Directed by
Robert B. Weide
Глава 1. Введение
Никогда не внедряйте IDM, 2FA/MFA и PAM, пока не...
Рынок предлагает на сегодняшний день обширный перечень решений - есть и Identity Management, и Identity & Access Governance, и Identity & Access Management, 2FA/MFA, и Public Key Infrastructure-решения верхом на Certificate Authority. Даже казалось бы привычная служба каталогов вроде Microsoft Active Directory или FreeIPA - один из наиболее распространённых элементов Identity Security. Если вы пока ещё не запутались или уже разобрались во всём многообразии существующих терминов в классах решений – вам точно есть из чего выбрать и на что потратить не один бюджет ИБ и ИТ вашей компании. И вот годы пройдут, поколения сменятся, новые дали к себе позовут, но наш девиз никогда не изменится - а ряд купленных и внедрённых продуктов никогда может так и не начать приносить пользу бизнесу. При этом подход построения информационной безопасности путём локального приобретения ряда продуктов для закрытия «очевидных дыр», потому что «так принято» — это шитьё лоскутного одеяла. А покупка моновендорских решений позволяет получить прекрасный лоскутный результат из кусочков, выдержанных в одном стиле. То есть причина того, что не выходит каменный цветок — не столько в технике или выборе вендора.

Каждый вендор стремится продать и внедрить свои продукты. Вендор чаще всего хорошо понимает особенности работы своего продукта, умеет работать с его сильными и слабыми сторонами. Вендор хорошо понимает, чего хочет заказчик применительно к локальной задаче, и умеет работать с потребностями на этом уровне. И в целом сложившаяся на рынке ситуация позволяет заказчикам приобретать хорошие продукты в управляемые сроки и решать локакльные задачи.

При этом здесь упускается из внимания крайне важный элемент: осознать объективные потребности бизнеса применительно к безопасности Identity, стратегическое направление Identity Security — способен только заказчик либо самостоятельно, либо при квалифицированной поддержке команды исполнителей, обеспеченной адекватными бюджетом (ха) и адекватными сроками (ха-ха) и адекватными прочими трудноизмеримыми ресурсами (ха-ха-ха). При этом исполнитель от вендора или интегратора, несмотря на реальную экспертность и подкованность – объективно не всегда может выявить, сформулировать и донести их до заказчика. Часто приходится искать какой-то компромисс, понимая, что сделать лучше можно, но очень сложно. Осечки в этой части случаются, и, к сожалению, весьма часто.

Учиться на практике полезно. Но это явно не тот случай – неправильно построенная безопасность Identity - весьма затратное мероприятие. Поэтому понимание объективных потребностей должно быть сформировано и сформулировано намного заранее до начала проектов внедрения и закупочных процедур любых продуктов, направленных на обеспечение безопасности Identity.
Безопасность Identity (Identity Security) - это не очередная серебряная пуля. Это определённый взгляд на устоявшиеся и общеизвестные функции продуктов информационной безопасности.
Применение современных и технологичных продуктов и инструментов для решения локальных задач при отсутствии цельной картины - крайне порочная практика.

Вроде «сначала внедрим IDM или MFA, а потом подумаем и решим, что с этим делать». Такое «потом» приводит к тому, что высокоэффективный инструмент используется на 15-20% от своих возможностей.

Закрывать задачи безопасности Identity при помощи эффективных локальных инструментов «поэтапно» можно только в том случае, когда есть проработанная архитектура и понятно целевое состояние всего процесса обеспечения Identity Security для организации.
Чтобы определить понятие «безопасность Identity» - сперва нужно определиться, что же такое Identity.