Zecurion PAM предотвращает потенциально опасные действия системных администраторов, внешних подрядчиков, аутсорсеров и других пользователей с привилегированными правами доступа к ИТ-системам организации.
Проблема
Решение
Загруженность системных администраторов рутинной работой по созданию, изменению и блокированию учетных данных
Централизованное управление аккаунтами пользователей, их атрибутами и правами, включая создание, удаление, управление ролями, паролями и привилегиями
Невозможность оперативного расследования инцидентов ИБ в связи с разрозненностью данных аудита
Аудит доступа и административных активностей, что позволяет записывать и контролировать действия аккаунтов с различными привилегиями в едином центре
Отслеживание «бесхозных» учетных записей и записей с избыточными привилегиями в информационных системах
Автоматизированный контроль аккаунтов и привилегий в соответствии с внутренними регламентами и политиками, унифицированный доступ к ресурсам посредством одной учетной записи single sign-on (SSO)
Внедрение IDM позволит организации:
- Сократить вынужденные простои сотрудников во время ожидания предоставления необходимых доступов, как правило, связанные с непрозрачным процессом согласования заявок и внесения изменений в информационные системы;
- Сократить затраты, связанные с управлением доступами, за счет создания единой ролевой модели доступа и автоматического контроля прав сотрудников в информационных системах;
- Уменьшить количество ошибок и повысить уровень информационной безопасности за счет автоматизации управления учетными записями на основании кадровых событий (прием на работу, перевод по должности, увольнение и другие);
- Обеспечить прозрачность управления доступами за счет создания централизованного источника информации об учетных записях и правах доступа сотрудников в информационных системах;
- Сократить затраты, связанные с аудитом доступов и расследованием нарушений, за счет оперативного доступа к аудит-отчетам по заявкам и доступам сотрудников на любой момент времени.
Как работает современная IDM система
Работа IDM -системы выглядит следующим образом: система подключается к различным информационным ресурсам компании посредством коннекторов и в последующем весь процесс управления учетными данными и правами доступа осуществляется посредством установленной IdM-системы. Как правило, схема реализуется с помощью следующих компонентов:
- Сервер IDM;
- База данных IDM;
- Коннекторы (для подключения к конечным информационным системам);
- Консоль администратора;
Входной информацией для IDM-системы служат так называемые доверенные источники, обычно это приложения кадровых служб или службы каталога Active Directory. Получив информацию от доверенного источника (прием, отпуск, увольнение сотрудника и т.д.), IDM -система вносит изменения в учетные данные в различных информационных системах (создание, блокирование, удаление учетных записей, изменение прав доступа и т.д.). Эти изменения могут вноситься как автоматически, так и в ручном режиме.
Помимо операций по управлению доступом, IDM позволяет автоматизировать соответствующие процессы согласования. Дополнительными механизмами автоматизации в IDM являются ролевая модель управления доступом и интерфейс самообслуживания. Ролевая модель позволяет автоматически назначать типовые права доступа на основании данных сотрудника, например, его должности и подразделения. С помощью интерфейса самообслуживания сотрудники могут самостоятельно запрашивать себе права доступа в информационных системах, восстанавливать или менять пароли своих учетных записей. Все действия, которые осуществляются в системе IDM, записываются в журналы, на основании которых имеется возможность построения отчетов.