Средства управления паролями
Стратегия доступа к IT-ресурсам
Средства реализации стратегии доступа
Citrix MetaFrame Password Manager
Ни одно современное предприятие, активно взаимодействующее с партнерами и клиентами, не может существовать без IT-инфраструктуры, обслуживающей его бизнес-процессы и постепенно превращающейся в серьезный стратегический ресурс. В этой ситуации многие компании сталкиваются с тем, что затраты на поддержание существующей инфраструктуры оказываются намного выше, нежели затраты на новые разработки, в силу недостаточной интеграции используемых приложений, а эффективность работы пользователей (и всего предприятия в целом) при этом снижается из-за необходимости постоянного преодоления большого количества барьеров, используемых для обеспечения безопасного доступа к данным и приложениям, которые нередко различаются и интерфейсом, и требованиями, предъявляемыми к действиям пользователя.
тобы сразу ввести читателя в существо темы данной публикации, приведем типичный пример. Пользователь некоего приложения некоей компании должен зарегистрироваться как пользователь операционной системы или корпоративной сети, чтобы получить доступ к приложениям, установленным на его рабочей станции. Потом ему нужно зарегистрироваться в качестве пользователя средств терминального доступа, чтобы получить возможность запускать с их помощью приложения; затем он регистрируется как пользователь этих приложений, а после запуска одного из таких приложений — и как пользователь одной или нескольких корпоративных СУБД, и как пользователь применяемой на предприятии системы документооборота или средства управления информационным наполнением, и как пользователь тех или иных сетевых ресурсов. При этом каждый вводимый пароль может иметь определенный срок действия и требует замены по истечении этого срока. Количество преодолеваемых пользователем барьеров может быть довольно велико и зависит от количества применяемых на предприятии приложений и степени их интеграции.
К чему приводит подобная политика, известно очень хорошо: пользователи, дабы облегчить себе жизнь, начинают хранить записки с паролями, использовать в качестве паролей легко запоминающиеся (а потому легко угадываемые) последовательности символов, применять один и тот же пароль для доступа к разным приложениям, повышая в конечном счете риск несанкционированного доступа к корпоративной информации. Если на предприятии применяются меры административного воздействия на подобных пользователей, то это, конечно, несколько снижает подобный риск, но не устраняет его совсем. Зато в данном случае большое количество времени, затрачиваемое на ежедневное преодоление барьеров в виде диалогов авторизации, равно как и трудозатраты IT-персонала, связанные с поддержкой средств авторизации, могут поставить под сомнение не только необходимость использования средств защиты данных, но и эффективность применения информационных технологий в целом.
Стратегия доступа к IT-ресурсам
дним из способов снижения затрат на сопровождение вышеописанной инфраструктуры является разработка такой стратегии доступа к IT-ресурсам, которая позволяет снизить число запросов на поддержку, связанных с регистрацией и авторизацией, и сократить затраты на развертывание приложений, а иногда и на создание дополнительных сетей. Разработка подобной стратегии требует ясного понимания того, каким способом осуществляется доступ к применяемым приложениям и каковы перспективы внедрения новых приложений. Будучи корректно определенной, такая стратегия позволит планировать инфраструктуру доступа, обеспечивающую каждому пользователю относительно несложный доступ к информации, предназначенной ему согласно его служебным обязанностям и корпоративной политике и скрывающей от пользователя сложность средств, обеспечивающих этот доступ.
Средства реализации стратегии доступа
ля реализации стратегии доступа в крупных и средних компаниях обычно применяются средства терминального доступа к приложениям (рассказ о самых популярных продуктах этого класса можно найти в КомпьютерПресс № 10’2003) либо средства создания корпоративных порталов (подробный обзор таких средств представлен в № 6’2001). Нередко эти продукты применяются совместно со специализированными средствами управления паролями. Эту категорию средств мы и рассмотрим в настоящей статье.
Говоря о лидерах мирового рынка указанных средств, следует отметить, что производителями средств управления паролями (они могут поставляться отдельно или в составе пакета обеспечения доступа) обычно являются те же самые компании, которые выпускают средства терминального доступа или средства организации виртуальных частных сетей. Учитывая большую распространенность в России Windows-приложений и серверных продуктов под Windows, представляется разумным остановиться на тех решениях, которые ориентированы на данную нишу рынка средств управления доступом. По мнению аналитиков Gartner Group (см. J. Girard, SSL VPN 1H03 Magic Quadrant — Gartner Research Note M-19-6535), к наиболее заметным игрокам рынка данной категории продуктов относятся компании Citrix Systems, Tarantella и Netilla Networks (все они поставляют средства управления доступом, ориентированные в том числе и на совместное применение с терминальными службами Windows). Среди перечисленных компаний Citrix Systems является безусловным лидером. Поэтому мы рассмотрим возможности, предоставляемые средствами управления паролями, на примере соответствующего продукта этой компании.
Citrix MetaFrame Password Manager
itrix Password Manager входит в состав пакета Citrix MetaFrame Access Suite, включающего также Citrix MetaFrame Presentation Server, MetaFrame Secure Access Manager и MetaFrame Conferencing Manager. Назначение Citrix MetaFrame Password Manager — обеспечить пользователям доступ к набору из нескольких разнородных корпоративных приложений с помощью ввода единственного пароля. Подобный способ доступа носит название single sign-on access.
Приложения, доступ к которым может быть упрощен с помощью этого продукта, могут быть практически любыми — от унаследованных приложений на мэйнфреймах до Web-приложений. При этом все события, связанные с требованием ввода пароля, с его получением и с изменением как самих паролей, так и прав пользователей, перехватываются и обрабатываются незаметно для пользователя.
Средства администрирования Citrix MetaFrame Password Manager
Основными особенностями данного продукта являются совместимость с широким спектром приложений (доступ к которым осуществляется с помощью других продуктов Citrix MetaFrame Access Suite), автоматическое распознавание диалогов для ввода паролей и их обработка, автоматическая генерация новых паролей с учетом сроков действий и правил формирования, диктуемых конкретными приложениями, наличие средств централизованного администрирования и конфигурирования, поддержка мобильных устройств и рабочих мест, эксплуатируемых несколькими пользователями.
Обработка диалога ввода паролей с помощью Citrix MetaFrame Password Manager
Отметим, что для доступа к приложениям Password Manager можно применять совместно с Citrix MetaFrame Secure Access Manager — продуктом, предназначенным для обеспечения защищенного доступа к приложениям, документам, Web-сервисам и иным корпоративным ресурсам с помощью незащищенных каналов связи (например, через Интернет).
Преимущества применения MetaFrame Password Manager вполне очевидны — это и централизация политики безопасности, и возможность автоматически генерировать пароли, удовлетворяющие стандартным требованиям к устойчивости от взлома (то есть представляющие собой случайные последовательности цифр, букв и символов), и в конечном счете снижение затрат, связанных с сопровождением продуктов либо вызванных неэффективной работой пользователей, равно как и рисков несанкционированного доступа к корпоративной информации.
Доступ к приложениям с помощью Citrix MetaFrame Secure Access Manager
Другие продукты
редства управления паролями различных производителей имеют, как правило, сходную функциональность: все они хранят пароли для доступа к различным приложениям, обладают средствами их обновления и средствами обработки событий, связанных с появлением диалогов ввода паролей. Отличаются друг от друга эти продукты главным образом средствами управления, а также спектром поддерживаемых приложений и платформ.
Говоря о средствах доступа к Windows-приложениям с применением терминальных служб Windows, следует назвать один из новых продуктов, появившихся на рынке относительно недавно, — Tarantella Canaveral IQ. К его особенностям относятся широта спектра поддерживаемых клиентских платформ (включая Linux и UNIX), наличие средств централизованного администрирования, возможность совместного применения с Cirix MetaFrame Access Suite, а также наличие удобных средств управления сохранением файлов и применением внешних устройств. В своем составе данный продукт содержит и средства управления паролями, которые позволяют обрабатывать события, связанные с появлением диалогов ввода пароля, централизованно хранить и изменять их.
Другой довольно популярный продукт данной категории — Netilla Security Platform, предназначенный для предоставления удаленного доступа к приложениям, выполняющимся на мэйнфреймах, под управлением Windows, Linux, UNIX. Он также включает средства управления паролями примерно с той же функциональностью, которая была описана выше.