоимости и срока внедрений, или заходила в тупик, поскольку к моменту построения модели и получения всех необходимых согласований модель безнадежно устаревала и теряла практический смысл. Естественно, о частом повторении этой работы не было и речи.
В настоящее время ПК «Avanpost 4.0» – это единственное на российском рынке IDM-решение, в которое встроен полный набор инструментов для построения ролевых моделей и их поддержания в актуальном состоянии. Причем эти инструменты не увеличили стоимость лицензий.
За построение модели отвечает модуль Role Manager, который, используя стандартные коннекторы ПК «Avanpost», загружает из всех подключенных ИТ-систем точные и полные данные о фактическом распределении прав сотрудников, а затем анализирует эту информацию и генерирует (в соответствии с заданным критерием) оптимальный набор бизнес-ролей, который можно затем скорректировать вручную. Благодаря Avanpost Role Manager, методически-корректное внедрение стало доступно для любой организации, причем даже в наиболее сложном варианте (с оптимизацией ролей). Кроме того, Role Manager выявляет различные «дыры» в ИБ: обнаруживает «мертвые души», избыточные права и др.
Модуль ресертификации позволяет поддерживать ролевую модель в актуальном состоянии и одновременно формализовать и автоматизировать соответствующие процессы. Работа модуля основана на механизме заявок: владелец роли и другие авторизованные лица запрашивают нужные действия, а подсистема координации процессов (workflow) ПК «Avanpost 4.0» проводит заявки через соответствующий цикл визирования в соответствии с утвержденным регламентом, и в случае успеха вносит необходимые изменения в ролевую модель. Руководствуясь этими изменениями, IDM-ядро (через коннекторы) автоматически и практически мгновенно перенастраивает механизмы управления доступом подключенных ИТ-систем – и вся система управления доступом вновь полностью соответствует новым правилам.
Важнейшие усовершенствования Avanpost Workflow
Использование механизма заявок в модуле ресертификации ролей и в ряде других подсистем ПК «Avanpost» (например, при управлении ИТ-ролями) максимально упрощает вовлечение бизнес-подразделений в процессы администрирования IDM. Однако, механизм должен быть прост и удобен для пользователя, и достаточно гибок, чтобы отразить особенности любой организации. Именно поэтому так важны усовершенствования подсистемы Avanpost Workflow. В ПК «Avanpost 4.0» она реализована как Web-приложение, с которым работают все категории пользователей: любые сотрудники могут самостоятельно регистрировать заявки, которые затем проходят заданные маршруты и регламенты визирования; а для их настройки нужны соответствующие полномочия. В частности, реализован механизм делегирования, сложные правила управления групповыми заявками (визирующие лица могут утверждать заявку для одних кандидатов и отклонять – для других), зоны видимости, а также заявки, вызывающие вре́менное изменение режима работы ПК «Avanpost» (например, создание роли, действующей одну неделю), которое по истечении указанного периода будет автоматически отменено. Отметим, что при рассмотрении заявок на изменение настроек IDM, свои решения пользователи подтверждают квалифицированной электронной подписью (ранее такой механизм действовал только при обработке заявок в модуле PKI).
В целом, уже сегодня подсистема Avanpost Workflow позволяет описывать достаточно сложные сценарии рассмотрения заявок. В следующем релизе (5.0) гибкость еще более возрастет, что позволит описывать процессы любой сложности. Также появится графический редактор таких процессов, что еще более упростит настройку регламентов работы с заявками и выявление ошибок.
Кроме того, появится механизм коннекторов workflow, позволяющий интегрировать регламенты обработки заявок с другими системами, например, с Service Desk.
Новая подсистема отчетов
В ПК «Avanpost 4.0» встроена новая унифицированная подсистема подготовки отчетов, которая используется во всех функциональных модулях: IDM, PKI, Role Manager и др. Работа с этой системой идет через специальное Web-приложение, а технология создания отчета рассчитана на пользователей и администраторов, имеющих базовые навыки программирования на языках HTML и C#. Это обеспечивает практически неограниченную гибкость, позволяет создавать отчеты со сложной логикой, а также шаблоны сложных отчетов, которые в ходе внедрения проходят глубокую кастомизацию под нужды конкретной организации. Разработку и кастомизацию отчетов могут проводить как интеграторы, так и специалисты заказчика.
В ПК «Avanpost 4.0» появилась библиотека, включающая более 10 предустановленных наиболее востребованных форм отчетов.
«Два года назад, через месяц после выпуска ПК „Avanpost 3.0“, начался принципиально новый этап в развитии нашей компании: в кратчайшие сроки она должна была превратиться из нишевого поставщика хороших технологий в области IDM, PKI и SSO в респектабельного ИБ-вендора, предлагающего рынку полнофункциональную российскую IDM-систему, способную успешно конкурировать с мировыми грандами в этой сфере, и при этом быть гораздо более доступной и простой во внедрении. Развитие базовых технологий, встраивание в продукт множества новых функций и служебных инструментов стали одним из трех главных приоритетов (наряду со стратегией развития и построением эффективных каналов продвижения). Релиз 4.0 – результат этих усилий, проходивших на фоне высокой изменчивости мирового и российского рынков ИБ, где одни тренды действовали сходно, а другие – разнонаправленно, – говорит Андрей Конусов, генеральный директор компании Аванпост. – Впервые российская IDM достигла такой сбалансированности и зрелости, когда не осталось существенных функций, по которым она принципиально отстает от ведущих западных решений. Более того, она выигрывает у них не только по цене, но и по ряду принципиальных особенностей, касающихся функциональности, практичности, методологической обеспеченности, открытости и глубины интеграции в ИС предприятия. Это важный этап в развитии всего российского рынка ИБ, ведь IDM – один из немногих успешно развивающихся его сегментов. Мы не собираемся снижать набранный темп развития ПК „Avanpost“. Много разработок уже завершены и ждут оптимального момента для вывода на рынок, многие близки к завершению, есть немало идей. Наша задача – сделать ПК „Avanpost“ самой привлекательной и гибкой платформой для создания комплексных систем управления доступом для любого российского предприятия».