Система Управления Доступом к ИТ-ресурсам (СУД-ИР)

r
Сбербанк России

Сбербанк России является крупнейшим банком Российской Федерации и СНГ. Его активы составляют более четверти банковской системы страны. Основанный в 1841 г. Сбербанк России сегодня - современный универсальный банк, удовлетворяющий потребности различных групп клиентов в широком спектре банковских услуг. Сбербанк занимает крупнейшую долю на рынке вкладов и является основным кредитором российской экономики.

Предпосылки проекта

Сбербанк является крупнейшим банком России. Сбербанк сегодня — это распределенная многоуровневая структура, включающая Центральный аппарат, 17 территориальных банков, отделения и филиалы (в сумме более 20 тыс. подразделений). Число сотрудников Банка превышает 250 тыс. человек. Для автоматизации различных бизнес-процессов используются десятки разнородных Автоматизированных систем (далее – АС банка). Изначально ИТ-инфраструктура Сбербанка являлась распределенной с децентрализацией управления, что порождало значительные технические и организационные трудности. В частности, децентрализация функций управления доступом к ИТ-ресурсам обуславливала присутствие следующих проблем:

  • Отсутствие механизмов контроля соблюдения политик информационной безопасности в части управления доступом к ресурсам АС банка.
  • Высокие издержки на управление учетными записями и паролями пользователей в разнородных АС банка.
  • Неоперативное предоставление полномочий доступа к ресурсам АС банка для новых сотрудников.
  • Издержки, связанные с необходимостью при внедрении каждой очередной АС банка реализовывать функции аутентификации, авторизации, хранения учетных записей.
  • Cложности в работе сотрудников банка, вынужденных применять различные комбинации логина и пароля для доступа к различным приложениям.
Для устранения перечисленных проблем в рамках единой стратегии Сбербанка по централизации ИТ-ресурсов и функций управления было принято решение о создании централизованной Системы Управления Доступом к Информационным Ресурсам (далее – СУД-ИР). 

Цели и задачи проекта

Ключевыми целями проекта явились:

  • Повышение прозрачности и управляемости процесса управления доступом, приведение его в соответствие с корпоративными стандартами информационной безопасности.
  • Снижение расходов на администрирование АС банка за счет унификации и автоматизации процесса управления доступом.
  • Уменьшение затрат на модернизацию существующих и разработку вновь создаваемых АС банка за счет использования унифицированных и централизованных прикладных сервисов управления доступом, внешних по отношению к АС.

При создании СУД-ИР предстояло решить следующие задачи:

  • Разработать и внедрить централизованные сервисы по управлению доступом пользователей к информационным ресурсам АС банка.
  • Реализовать единый каталог пользователей, подразделений, информационных ресурсов (сервисов) и политик предоставления полномочий доступа.
  • Обеспечить автоматизацию наполнения единого каталога в части информации о пользователях и подразделениях данными из систем кадрового учета Сбербанка.
  • Разработать набор типовых решений по интеграции СУД-ИР с АС банка;
  • Выполнить интеграцию с существующими АС банка;
  • Реализовать процедуру единого входа пользователей (SSO);
  • Обеспечить сбор информации аудита, как о доступе пользователей к АС банка, так и об операциях по управлению доступом.

Вехи реализации проекта

2007 – 2008 гг. – проектирование СУД-ИР, развертывание системы в Центральном аппарате Сбербанка, опытная эксплуатация.

2009 – 2010 гг. – промышленная эксплуатация СУД-ИР для автоматизации процесса управления доступом в Центральном аппарате Сбербанка. Область охвата – управление доступом 30 тыс. сотрудников к ресурсам пяти АС банка.

2011 г. – интеграция СУД-ИР с источником кадровых данных (АС «Кадры и зарплата»), автоматизация ведения информации о сотрудниках как субъектах доступа.

2011 – 2012 гг. – интенсивное развитие СУД-ИР в части интеграции с АС банка. Выполнена интеграция для 17 АС. Масштабирование управления доступом на территориальные филиалы Сбербанка.

2013 – 2014 гг. – разработка ролевой модели управления доступом, интеграция с SAP HR в качестве источника кадровых данных. Интеграция СУД-ИР с новыми АС банка.

Описание решения

В результате реализации проекта была создана централизованная Система Управления Доступом к Информационным Ресурсам Сбербанка (СУД-ИР). Структура системы представлена на рис. 1.

sud-ir.jpg

Рис. 1. Структура централизованной Системы Управления Доступом к ИТ-ресурсам.

В состав СУД-ИР входят единый каталог и три основные функциональные подсистемы.

Единый каталог СУД-ИР

Единый каталог, являясь ключевым элементом СУД-ИР, реализует централизованные сервисы ведения, хранения и поиска данных, необходимых для обеспечения процесса управления доступом. В частности, единый каталог СУД-ИР содержит:

  • справочник субъектов доступа – учетные карточки сотрудников банка, загружаемые в СУД-ИР из системы кадрового учета;
  • справочник объектов доступа сервисов АС банка;
  • информацию о ролях доступа;
  • политики предоставления (Provisioning Policy) – формализованные правила, на основе которых СУД-ИР определяет требуемое соответствие между субъектами, ролями и объектами доступа;
  • вспомогательные справочники, используемые СУД-ИР в ходе управления доступом, такие как справочник организационной структуры.

Единый каталог СУД-ИР реализован на базе ПО IBM Tivoli Directory Server.

Подсистема управления полномочиями доступа

Подсистема предназначена для автоматизации централизованного управления учетными записями пользователей и их атрибутами в различных АС банка. Благодаря интеграции с кадровой системой, Подсистема управления полномочиями доступа позволяет автоматизировать основные этапы жизненного цикла учетных записей пользователей АС банка, включая:

  • автоматическое создание/изменение учетных записей и их наделение необходимыми полномочиями в АС банка;
  • изменение полномочий доступа при переводе сотрудника в другое подразделение, либо назначении на новую должность;
  • оперативную блокировку доступа к АС банка при увольнении сотрудника.

Подсистема обеспечивает два режима управления:

  • Автоматический режим – предоставление (изменение) полномочий доступа к ресурсам АС банка на основе информации о сотрудниках из системы кадрового учета (должность, подразделение, служебные функции).
  • Автоматизированный режим – предоставление (изменение) полномочий доступа к ресурсам АС банка функциональным администратором АС по заявке на доступ с применением веб-интерфейса управления СУД-ИР.

Подсистема управления полномочиями доступа построена на базе ПО IBM Tivoli Identity Manager.

Подсистема управления предоставлением доступа

Подсистема управляет процессом взаимодействия пользователей с АС банка, обеспечивая дополнительную защиту ресурсов АС банка от несанкционированного доступа. В ходе предоставления пользователям доступа к ресурсам АС подсистема реализует следующие функции:

  • Аутентификация пользователей (используется несколько методов ее проведения).
  • Авторизация прав доступа пользователей к веб-ресурсам корпоративных АС банка.
  • Обеспечение единой регистрации пользователей (SSO) при доступе к веб-ресурсам АС банка.
  • Балансировка HTTP-запросов пользователей между серверами приложений АС банка.

Подсистема управления предоставлением доступа построена на базе ПО IBM Tivoli Access Manager for e-business.

Подсистема аудита событий информационной безопасности

Подсистема предназначена для регистрации, обработки, хранения и анализа информации о событиях, связанных с управлением доступом к ресурсам АС банка. В архитектуру СУД-ИР заложены принципы отказоустойчивости и катастрофоустойчивости, в частности: резервирование критичных компонентов; размещение модулей на территориально удаленных площадках, объединенных высокоскоростными каналами связи. Оптимизация производительности СУД-ИР обеспечивается за счет распределения (балансировки) нагрузки между несколькими экземплярами компонентов системы каждого типа. Архитектура СУД-ИР предусматривает возможность горизонтального масштабирования на уровне основных типов компонентов путем развертывания дополнительных экземпляров с их последующим включением в схему балансировки нагрузки.

Результаты проекта

В результате реализации рассмотренного проекта в Сбербанке была создана централизованная Система Управления Доступом к Информационным Ресурсам, которая обеспечивает управление доступом пользователей из числа сотрудников банка к АС банка. Средствами СУД-ИР автоматизировано исполнение политик информационной безопасности Сбербанка в части аутентификации и авторизации пользователей, администрирования доступа к информационным ресурсам. СУД-ИР обеспечивает управление жизненным циклом учетных записей пользователей – от первого подключения к необходимому минимальному набору ресурсов АС до отслеживания модификаций кадровых данных (смена должности, фамилии, семейного положения; перевод в другое подразделение и т.д.) и связанных с этим изменений прав доступа, вплоть до прекращения доступа при увольнении. 

Реализованные механизмы аудита позволяют определять: кто, когда и к каким ресурсам получал доступ; обнаруживать попытки нарушения политики безопасности, а при необходимости – принимать меры для блокирования доступа нарушителей к АС банка. Создание СУД-ИР позволило снизить издержки, связанные с решением задач администрирования АС банка, включая обработку запросов пользователей на сброс забытых паролей в АС. Для пользователей (сотрудников Сбербанка) упрощена процедура доступа к веб-ресурсам АС банка за счет применения технологии единого входа (SSO).

Дополнительно результаты проекта можно охарактеризовать следующими фактами:

  • СУД-ИР с начала 2009 года находится в промышленной эксплуатации.
  • В контуре управления СУД-ИР находится более 30 АС банка, включая, в частности, следующие: АС ЕАСУП (Единая автоматизированная система управления персоналом), АС ББМО (Безбумажный «бэк» и «миддл» офис), АС CRM, АС УВХД (Управление внутрихозяйственной деятельностью). Работы по интеграции с другими АС Банка продолжаются.
  • СУД-ИР обеспечивает управление доступом для более чем 200 000 сотрудников Сбербанка.
  • Реализована катастрофоустойчивая топология СУД-ИР с дублированием ключевых компонентов на территориально разнесенных площадках.

В СУД-ИР реализован следующий набор удовлетворяющих политикам ИБ способов аутентификации пользователей при доступе к АС:

  • Аутентификация на основе форм c вводом имени пользователя и пароля в HTTP-форму;
  • Kerberos-аутентификация в домене MS AD. В этом случае аутентификация происходит незаметно (прозрачно) для пользователя и не требует дополнительного ввода идентификационных данных;
  • Аутентификация с использованием электронных ключей touch-memory;
  • Аутентификация из приложения АС через API СУД-ИР;
  • Аутентификация из приложения АС в каталоге СУД-ИР по протоколу LDAP.