Александр Махновский: Почти половина новых IdM-внедрений в России — это «Аванпост»
Решения для управления доступом IdM (Identity Management) не находятся на переднем крае периметра безопасности, однако именно они позволяют грамотно выстроить бизнес-процессы внутри организаций и минимизировать риски, связанные с безопасностью и коммерческой деятельностью. В 2022 г. в этом сегменте появились новые долгосрочные проекты по миграции на отечественные IdM с западных продуктов. Технический директор Avanpost IdM Александр Махновский рассказал Market.CNews, почему без постоянного развития IdM превращается в «мертвую» систему и в каких случаях реализация такого проекта будет оправдана даже для компаний среднего размера в 400–500 человек.
Market.CNews: Что из себя представляют системы IdM и какие задачи они помогают решать бизнесу?
Александр Махновский: IdM (Identity Management) — это система, которая позволяет быстро предоставлять доступ к информационным ресурсам работникам предприятий. С точки зрения конечного пользователя это означает быстрое создание новой учетной записи при устройстве на работу (не нужно ждать несколько дней) и возможность оперативно получить дополнительные права доступа при необходимости.
Исходной задачей, из решения которой выросли все IdM-системы, была синхронизация учетных записей. Допустим, в компании есть источник данных (например, кадровая система) и некая служба каталогов (например, корпоративный телефонный справочник или Active Directory), и между ними необходимо наладить синхронизацию таким образом, чтобы сотрудники получили доступ к необходимым в их работе ресурсам. Первоначально все IdM-решения были заточены на решение именно этой задачи. Некоторый сервисы (например, MIM — Microsoft Identitty Manager) на этом и остановились. Однако ряд вендоров стали наращивать вокруг базового сервиса синхронизации дополнительный функционал, связанный с управлением правами доступа по заявкам и на основе ролевых моделей, контролем легитимности прав доступа, контролем рисков (Identity Governance) и т.д.
Market.CNews: Каков сейчас объем российского рынка IdM?
Александр Махновский: Ответ на этот вопрос зависит от того, включать ли в объем рынка затраты на развитие и техподдержку. Внедрение IdM — это долгосрочный проект, который необходимо постоянно развивать по мере роста бизнеса и эволюции внутренних бизнес-процессов компании.
Любое изменение ИТ-ландшафта находит свое отражение в настройках системы IdM. У нас есть клиенты с более чем десятилетней историей, которые каждый год продолжают инвестировать в развитие IdM-проекта с целью масштабирования, изменения ролевых моделей и подключения новых информационных систем. В результате получается, что объем рынка первичных продаж оказывается несколько меньше вторичного рынка поддержки и развития уже действующих проектов. Годовое количество продаж, как правило, не очень большое, но совокупное количество действующих внедрений на этапе развития достаточно велико. По моей оценке, общий объем российского рынка IdM в 2022 г. составил около ₽3,5 млрд, из которых вендорский бизнес по продаже и продлению лицензий не превышает ₽1,5 млрд.
Market.CNews: А каков объем рынка с точки зрения количества учетных записей под управлением IdM?
Александр Махновский: Если рассматривать внутрикорпоративные внедрения, то это как минимум 5 млн пользователей у крупных заказчиков (например, проекты в «Сбербанке» или «Почте России» на 300–350 тыс. пользователей в каждой из компаний) и еще 3–5 млн пользователей в более мелких компаниях. Кроме того, IdM установлены в некоторых крупных ГИС, к которым имеют доступ граждане, что дает еще 15–20 миллионов пользователей. Следует отметить, что в последнем случае более корректно было бы использовать решения класса Customer Identity Management (это родственное, но отличное от IdM семейство решений), но по факту в таких ГИС зачастую используется сервис IdM от «Аванпост».
Market.CNews: Какова доля компании «Аванпост» на российском рынке решений IdM, сколько у вас реализованных проектов и насколько они велики по масштабу?
Александр Махновский: Мы являемся лидером рынка, среди новых внедрений, реализованных за последние 5 лет, на долю «Аванпост» приходится около 40%. В год мы осуществляем около 20–25 новых внедрений. По количеству учетных записей в рамках одного проекта разброс очень большой — от 400 до 400 тыс. пользователей. Самым маленьким внедрением является IdM-система внутри самой компании «Аванпост», это около 150 сотрудников, а самая крупная инсталляция (около 350 тыс.) была реализована для «Почты России».
Market.CNews: С какими рисками сталкиваются предприятия при отсутствии IdM?
Александр Махновский: Угрозы, связанные с отсутствием IdM, можно условно разделить на риски в коммерческой деятельности предприятия и риски, связанные с информационной безопасностью. Примером проблемной ситуации из первой категории является заболевший кассир в банке, которого не могут подменить коллеги, так как у них нет соответствующих прав доступа и нет возможности быстро их получить. Иллюстрацией ИБ-рисков является сохранение прав доступа у сотрудника, ушедшего из компании — можно легко себе представить журналиста, который после увольнения выкладывает на сайт СМИ компрометирующие фотографии через сохранившуюся учетную запись. IdM-система позволяет вовремя деавторизовывать пользователей, которые больше не трудятся в компании.
Еще одна проблема, которую позволяет решить внедрение IdM, — это накопление прав доступа. Например, сотрудники сохраняют полномочия, которые были выделены под конкретный проект даже после его завершения. Возникает потребность в том, чтобы проконтролировать отзыв соответствующих прав доступа. С этой целью в IdM встроены инструменты, которые позволяют поддерживать у пользователей минимально необходимый уровень полномочий, чтобы у сотрудников не было больше прав, чем предусмотрено в рамках рабочих обязанностей. Например, неиспользуемые учетные записи могут автоматически блокироваться, а при переводе на новую должность старые права доступа полностью блокируются или сокращаются до минимума, чтобы снизить как риск возможных злонамеренных действий самого сотрудника, так и риски, связанные с компрометацией учетной записи сторонними злоумышленниками. Например, в случае, если через скомпрометированную учетную запись в инфраструктуру предприятия попадет шифровальщик, то он сможет испортить ровно тот объем данных, к которому имеет доступ данный пользователь. Если права доступа сокращены до минимально необходимых, то уровень потерь организации в этом случае будет существенно ниже.
Кроме того, IdM позволяет отслеживаться cовмещение полномочий у одного пользователя, которое дает ему возможность совершать критичные операции. Данная ситуация получила название SoD-конфликт (Segregation of Duties). Классический пример — это совмещение обязанностей кассира-операциониста и кассира-контролера в банке, когда один сотрудник имеет возможность создать и подтвердить платежку, чтобы осуществить денежный перевод. Таких случаев в зависимости от специфики бизнеса может быть много, и они не всегда очевидны.
Наконец, IdM-система осуществляет контроль рисков — производится оценка рисков каждого из полномочий, на основе чего формируется совокупная оценка рисков, связанных с той или иной учетной записью. После выявления таких слабых мест можно компенсировать риски с помощью организационных или технических инструментов.
Market.CNews: Начиная с какого масштаба предприятия внедрение IdM становится целесообразным и экономически оправданным?
Александр Махновский: На целесообразность внедрения IdM влияют несколько факторов. Прежде всего, это количество сотрудников и число информационных систем и каталогов, в которых осуществляется управление доступом. Помимо этого, важными факторами являются текучка кадров и динамичность внутренних бизнес-процессов.
Если отталкиваться только от численности персонала, то проект IdM становится целесообразным при размере штата сотрудников от 1500 человек и более. Однако существуют исключения из этого правила. Встречаются достаточно крупные организации до нескольких тысяч сотрудников, в которых авторизация и аутентификация полностью построены на Active Directory, поэтому для них проект по внедрению IdM не является актуальным. И наоборот, при определенных условиях (например, логистическая компания, где каждый месяц меняются сотрудники склада) использование IdM окажется оправданным и при размере коллектива в несколько сотен работников.
Market.CNews: Существует точка зрения, что последнее время интерес к решениям IdM стал расти среди компаний среднего размера (около 500 сотрудников), насколько это соответствует действительности?
Александр Махновский: Есть сегмент технологических компаний, которые стремятся максимально автоматизировать бизнес-процессы. У них может быть сложная инфраструктура с облачными сервисами и изолированными средами для тестирования, и даже при штате в 500 сотрудников они задумываются над внедрением IdM (например, чтобы контролировать, к каким репозиториям имеют доступ разработчики). Среди таких заказчиков действительно наблюдается рост интереса к технологиям управления доступом.
Market.CNews: Какие иностранные решения были представлены на рынке IdM, и как уход западных вендоров осложнил жизнь российских клиентов?
Александр Махновский: Нашим основным конкурентом на коммерческом рынке являлось американское решение One Identity, активное продвижение которого в России началось в 2015–2016 гг. На момент ухода из России в портфеле One Identity насчитывалось около 50–60 внедрений. После 2022 г. пользователи западных решений столкнулись с отказами в области техподдержки и невозможностью расширить число лицензий: например, компания внедрила One Identity, а потом выросла в 2 раза, но докупить соответствующие лицензии не получается из-за ухода вендора.
Но при этом нужно помнить, что IdM — это не та система, которая находится на сетевом периметре организации, поэтому уровень проблем, созданный уходом иностранных вендоров, здесь не столь высок, как для ряда других ИБ-решений. Даже если IdM выключится полностью, это не означает возникновения проблем здесь и сейчас — трудности в области ИБ возникнут со временем, по мере появления незаблокированных учетных записей и накопления прав доступ и конфликтов полномочий. Влияние же остановки сервиса на бизнес возможно, только если скорость предоставления полномочий является для него критичной.
Market.CNews: Что вы можете предложить для пользователей иностранных IdM в нынешней ситуации?
Александр Махновский: У нас есть реализованные кейсы миграции с иностранных вендоров IdM, при этом переход осуществлялся постепенно с переходным периодом, когда два решения для контроля доступом работают параллельно. Мы реализовали подобную интеграцию для IBM Tivoli Identity Manager и Oracle, и сейчас мы прорабатываем аналогичную возможность для решения SAP — в данный момент у нас на этапе реализации находится проект подобной миграции. Проектов по миграции с One Identity у нас пока что нет, однако технически это возможно. В целом, в 2022 г. у нас появилось несколько новых крупных проектов по миграции с западных решений, в основном это компании промышленного сектора с масштабом внедрений на 30–60 тыс. учетных записей. Любая подобная миграция требует индивидуального подхода и сильно зависит по времени от количества реализованных процессов в замещаемом решении, особенно чувствительными являются процессы, в которых участвуют массовые пользователи.
Market.CNews: Как изменился спрос на продукты «Аванпост» в 2022 г. и каков ваш прогноз на 2023 г.?
Александр Махновский: Не могу сказать, что финансовые показатели «Аванпост» от проектов IdM в 2022 г. сильно отличались от результатов 2021 г, основной рост дал другой продукт — Avanpost FAM. Внедрение IdM — рискованный и долгосрочный проект, срок окупаемости которого обычно лежит в интервале от 3 до 5 лет. В периоды высокой степени неопределенности компании, не уверенные в устойчивости своего бизнеса, как правило, откладывают такие проекты.
В начале 2022 г. несколько наших клиентов отказались от уже намеченных проектов внедрений, а часть компаний отложила реализацию на 2023 г. При этом мы понимаем, что некоторые заказчики в ближайшее время не вернутся: например, у нас были хорошие предпродажи в авиационной отрасли, но с учетом сложностей, с которыми столкнулась эта индустрия, вряд ли стоит ожидать возобновления этих проектов в обозримой перспективе.
Компенсировать эти неудачи удалось за счет новых проектов в крупных компаниях, которым пришлось мигрировать с иностранных IdM или заменить продукт на начальном этапе внедрения. Реализация некоторых из таких проектов уже началась в 2022 г., мы получили деньги от продажи лицензий на наши продукты, и сейчас совместно с интеграторами занимаемся их внедрением.
Каковы будут финансовые результаты 2023 г., пока говорить преждевременно, так как основные выплаты по многим внедрениям происходят постфактум — полная оплата лицензий происходит по факту завершения внедрений и признания системы «полезной» для бизнеса.
Market.CNews: Как изменилась стратегия компании «Аванпост» в 2022 г.?
Александр Махновский: Прежде всего, я хотел бы обратить внимание, что на данный момент у нас два противоречащих друг другу бизнеса — вендорский, по продаже лицензий, и интеграторский, по внедрению наших решений. Около 80% внедрений наших продуктов происходят при участии специалистов «Аванпост». Получается, что рост числа внедрений ведет к нехватке рабочих рук для развития продуктов и работы над новыми пресейлами. Это похоже на ситуацию змеи, кусающей себя за хвост. Наша стратегическая задача — развязать этот узел, в том числе за счет изменения наших продуктов. Новая, седьмая версия нашей IdM отличается большей гибкостью — интеграторы смогут делать самостоятельно сложные кастомизации и настраивать процессы. Уровень «конфигурируемости» сервисов на порядок выше, чем в шестой версии нашей IdM или в любом другом отечественном продукте по управлению учетными записями. Таким образом, важной задачей для «Аванпост» является развитие партнерской сети и сотрудничества с интеграторами.
Вторая часть новой стратегии заключается в расширении продуктовой линейки за пределами IdM, новые решения смогут внедрять сами заказчики или интеграторы без специальной экспертизы по нашим продуктам. Это системы в области управления неструктурированными данными, управления привилегированными учетными записями, а также инструменты аутентификации — то есть это продукты, которые также находятся в рамках сферы нашей основной компетенции, но не являются частью IdM. Мы приступили к разработке новой линейки в начале 2023 г. и к концу года рассчитываем представить рынку первый релиз одного из новых продуктов.
Market.CNews: Какие еще нововведения появились в седьмой версии IdM «Аванпост» помимо более гибкой кастомизации?
Александр Махновский: У нас появился новый логический уровень при авторизации — ABAC (Attribute-based Access Control), который позволяет управлять любыми атрибутами пользователя и связанными с ними объектами на любую глубину связи, основываясь на политиках, а не ролевых моделях. Сейчас в IdM-решениях повсеместно используется другая технология — NIST RABC (Role-Based Access Control), которая базируется именно на ролевых моделях. Несколько лет назад международные аналитики прочили полную замену классических решений IdM этой технологией, однако по нескольким объективным причинам этого не случилось. Вместо этого технологии начали комбинироваться. В седьмой версии IdM «Аванпост» реализована синергия подходов ABAC и RABC, что есть далеко не у всех западных поставщиков и пока нет ни у кого из наших российских коллег.
Мы подняли на новый уровень возможности управления привилегированными и неперсонифицированными учетными записями, серьезно переработали архитектуру и добились полной масштабируемости всех компонентов, в том числе автоматической, при размещении в k8s.
Помимо этого, мы сделали новый пользовательский и административный интерфейс, он стал более адаптивным — с возможностью настроить его под себя, также появилась опция брендирования и разработки UI-плагинов. Еще одно новшество — это «мультитенантность» (multi-tenancy), то есть в одной инсталляции IdM могут «жить» сразу несколько организаций, что является актуальным для крупных холдингов с разветвленной структурой дочерних компаний.
Полный текст статьи читайте на CNews