Привет, Хабр! Управление учетными записями — сложный процесс, требующий всестороннего внимания и контроля со стороны организации. Неконтролируемые нарушения, связанные с учетными записями, несут большое количество рисков для любой компании. Вместе с Марией Коноревой, ведущим аналитиком направления Solar inRights ГК «Солар», разбираемся в особенностях работы с техническими учетными записями.
Платформа Solar inRights предоставляет широкий спектр инструментов контроля за индивидуальными учетными записями:
учет забытых учетных записей для своевременного их блокирования
автоматические действия с учетными записями уволенных сотрудников (например, блокировка УЗ и отзыв полномочий)
фиксация несанкционированных излишних полномочий и управление ими
возможность настройки всевозможных отчетов и т. д.
Но помимо индивидуальных учетных записей, которые обычно находятся в поле зрения безопасности компании, существуют также разнообразные технические учетные записи. Они не привязаны к конкретному сотруднику в организации, но при этом несут не меньшие риски.
Технические учетные записи (ТУЗ) — это учетные записи в информационных системах, которые создаются для «технических» нужд. Для таких ТУЗ ответственный либо не определяется, либо данные о нем фиксируются в документации на конкретный проект. Например, для реализации интеграций со смежными системами, выполнения сервисных процессов и т. д. В некоторых компаниях ТУЗ могут также выполнять функцию не персонифицированных административных учетных записей.
С другой стороны, если у компании нет единой системы учета ответственных по типам УЗ, то при увольнении сотрудников практически нет шансов определить, за какие учетные записи он отвечал. При этом в ТУЗ логины и пароли могут сохраняться годами, если нет регламентов по регулярной смене паролей.
По данным экспертов Solar inRights, более 30% компаний не ведут реестр технических учетных записей (ТУЗ) и ответственных, которые назначены за каждую ТУЗ. В четверти компаний не разработана и не исполняется парольная политика в отношении технических учеток. В более 50% случаев компании не автоматизируют процессы для передачи ответственности, если пользователь увольняется или переводится на другую должность.
Solar inRights ранее выявлял такие учетные записи из информационной системы и указывал для них связь с контролирующим их работником. По специальной отметке «технологическая» в списке учетных записей информационной системы, компетентный пользователь системы мог далее вручную управлять данной УЗ в соответствии с регламентами компании и следить за состоянием таких учетных записей вручную.
В процессе взаимодействия с заказчиками мы поняли, что текущий подход к управлению ТУЗ не позволяет эффективно оценивать риски, контролировать и полноценно управлять такими УЗ. Поэтому реализовали полный жизненный цикл технических учетных записей — от их создания до легитимного назначения на них ролей и блокировки.
При проектировании новой фичи команда Solar inRights ориентировалась на реальные запросы потенциальных заказчиков и пользователей Системы. Кроме того, мы опросили компании, которые занимаются настройкой различных IdM решений, для того чтобы модуль получился максимально полезным и удобным.
Вот примеры задач, которые могут решаться с помощью нашей IdM‑системы:
1) Вести реестр технических учетных записей (ТУЗ) с указанием владельцев и оперативно уведомлять руководителей о ТУЗ уволенных сотрудников, чтобы своевременно назначить новых ответственных и сменить пароли.
Кейс: После внедрения решения один из заказчиков полностью систематизировал свои ТУЗ: все учетные записи получили владельцев, ни одна не осталась бесхозной. Например, в крупном банке это позволило выявить и заблокировать неиспользуемые УЗ, а бесхозные (без владельцев или с уволенными сотрудниками) — передать действующим специалистам. Дополнительно настроили автоматические оповещения заинтересованных лиц при увольнении владельцев ТУЗ, что помогает поддерживать данные в актуальном состоянии.
2) Автоматизировать процессы согласования при создании и изменении УЗ, включая назначение и отзыв полномочий. Теперь система Solar inRights контролирует обязательное назначение владельца для каждой новой ТУЗ, что значительно упрощает дальнейший контроль.
Кейс: в одной производственной компании, где раньше согласование ТУЗ занимало несколько дней из‑за отсутствия четких правил и сложности контроля за учетками, после внедрения Solar inRights время сократилось до нескольких часов. Мы настроили специальный маршрут согласования с участием только ответственных сотрудников IT‑отдела и службы безопасности, сделав процесс полностью прозрачным и контролируемым.
3) Контролировать полномочия ТУЗ и выявлять нарушения.
Кейс: в сети магазинов модуль работы с нарушениями Solar inRights обнаружил, что ТУЗ для автоматизации заказов получила избыточные права, не соответствующие политике безопасности. Сотрудник, ответственный за контроль нарушения политик, связался с руководителем и пересогласовал права для этой УЗ: часть — исправил, а остальные легализовал через Систему. После работы с нарушениями риски несанкционированного доступа были устранены.
Что можно делать с ТУЗ в IdM‑системе Solar Inrights?
1. Создавать ТУЗ из интерфейса системы
ТУЗ в интерфейсе Solar inRights создаются через мастер создания ТУЗ в три шага. На первом шаге в стандартной конфигурации системы для новой ТУЗ указываются общие сведения о ТУЗ: список владельцев (например, администраторов, в спектре обязанностей которых находится контроль и работа с такими учетными записями), подразделение‑владелец ТУЗ и описание. Список полей общей информации о ТУЗ является настраиваемым и может быть расширен любым набором дополнительной информации, требуемой в конкретной организации.
На втором шаге задаются параметры ТУЗ в конечной ИС. Пользователю необходимо выбрать ИС, в которой будет создана ТУЗ и ее тип. Список типов определяется в конфигурации ИС. В зависимости от выбранных значений система отобразит набор параметров ТУЗ, который также зависит от конфигурации конечной информационной системы. Помимо набора полей возможно настроить парольную политику для конкретной системы и конкретного типа ТУЗ.
На третьем шаге у пользователя есть возможность выбрать из списка ролей, связанных с выбранной на втором шаге конечной ИС, роли для назначения. Эти роли будут назначены на ТУЗ сразу после ее создания. Шаг выбора ролей при создании ТУЗ необязательный, есть возможность сначала создать ТУЗ, а затем запустить процесс назначения на нее ролей.
В одном из последних релизов Solar inRights была добавлена возможность создания ТУЗ через согласование. Теперь в зависимости от процессов, принятых в организации, возможно сразу создать ТУЗ или запустить заявку на ее создание. В таком случае ТУЗ будет создана только после согласования этой заявки. Маршрут для такой заявки настраивается отдельно.
Создание ТУЗ через интерфейс Solar InRights позволяет упростить процесс создания технических учетных записей, используя одну систему, как для заведения, так и для управления этим типом учетных записей. Возможность конфигурации подключения к конечной информационной системе позволяет указать для «шаблона» ТУЗ только те параметры, которые характерны для этого типа учетных записей, таким образом также упростив процесс их создания.
2. Просматривать список ТУЗ и управлять ими
ТУЗ в Solar inRights — это отдельные объекты, связанные с проекциями учетных записей в конечной ИС. Такой подход позволяет однозначно разделять индивидуальные и технические учетные записи в Solar inRights и работать с этими объектами по‑разному. Несмотря на то, что ТУЗ принадлежит пользователю и подразделению‑владельцу, для ТУЗ исключены стандартные процессы увольнения и перевода. Все существующие ТУЗ отображаются в интерфейсе Solar inRights в отдельном интерфейсе системы. Для более удобной работы с ними система позволяет выполнять фильтрацию списка ТУЗ, в том числе с применением расширенных фильтров. В списке ТУЗ пользователь может выполнить блокировку и разблокировку ТУЗ как вручную, так и по заявке. Кроме того, сменить пароль для отдельной ТУЗ.
В последнем релизе мы также добавили функцию сброса пароля для одной или нескольких ТУЗ. В результате сброса система автоматически сгенерирует уникальные пароли для каждой ТУЗ в соответствии с заданной для этих ИС и этих типов ТУЗ парольной политикой. Кстати, функция «сброс пароля» была добавлена также для пользователей Solar inRights и их индивидуальных УЗ в конечных ИС.
3. Просматривать и редактировать информацию о ТУЗ
Просмотр и редактирование информации о ТУЗ выполняется в отдельной карточке ТУЗ. Карточка ТУЗ содержит общую информацию и параметры, указанные при создании конкретной ТУЗ или полученные из конечной ИС, а также список назначенных на ТУЗ ролей с указанием основания назначения этих ролей. Это позволяет увидеть в результате чего назначена та или иная роль. Помимо этой информации система позволяет просмотреть историю изменения ролей ТУЗ на отдельной вкладке карточки ТУЗ.
Если необходимо изменить общие данные о ТУЗ, редактирование этой информации возможно сразу или после согласования заявки, в зависимости от регламентов организации. Маршрут для такой заявки настраивается отдельно.
Карточка ТУЗ содержит и другую информацию, полезную для контроля процесса управления УЗ этого типа. Solar inRights подскажет, кто и когда создал и последним изменял данные о ТУЗ. Система обозначит разницу, если она есть, в статусе активности ТУЗ в inRights и в конечной ИС (например, если разблокирование ТУЗ было выполнено в обход IdM), предупредит об окончании срока действия пароля, если он задан.
4. Выполнять назначение и отзыв ролей ТУЗ
Назначение и отзыв ролей ТУЗ выполняется через стандартные заявки на назначение и отзыв ролей Solar inRights. Для создания заявки на назначение ролей на ТУЗ добавлен отдельный мастер со своими особенностями: например, список объектов, на которые будут назначаться роли ограничен техническими учетными записями, а выбор ролей, которые можно назначить, — ролями, которые однозначно относятся к конечной ИС, в которой существует ТУЗ. Выбрав все необходимые роли и указав обоснование назначения ролей в комментарии к заявке при необходимости, пользователь создает заявку. После этого Solar inRights автоматически вычисляет согласующих и запускает процесс согласования. Отзыв ролей также выполняется через создание заявки из карточки ТУЗ.
Команда Solar inRights стремится гибкой работе Системы. Теперь пользователь может настроить отдельные маршруты согласования заявок именно для ТУЗ. Для этого в маршрутах достаточно указать соответствующее условие применения маршрута.
5. Преобразовывать УЗ в ТУЗ
Solar inRights предоставляет гибкие возможности работы с ТУЗ:
Ручное создание учетных записей через интерфейс системы
Автоматизированное создание объектов ТУЗ на основе данных, импортированных из информационной системы
Это особенно полезно для организаций, которые не планируют полностью переводить управление ТУЗ в Solar inRights или первично загружают данные при интеграции с новой системой.
Когда информационная система интегрируется с Solar inRights, в ней часто присутствуют технические учётные записи, которые бывает сложно автоматически отличить от личных учётных записей. Сейчас в Solar inRights пользователь может выбрать любую учётную запись без владельца и «преобразовать» её в ТУЗ. В процессе преобразования пользователю будет необходимо заполнить только общую информацию о ТУЗ (владельцы, подразделение‑владелец, и т.д). В свою очередь, параметры ТУЗ, содержащиеся в конечной ИС, Solar inRights получит автоматически. В результате преобразования система отметит такую УЗ как техническую, а также создаст ее карточку. Далее с ТУЗ можно будет выполнять те же действия, что и с созданными вручную ТУЗ.
6. Следить за расхождением полномочий ТУЗ.
Solar inRights следит за расхождением полномочий (нарушением политик на языке Solar inRights) для ТУЗ также, как и для индивидуальных УЗ.
В одном из последних релизов была предоставлена возможность видеть нарушения в общем списке нарушений политик для ТУЗ, а также реагировать на них. Например, исправлять нарушения в конечной ИС или легализовывать такие расхождения.
Клиенты могут отфильтровать по типу УЗ при проведении аудита нарушения политик. Таким образом, система позволяет следить за неправомерным назначением полномочий на технические учетные записи и своевременно на них реагировать.
7. Автоматизировать контроль за владением и паролями ТУЗ
Для нас в Solar inRights было важно как можно больше облегчить жизнь наших клиентов и предложить широкие возможности для автоматизации и кастомизации процессов работы с ТУЗ. Именно поэтому Система следит за списком владельцев ТУЗ и автоматизирует процесс их смены. Когда пользователь, владеющий ТУЗ, увольняется или исключается из списка владельцев, система может автоматически упростить контроль над ТУЗ и снизить риск, связанный с паролями таких учеток. Система может информировать ответственное лицо об увольнении одного из владельцев или автоматически передавать роль владельца ТУЗ руководителю уволившегося сотрудника, если сотрудник был единственным владельцем. Клиент может настроить параметры в конфигурации системы, которые определят кому отправлять уведомления о данных событиях и нужно ли выполнять такие действия.
Если кто‑то из владельцев исключается из списка владельцев ТУЗ, система может автоматически сбросить пароль от ТУЗ и отправить остальным владельцам заявку на передачу нового пароля. Необходимость этих действий также определяется настройками Solar inRights.
Процесс управления техническими учетными записями — сложный процесс, который был реализован не за один день и не за один релиз. Поэтому мы продолжаем его развивать и дорабатывать, принимая во внимание различные требования к настройке процессов, связанных с техническими учётными записями, а также упрощать работу с этими настройками и автоматизировать процессы работы с ТУЗ.
А у вас выстроен процесс работы с ТУЗ?