
Úvod
Dokážete si predstaviť, koľko prihlasovacích mien a hesiel ste použili za posledný rok? Viete, koľko je z nich doteraz ešte aktívnych? Akú máte istotu, že ich niekto vo vašom mene nezneužil? Ak skombinujete tieto a im podobné otázky s tisíckami používateľov v organizácii, dostanete obraz o nočných trápeniach zodpovedných manažérov bezpečnosti.
Oblasti systematickej správy používateľov a prístupových práv (IAM, z angl. Identity and Access Management) sa medzi IT profesionálmi venuje stále väčšia pozornosť. Rovnako i jednotlivé organizácie si uvedomujú narastajúcu potrebu riešenia centralizovanej správy identít a prístupových práv. Nemalou mierou sa na týchto narastajúcich tlakoch podieľajú nové zákony a normy EÚ spolu so zisteniami externých auditov.
Dedičstvo minulosti
Spoločnosti, najmä tie veľké, dnes vo svojom IT prostredí prevádzkujú rádovo desiatky až stovky cieľových systémov. Tie predstavujú samotné operačné systémy a na nich prevádzkované aplikácie. Každý cieľový systém má obvykle vlastnú databázu používateľov a vlastné pravidlá na riadenie prístupu. Rastúci dôraz na efektivitu riadenia IT, bezpečnosť a separáciu rolí vo firmách posilňuje úlohu centralizácie a unifikácie týchto procesov. Spôsob ako tento stav dosiahnuť je nasadenie IAM riešenia.
Identity a Access Management
Systém správy používateľov (IM, z angl. Identity Management) sa vo všeobecnosti označuje ako komplex opatrení, t. j. technológií, procesov a pravidiel, ktorých cieľom je zabezpečiť, aby mali správne osoby v správnom čase správny prístup k správnym informáciám. IM riešenia sú prevažne založené na systéme rolí. Roly v IM systéme určujú, kto má mať prístup s akými právami na aké cieľové systémy v závislosti od toho, akú funkciu (rolu) človek v organizácii zastáva.
Komplementárnou časťou IM riešenia býva systém na riadenie prístupových práv (AM, z angl. Access Management), ktorý opäť na základe rolí granulárne povoľuje alebo odopiera prístup ku konkrétnym zdrojom. Tie môžu predstavovať súbory, aplikácie, zariadenia alebo služby v rámci organizácie. Medzi technológie na riadenie prístupových práv patrí aj obľúbené centralizované riešenie automatickej autentifikácie do systémov alebo aplikácií rôzneho druhu známe pod označením SSO (angl. Single Sign-On). Riešenie nahrádza klasické opakujúce sa manuálne prihlasovanie do aplikácií používateľom. Obe rodiny technológií sa v skratke označujú ako IAM.
Požiadavky na IAM riešenie
Projekty na riešenie IAM problematiky sú špecifické dvoma charakteristickými črtami. Vo všeobecnosti neexistuje štandardný vlastník projektu a žiadne dva projekty nie sú identické ani z pohľadu požiadaviek kladené na riešenie ani z pohľadu technickej realizácie. V globále však IAM riešenie by malo pokrývať nasledujúce oblasti:
- Centralizovanú správu životného cyklu digitálnej identity
- Hierarchický model delegovania právomocí a schvaľovania
- Automatické zriaďovanie používateľských účtov (angl. provisioning) do všetkých určených systémov na základe funkčného zaradenie používateľa
- Auditovateľné výstupy ukazujúce splnenie regulujúcich podmienok (napr. legislatívnych, napr. SOX) a súlad so súvisiacimi štandardmi a normami (napr. ISO 17799)
- Zavedenie systému jednorazového prihlasovania sa do aplikácií (SSO)

Príklad životného cyklu digitálnej identity
Očakávania zákazníkov
Podľa prieskumu KPMG uskutočneného vo februári a marci 2008 v regióne strednej a východnej Európy (CEE, angl. Central and East Europe) všetky zúčastnené spoločnosti odpovedali, že majú rozbehnutý jeden alebo aj viacero projektov v IAM oblasti za obdobie posledných troch rokov. Spoločnosti ďalej uviedli, že po nasadení IAM riešenia očakávali, resp. stále očakávajú (v prípade prebiehajúcich projektov), posun v nasledujúcich oblastiach (tzv. 5 Z):
- Zosúladenie s legislatívou
- Zlepšenie výkonu procesov
- Zníženie nákladov
- Zlepšenie riadenia rizík
- Získanie konkurenčnej výhody
I keď je podľa výsledkov prieskumu na prvom mieste očakávané zlepšenie v oblasti súladu s legislatívou, prieskum ďalej ukázal, že v našom regióne spoločnosti kladú podstatne väčší dôraz na výkonnosť než na súlad s legislatívou. Tento fakt je možné pripisovať nižšiemu rozsahu legislatívnej regulácie a primárnemu sústredeniu sa na maximálne využitie príležitostí, ktoré dynamicky rozvíjajúci sa región vytvára. Zaujímavým poznatkom je i umiestnenie zníženia nákladov až na treťom mieste. Respondenti tým jasne poukázali na fakt, že IAM riešenia nevnímajú primárne ako nástroj na redukciu nákladov.
5 užitočných rád pri realizácii IAM projektu
1. Vyjasnite si terminológiu a limity existujúcich riešení!
Prvá vec, ktorú musí zákazník a dodávateľ riešenia urobiť, je ujasniť si, čo zákazník chce a o čom hovorí. Terminológia IAM býva väčšinou interpretovaná rôzne (často nesprávne), takže môže ľahko dôjsť k nedorozumeniu.
Zákazník často požaduje od riešenia funkcionalitu, ktorá nie je dosiahnuteľná za cenu akú je zaň zákazník ochotný zaplatiť. Každé IAM riešenie má existujúce technologické limity, ktoré treba akceptovať. Nie je rozumné modifikovať IAM produkty aby robili niečo iné než na čo boli pôvodne určené.
2. Vyjasnite si, čo znamená integrácia proprietárnych systémov!
Kameňom úrazu môžu byť proprietárne systémy, pri ktorých nie je známe, akým spôsobom spravujú používateľské účty. V takýchto prípadoch sa musí zákazník rozhodnúť, či požiada dodávateľa aplikácie o jej otvorenie a dodávateľa IAM riešenia o vyvinutie špeciálneho konektora na mieru. Zistiť v polovici projektu, že nie je možné daný systém do IAM zaintegrovať (napr. pre nedostatočnú súčinnosť dodávateľa aplikácie) znamená pre projekt fatálne následky.
3. Analytickú časť oddeľte od realizačnej a vykonajte ju ako prvú!
Pokiaľ je to možné, ako prvú je nutné vykonať analýzu súčasného stavu IT prostredia zákazníka, a to ešte pred realizáciou projektu a samostatne. Z analýzy vyplynú závery, ktoré pomôžu na škálovať celý projekt a určiť jeho cenu.
4. Projekt rozdeľte na jednotlivé etapy vrátane pilotu projektu!
Realizačný projekt je potrebné rozdeliť na menšie uzavreté etapy. Takémuto modelu neprekáža ani súbežná integrácia cieľových systémov, ktorej sa vyhnúť možné nie je. Pilot projektu je vhodné zrealizovať v jednej tretine celkovej implementácie projektu na vopred určených systémoch. Na pilotnom prostredí je vhodné vykonať i predbežné zaškolenie zákazníka do riešenia.
5. Implementácia IAM riešenia je dlhodobý proces!
Viac ako polovica IAM projektov nedosiahla plánovaný cieľ. Dôvodom je fakt, že sa IAM projekty prevažne realizujú ako nasadenie technologického IT nástroja bez komplexného zapojenia celej organizácie do projektu. Ďalším častým problémom býva procesná nepripravenosť zákazníka na realizáciu tak náročného projektu. IAM riešenie nie je možné nasadiť a ani prevádzkovať bez aktívnej účasti zákazníka, a to nielen po dobu realizácie projektu, ale najmä po odovzdaní riešenia do prevádzky.
Záver
IAM riešenie umožňuje kvalitnejšie a zároveň i spoľahlivejšie riadenie IT prostredia organizácie. Centralizovaná správa používateľských účtov a technológia riadenia prístupov zároveň zvyšuje efektivitu správy IT spoločnosti. Ukazuje sa, že IAM problematika nie je ani zďaleka len marketingovým ťahákom dodávateľov. Záujem európskych spoločností o túto oblasť potvrdzuje narastajúcu potrebu riešenia centralizovanej správy identít a prístupových práv.
Na úspešnú implementáciu IAM riešenia u zákazníka treba viac než len vybrať technologické riešenie od konkrétneho dodávateľa a dohodnúť sa na cene projektu. Bez kvalitne zvládnutých procesov a obetavej spolupráce zákazníka žiadne riešenie nebude úspešne nasadené.
Spoločnosť Logica nie je orientovaná na jeden konkrétny produkt. Ponúkame znalosti a skúsenosti medzinárodných tímov, kde v roli systémového integrátora zaistíme celý náročný proces zavedenia IAM do dennej praxe.
Autor: Mgr. Martin Vrábel, Security System Architect, Logica Slovakia