Разработчики: | Avanpost (Аванпост) |
Дата премьеры системы: | 2004 |
Дата последнего релиза: | 2022/04/05 |
Технологии: | ИБ - Аутентификация |
Основная статья: Identity and Access Management - определения
Avanpost Access System - линейка технических средств, используемых при построении корпоративной системы идентификации и аутентификации и корпоративной инфраструктуры открытых ключей.
ПК Avanpost позволяет построить интегрированную систему управления идентификацией и доступом (IAM – Identity access management) пользователей к различным информационным ресурсам на основе PKI-инфраструктуры (Public Key Infrastructure – инфраструктура открытых ключей) с использованием двухфакторной аутентификации и отечественной криптографии, привязанной в режиме реального времени к кадровой системе организации. Потенциал модульной масштабируемой архитектуры ПК Avanpost позволяет в кратчайшие сроки внедрить систему в организации любого масштаба с функционирующими процессами любой сложности и эффективно обслуживать ее при достаточно разумных финансовых затратах, что крайне существенно в нынешней весьма непростой экономической ситуации.
2022
Возможность управлять технологическими и неперсонифицированными учетными записями
Компания «Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия, 5 апреля 2022 года сообщила о том, что обновила Avanpost IDM – систему управления учетными записями и правами доступа пользователей к корпоративным ресурсам организации. В ней появилась возможность управлять технологическими и неперсонифицированными учетными записями.
Технологические учетные записи (ТУЗ) – это те данные, которые позволяют сервисам пройти аутентификацию в других компонентах ИТ-инфраструктуры предприятия, например, обратиться к СУБД или из одной ИС в другую при помощи веб-сервиса и т. д. Для ТУЗ в Avanpost IDM реализован функционал учета систем, учетных записей, а также администраторов, имеющих к ним доступ. Обновление позволит контролировать изменение пароля технологической УЗ при увольнении или переводе администратора на другое место, а также поможет по мере необходимости автоматизировать процесс смены паролей технологических УЗ по расписанию.Метавселенная ВДНХ
С управлением ТУЗ на предприятии связан ряд проблем, которые создают угрозу информационной безопасности. Во-первых, технологические учетные записи обладают значительными привилегиями. Пароли от них знают как администраторы систем, использующих учетные записи, так и администраторы систем, предоставляющих сервис. Во-вторых, довольно часто на такие учетные записи устанавливается политика, отключающая срочность пароля. В-третьих, администраторы могут уволиться, а данные ТУЗ, к которым они имели доступ, остаются без изменений. Кроме того, ИТ-ландшафт компании меняется: например, системы выводятся из эксплуатации, а ТУЗ, предназначенные для них, «забываются».
Для решения всех этих проблем может понадобиться автоматизированный процесс управления ТУЗ, которого, как правило, на предприятиях нет. Обновленная Avanpost IDM сможет организовать необходимые бизнес-процессы. Система позволит проконтролировать процессы создания, управления доступом и вывода ТУЗ из эксплуатации, а также поможет организовать аудит всех прав доступа, связанных с ними, — сказал Александр Махновский, системный архитектор Avanpost IDM, компания «Аванпост». |
К неперсонифицированным УЗ относятся учетные записи, которые не ассоциированы с конкретными персонами. Такой метод авторизации часто используют предприятия с высокой текучестью кадров или большим количеством сотрудников, работающих посменно. Это могут быть курьерские и складские службы, грузовые компании, рестораны быстрого питания. Обычно для работы сотрудникам нужен только планшет или смартфон, на котором доступны базовые операции и инструменты навигации.
Чтобы не выдавать персональные устройства и учетные записи, бизнесу удобнее создать сразу пул УЗ, которые присваиваются сотрудникам в начале смены, что также порождает ряд проблем с информационной безопасностью. Пароли в таких учетных записях или никогда не меняются, или создаются одинаковыми для всего пула. Их могут знать все сотрудники, которые когда-либо пользовались УЗ или их выдавали. Любой, кто знает пароль от УЗ, может взять устройство и выполнить действие, нарушающее бизнес-процесс или правила конфиденциальности. Установить ответственность конкретной персоны в таком случае практически невозможно.
Обновленная версия Avanpost IDM предусматривает учет УЗ с определением ответственных лиц. Система позволит составить перечень потенциальных пользователей и настроить автоматическое изменение паролей по расписанию или другим важным событиям: например, увольнение ответственного сотрудника или его перевод на другую работу. Avanpost IDM также обеспечивает автоматизацию доставки паролей и управления доступом, проведение аудита прав. В целом обновленный функционал Avanpost IDM позволит компаниям эффективнее управлять большим количеством учетных записей и значительно повысить уровень информационной безопасности, — отметил Александр Махновский. |
Совместимость с «Ред ОС»
Отечественные разработчики РЕД СОФТ и «Аванпост» на основе успешно проведенных испытаний 20 января 2022 года подтвердили совместимость системы Avanpost IDM с операционной системой РЕД ОС.
Информационная безопасность – центральный вопрос в построении любой ИТ-инфраструктуры. Руководствуясь этим мы развиваем экосистему РЕД ОС, включая в неё все больше решений по ИБ. Симбиоз Avanpost IDM и РЕД ОС отвечает запросам наших заказчиков. Решение способно сократить число ошибок, вызванных «человеческим фактором», что предоставляет пользователю более высокий уровень безопасности при работе в среде операционной системы РЕД ОС, - прокомментировал Рустамов Рустам, заместитель генерального директора РЕД СОФТ. |
Операционная система РЕД ОС используется в государственных организациях, в том числе в силовых структурах. Поэтому для компании «Аванпост» сотрудничество с РЕД СОФТ и техническая совместимость наших продуктов являются значимой вехой стратегического развития в государственном секторе. В дальнейшем аналогичную работу мы планируем продолжить и для других наших продуктов, чтобы обеспечить комплексное решение вопросов управления доступом к информационным ресурсам на базе отечественной операционной системы РЕД ОС, – отметил Олег Губка, заместитель генерального директора по развитию. |
2021
Сертификация на соответствие требованиям безопасности в Республике Казахстан
Компания «Аванпост» 30 сентября 2021 года сообщила о сертификации на соответствие требованиям безопасности в Республике Казахстан своего флагманского продукта – Avanpost IDM. Получение сертификата позволит компании внедрять систему среди большего числа государственных организаций страны.
Успешное прохождение сертификационных испытаний подтверждает, что ПО Avanpost IDM соответствует всем требованиям безопасности, установленным в Государственном Стандарте РК СТ РК ISO/IEC 15408-3-2017 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
Компания «Аванпост» стояла у истоков рынка IDM в СНГ, еще в 2012 году предложив российскую систему управления правами доступа корпоративных пользователей.
В связи с усилением требований к безопасности средств защиты информации для реализации проектов в государственных и коммерческих организациях Республики Казахстан все чаще необходим сертификат соответствия требованиям регуляторов, поэтому было принято решение о прохождении сертификации. Кроме того, наличие сертификата дает возможность попасть в Национальный реестр доверенного программного обеспечения.
Значительную помощь в получении сертификата на ПО Avanpost IDM оказало ТОО «ПАЦИФИКА» – один из интеграторов систем информационной безопасности в Казахстане и странах СНГ. Компания оказала содействие в подготовке всех необходимых для прохождения сертификации документов, а также участвовала в сопровождении сертификационных работ посредством взаимодействия с аккредитованным органом по подтверждению соответствия и испытательной лабораторией.
На рынке Казахстана Компания `Аванпост` присутствует уже около 10 лет и постоянно укрепляет на нём свои позиции. В первую очередь, благодаря непрекращающемуся развитию своих продуктов, в частности Avanpost IDM. На сентябрь 2021 года его уже используют в крупных компаниях и организациях Казахстана. Благодаря полученному сертификату их число станет еще больше. Заказчики могут быть уверены, что решение полностью соответствует нормативным требованиям в области информационной безопасности, действующим в Республике Казахстан, — отметил директор по развитию «Аванпост» Олег Губка. |
Сертификация по последним требованиям ФСТЭК
Компания Аванпост 11 марта 2021 года сообщила о сертификации по последним требованиям ФСТЭК России актуальной версии одного из своих флагманских продуктов – Avanpost IDM 6. Теперь, помимо государственных информационных систем (ГИС) и систем персональных данных (ИСПДн), продукт Avanpost IDM будет применяться в таких областях, как защита критически важных объектов (КВО) и критических информационных инфраструктур (КИИ), включая подсистемы АСУ ТП.
Процедура получения обновленного сертификата стала намного сложнее, – прежде всего, за счет необходимости обеспечить соответствие продукта требованиям к уровням доверия, установленным Приказом ФСТЭК России (от 2 июня 2020 г. N 76). Так, теперь компании-разработчику необходимо выполнить дополнительные масштабные работы по комплексному тестированию и подготовке документации, включающей детальное описание продукта, применяемых защитных мер, процессов проектирования, безопасной разработки, тестирования, в том числе, на наличие уязвимостей, устранения недостатков, обновления и т.п.
Конечно, IDM является неотъемлемой частью любой серьезной системы информационной безопасности, – говорит Андрей Конусов, генеральный директор компании Аванпост. – Поэтому вполне объяснимо, что государство предъявляет все более жесткие требования к качеству таких систем, методологии создания и тестирования; задает понятные и прозрачные правила сертификации. Считаю, что для ответственного ИБ-вендора это несомненный плюс: необходимость соответствовать высокому уровню контроля делает разработку лучше и, одновременно, дает возможность госсектору без опаски включать прошедшие должную проверку решения в любые, даже критически значимые ИС. |
Возможность управления правами доступа на основе модели комплексной оценки рисков
Компания Аванпост – российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) – реализовала инструменты риск-ориентированного управления доступом IGA (Identity Governance and Administration) в своем флагманском продукте – Avanpost IDM. Об этом компания сообщила 25 февраля 2021 года. В рамках данной модели с каждым правом доступа (полномочиями и ролями в целевой системе), в зависимости от возможностей, предоставляемых ими и их критичности для бизнеса, соотносится определенный уровень риска. Показатели учетных записей и пользователей вычисляются на основе модели определения уровня риска и подлежат компенсации с помощью разнообразных мер. Реализация в полном объеме риск-ориентированной модели является новинкой для отечественного рынка, несмотря на то, что именно такой функционал все более востребован организациями, стремящимися управлять бизнесом на основе данных.
В качестве компенсационных мер могут применяться различные сценарии: эскалация запросов, ограничение времени доступа, плановый пересмотр критичных полномочий, усиление политик, применяемых к учетной записи и многие другие. По сути, этот функционал делает продукт интересным не только традиционным заказчикам решений класса IdM/IGA – ИТ и ИБ, но и подразделениям, отвечающим за внутренний комплаенс и управление рисками.
Разработчик отметил, что модель оценки рисков носит индивидуальный характер и зависит от сценариев использования, в которых планируется ее применять. Вместе с тем, существует универсальный набор базовых параметров, на которые требуется обратить внимание в первую очередь. К их числу специалисты компании Аванпост относят: обладание правом доступа (базовая переменная, показывающая уровень привилегии в системе; является основой для скоринга); совмещение прав (оценка отдельно взятых рисков может быть низкой, но их сочетание у одного лица может оказаться значительно выше, чем их простая сумма); способ получения права (право, полученное на основе ролевой модели несет меньше рисков, чем полученное по дополнительному запросу или вне IDM); неиспользование учетной записи («забытые» учетные записи значительно больше подвержены компрометации); статус пользователя (например, долгосрочный отпуск повышает риск компрометации его учетной записи); местоположение пользователя (риск злонамеренного использования привилегий пользователями, работающими удаленно, значительно выше, чем у офисных работников); тип пользователя (внешний подрядчик, обладающий критичным набором полномочий, несет дополнительный риск).
В итоге такая модель позволяет точно и своевременно выявлять комплексные риски и реагировать на них; в первую очередь, это риск компрометации учетной записи и риск злонамеренного поведения пользователя. В соответствии с этим, функционал системы дает возможность получить оценку уровня потенциального ущерба, который может причинить злоумышленник, завладевший отдельной учетной записью, а также определить вред, который может причинить человек, обладающий всем набором учетных записей.
Важным аспектом реализации в Avanpost IDM и основным отличием от западных решений является отсутствие необходимости разработки полноценной модели оценки рисков и утверждения компенсационных процедур для начала использования функции и получения практической пользы. На первом этапе достаточно оценить наиболее критичные полномочия и это моментально позволит определить список привилегированных учетных записей и их владельцев, а добавление простого процесса аттестации полномочий привилегированных учетных записей позволит сократить накопление доступов, особенно распространенное у ИТ-специалистов.
Функция оценки и управления рисками в IDM не так сложна, как это все еще представляют себе многие владельцы систем, – говорит Андрей Конусов, генеральный директор компании Аванпост. – Предлагаемое нами решение поможет не только выявить, но и взять под контроль привилегированные учетные записи, где и сосредоточена большая часть угроз для информационной безопасности любого предприятия. В период пандемии коронавируса это особенно актуально, ведь многие сотрудники, обладающие расширенными правами доступа в корпоративную информационную систему, работают удаленно, в том числе, и со своих личных устройств. |
2020: Сертификация на соответствие интеграционным стандартам SAP
Компания Аванпост – российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) – 27 октября 2020 года объявила о прохождении сертификации и присвоении продукту Avanpost IDM статуса сертифицированного интеграционного решения SAP. Данный международный сертификат подтверждает корректную работу Avanpost IDM в составе комплексных решений на базе SAP ERP и его соответствие интеграционным стандартам SAP.
Источник уточнил, что теперь Аванпост стал единственным отечественным разработчиком систем класса IDM, чьи интеграционные возможности с SAP официально подтверждены сертификатом со стороны производителя. При этом продукты Аванпост являются российской разработкой, и, следовательно, полностью соответствуют требованиям импортозамещения. Это сочетание дает компании Аванпост существенные конкурентные преимущества как на рынке государственных заказов, так и в корпоративном секторе.
Полученный сертификат позволяет проводить интеграционные работы с SAP на различных уровнях, в том числе – выполнять глубокую настройку взаимодействия IDM и ERP-систем для создания полностью работоспособного и защищенного решения. Источник отметил, что поскольку многие процессы в SAP организованы в соответствии со строгими регламентами, любые изменения или потенциальные управляющие воздействия на SAP-системы с внешней стороны часто вызывают у заказчиков тревогу. Именно поэтому влияние на систему со стороны продуктов, корректность работы которых не подтверждена компанией SAP, часто считается потенциально опасным, рассматривается как неприемлемое, а в некоторых компаниях их применение вовсе запрещено. Полученный же сертификат позволяет компании Аванпост внедрять решения даже в тех организациях, где требования к безопасности устанавливаемого ПО особенно строги и допускается применение только проверенных продуктов.
Источник добавил, что разработанное Аванпост интеграционное решение использует только стандартные возможности SAP и не требует установки в систему дополнительных компонентов, что значительно упрощает сопряжение и поддержку.
Я уверен, что получение нами сертификата SAP – событие, значимое не только для нашей компании, но и для всего рынка, говорит Андрей Конусов, генеральный директор компании Аванпост. – Конечно, для наших клиентов это откроет возможности для повышения защищенности своих информационных систем. Но, пожалуй, еще важнее, что решение, созданное российским разработчиком по сути протестировано на соответствие самым высоким международным стандартам, принятым в отрасли. А это говорит о том, что мы готовы к импортозамещению уже не на словах, а на деле. |
2019
Avanpost IDM 6.5
20 ноября 2019 года компания «Аванпост» сообщила о выпуске обновленной версии своего флагманского программного продукта Avanpost IDM 6.5, которая отвечает современным и перспективным потребностям организаций с высоким уровнем зрелости процессов управления доступом. Используя инструменты, появившиеся в этой версии, любая организация может перейти на более корректные и эффективные практики управления доступом, повысить вовлеченность бизнес-подразделений в управление ролевой моделью, а также привести описания ролей в соответствие с основополагающими международными стандартами, применяемыми в бизнес-ПО и в решениях класса IDM и IGA. По мнению разработчика, Avanpost IDM 6.5 представляет интерес для любых заказчиков, независимо от направления и масштаба деятельности. При этом заказчики получает возможность существенно улучшить качество и организацию процессов управления доступом сразу по многим направлениям, составить и реализовать наиболее удобную для себя дорожную карту таких улучшений.
Как отметили в «Аванпост», основное отличие Avanpost IDM 6.5 связано с переходом на многоуровневую иерархическую ролевую модель. Применявшаяся ранее одноуровневая (плоская) модель обладала рядом преимуществ на этапе приобретения российскими компаниями первого опыта применения IDM и IGA: упрощала внедрение IDM и позволяла автоматизировать большую часть работы по созданию ролевой модели на основе фактически существующих в организации прав доступа. Однако плоская модель неизбежно приводила к излишне тесной привязке ролей к конкретному ПО и встроенным в него механизмам управления доступом, сводя роль любого уровня (бизнес-, организационная, функциональная и др.) к набору полномочий в определенных элементах информационной системы (например, групп MS AD или ролей SAP), позволяющих выполнять те или иные действия. Отсутствие прямой связи с терминологией бизнеса делало такие роли непонятными и неудобными для бизнес-подразделений, ограничивало вовлеченность последних в процессы управления доступом, затрудняло процессы сертификации доступа и первичной реконсиляции, не позволяло поднять ролевую модель на уровень бизнеса. Кроме того, одноуровневая организация ролевой модели приводила к дублированию полномочий в различных ролях и в относящихся к ним правилах (например, правилах предотвращения SoD-конфликтов). Любое изменение ИТ-инфраструктуры требовало корректировки множества ролей (зачастую многих десятков, а иногда и сотен), что повышало трудоемкость поддержки ролевой модели в актуальном состоянии.
В Avanpost IDM 6.5 ролевая модель стала многоуровневой, не ограниченной по количеству слоев. При этом компания «Аванпост» рекомендует проектировать минимум два уровня: базовый – ИТ-роли и бизнес-роли различного вида: функциональные, проектные, организационные. Последний вид, по существу, является иерархическим словарем правил доступа сотрудников к тем или иным функциям информационных систем организации, которые, в отличие от плоской модели, определены абстрактно, т. е. без привязки к конкретному ПО и встроенным в него механизмам управления доступом. В разных подразделениях организации и на разных этапах развития информационной инфраструктуры одно и то же абстрактное описание может быть реализовано с помощью разного ПО. При этом связь абстрактных ролей с конкретным ПО задается в базовом слое многоуровневой ролевой модели и не выходит за его пределы.
Со слов разработчика, это дает большие преимущества. Во-первых, описания ролей и правил в надстроечном уровне понятны сотрудникам бизнес-подразделений, что позволяет им не только полноценно участвовать в процессах управления доступом, но и самостоятельно управлять бизнес-слоем ролевой модели. Во-вторых, верхние уровни ролевой модели меняются только при изменении требований бизнеса, но сохраняются неизменными при замене одного ПО другим. При этом такая замена (и другие изменения на уровне ИС) зачастую требует корректировки лишь базового слоя многоуровневой модели, с чем самостоятельно справляются сотрудники ИТ- или ИБ-подразделений. Иными словами, переход на многоуровневую модель приводит к перераспределению ответственности в области управления доступом и приведению его в полное соответствие с задачами, которые фактически решают разные категории сотрудников предприятия. В-третьих, механизм наследования ролей, реализованный в Avanpost IDM 6.5, дает возможность создавать ролевые модели любой глубины вложенности, устранив дублирование описаний и связанные с этим проблемы. Внедрение многоуровневой ролевой модели позволяет реализовать в Avanpost IDM 6.5 полностью прозрачные процессы первичной реконсиляции и сертификации имеющихся у пользователей прав доступа, охватить более широкий набор сценариев управления доступом, повысить уровень автоматизации и вовлечь в них пользователей.
Согласно заявлению разработчика в Avanpost IDM 6.5 добавлен механизм публикации ресурсов, который позволяет IDM-системе управлять правами в отношении объектов, которые создают и контролируют сами пользователи. При этом могут применяться такие модели авторизации, как ACL и контекстные роли. Благодаря чему у заказчиков появилась возможность полноценно контролировать доступ к разнообразным ресурсам: проектам (в системе управления проектами), сайтам Share Point, отчетам (например, в системе BI), совместно используемым файлам, «разделяемым пространствам» (в системах коллективной работы) и мн.др. Механизм публикации ресурсов устраняет разрывы и задержки в системе контроля доступа к таким ресурсам. С помощью механизма публикации ресурсов руководитель может, создав проект или иной ресурс, незамедлительно опубликовать его в IDM-системе, стать его владельцем и запросить необходимые права доступа для членов команды. В свою очередь, IDM сразу возьмет под контроль права доступа к этому ресурсу, применит к ним (правам) все необходимые процессы (например, проведет согласование заявки с определенными должностными лицами, а в дальнейшем – процедуры сертификации и аттестации), а также обеспечит базовые механизмы автоматизации (например, отзовет права при увольнении сотрудника).
Механизм публикации ресурсов опирается на права к объектам доступа, которые в Avanpost IDM 6.5 существует наряду с правами, предоставляющими глобальные полномочия уровня информационной системы. Всё это, по мнению разработчика, расширяет зону контроля со стороны IDM-решения, позволяет повысить точность управления правами и эффективно противодействовать более широкому набору рисков.
В представленной версии Avanpost IDM имеется целый ряд технических изменений и усовершенствований, которые, со слов разработчика, повышают удобство внедрения, использования и сопровождения IDM-решения. Основные из них:
- улучшен пользовательский интерфейс, появился востребованный интеграторами инструментарий настройки внешнего вида IDM-системы и приведения ее в соответствие с особыми требования заказчиков, включая брендирование. В Avanpost IDM можно создавать меню для разных групп пользователей, назначать действия, доступные участникам процессов (включая внешний вид и поведение), а также задавать множество других настроек.
- масштабным изменением стала переработка модуля самообслуживания (self service). С этой системой непосредственно взаимодействуют все пользователи IDM-решения, поэтому её улучшения дают ощутимый эффект.
- заметные изменения произошли в пользовательском интерфейсе. Его внешний вид, удобство и отзывчивость приведены в соответствие с изменившимися подходами к проектированию web-интерфейсов и с возросшими требованиями заказчиков. Выбранный разработчиками Avanpost IDM 6.5 стиль основывается на проверенных принципах Material Design, а для его реализации используются тщательно отобранные готовые компоненты. Применение готовой дизайн-системы и фреймворка не только ускорило разработку, но и расширило возможности кастомизации и брендирования.
- усовершенствован дизайнер процессов и механизм их тестирования. В представленной версии при сохранении описания процесса автоматически проверяется не только полнота настоек каждого этапа, но и все связи, выражения в условиях, входные и выходные переменные.
- появилась поддержка функций на языке программирования Python, что позволило заменить трудоемкое программирование (например, для реализации обращения бизнес-процесса к внешнему сервису) на написание простых скриптов – прямо в пользовательском интерфейсе консоли администратора. Стало проще модифицировать процессы, причем даже без остановки сервиса. Кроме того, на Python переведены все виды скриптов, имеющиеся в Avanpost IDM 6.5.
Совместимость с Альт 8 СП
29 октября 2019 года стало известно, что «Базальт СПО» и Аванпост официально объявили об успешном завершении тестирования на совместимость последних версий своих продуктов: сертифицированной операционной системы Альт 8 СП и системы централизованного управления доступом к корпоративным информационным ресурсам, прикладному и инфраструктурному ПО предприятия Avanpost IDM 6.0.
Подтверждена полная совместимость и корректность совместной работы указанных программных продуктов, что позволяет рекомендовать систему централизованного управления доступом к корпоративным ресурсам предприятия Avanpost IDM 6.0 для работы в операционной системе Альт 8 СП на аппаратной платформе х86_64.
Совместимость ОС Альт и решения Avanpost IDM сохранится и в дальнейшем, т. к. все ранее выполнявшиеся тесты будут повторяться при подготовке очередных версий ПО обеих компаний. Беспроблемная совместная работа программных продуктов компаний Аванпост и «Базальт СПО» снизит затраты заказчиков на внедрение, эксплуатацию и развитие современных информационных систем с высокими требованиями к информационной безопасности, а также позволит им, задействовав функции классического IDM и IGA, автоматизировать все процессы, связанные с контролем и управлением доступом, опираясь на импортонезависимое ПО.
Поддержка мультиязычности
3 сентября 2019 года стало известно, что компания Аванпост — российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — встроила универсальный механизм локализации в последние версии своих программных продуктов Avanpost IDM и Avanpost WebSSO, что сделало их пользовательские интерфейсы мультиязычными. Теперь это ПО полностью отвечает текущим и перспективным потребностям российских организаций, работающих в странах ближнего и дальнего зарубежья. Кроме того, этот проект стал важным этапом реализации экспортной программы компании.
Avanpost IDM и Avanpost Web SSO стали первыми российскими программными продуктами в своей области, поддерживающими мультиязычность и имеющими готовую англоязычную локализацию. При этом механизм локализации реализован не в кастомной версии, а в продукте для широкого рынка, что гарантирует качественную поддержку и не ограниченное по времени развитие.
Механизм локализации Avanpost IDM и Avanpost Web SSO позволяет подключать дополнительные языки простым добавлением в систему словарей. При этом каждый пользователь может выбрать наиболее удобный для себя язык пользовательского интерфейса из числа установленных, так как одновременное применение разноязычных интерфейсов — это штатный режим работы обоих программных продуктов.
На сентябрь 2019 года в комплект их поставки включена поддержка русского и английского языка, что закрывает практически все запросы клиентов Аванпост, включая организации национального масштаба стран Ближнего зарубежья. Словари будут добавляться по мере появления рыночного спроса, а также по запросам крупных заказчиков.
2018
Выпуск Avanpost IDM 6.0
Компания «Аванпост» 27 июня 2018 года объявила о выпуске очередного этапного релиза своего флагманского продукта – Avanpost IDM 6.0.
Данная версия выпущена на 6 месяцев раньше намеченного срока, что связано с необходимостью поддержать заказчиков, готовящихся к запуску крупных проектов, связанных с переходом на импортонезависимое ПО, цифровой трансформацией организаций и реализацией элементов цифровой экономики, а также развитием систем управления предприятиями, — пояснили в компании «Аванпост». |
Linux: поддержка СУБД PostgreSQL и портирование бизнес-логики
Linux-версия Avanpost IDM 6.0 может использовать высокопроизводительную СУБД PostgreSQL / Postgres Pro (наряду с проприетарными СУБД Microsoft и Oracle). При этом система может устанавливаться и на высоконагруженные и катастрофоустойчивые конфигурации Postgres Pro, что полезно, когда IDM-система работает в режиме критически важной информационной системы крупной организации.
На СУБД Postgre реализованы не только базовые функции Avanpost IDM, но и весь набор инструментов управления ролевыми моделями, обеспечивающий методически корректное внедрение и сопровождение IDM-решений, а также аудит прав доступа.
Перенос бизнес-логики в Linux также прошел безболезненно. Уже несколько лет «Аванпост» готовилась к портированию IDM-системы на другие платформы (ОС, СУБД, фреймворки). В частности, при подготовке Avanpost IDM 5.0 ядро IDM было полностью переработано, чтобы ослабить зависимость от конкретных платформ и фреймворков, а вся бизнес-логика стала платформонезависимой.
Замена движка Workflow
Наиболее сложная задача возникла в связи с необходимостью замены движка бизнес-процессов. В Windows-версии Avanpost IDM создание различных заявок и соблюдение регламентов их обработки контролирует подсистема Avanpost Workflow, опирающаяся на компоненту Windows Workflow Foundation (WWF) платформы .NET Framework. В NET Core (открытая версия .NetFramework) библиотека WWF и ряд других важных средств Enterprise-разработки не вошли, что потребовало их замены. Особая сложность отказа от WWF была связана с тем, что библиотека плохо документирована, а устроена так, что отделить бизнес-логику невозможно, вследствие чего программный код движка процессов был полностью зависим от WWF.
Специалисты «Аванпост», проанализировав практически все активно развивающиеся системы управления бизнес-процессами с открытым кодом, выбрали систему Workflow Core, которая обладает достаточной функциональностью, приемлемо документирована, поддерживается активным сообществом разработчиков и распространяется по лицензии MIT, которая хорошо согласуется с бизнес-моделью «Аванпост».
Поэтому до завершения отладки транслятора схем процессов и всей технологии автоматической миграции в компании не рекомендуют переход с версии 5.8 на 6.0. Организациям же, впервые внедряющим Avanpost IDM, лучше сразу выбирать версию 6.0.
Модули сопряжения (коннекторы)
В Linux-версии Avanpost IDM 6.0 была решена еще одна практически важная задача, связанная с применением платформозависимых модулей сопряжения (коннекторов) IDM-системы и различных управляемых систем инфраструктурного и прикладного уровня (служб каталогов MS AD, СУБД, СЭД, портальных решений и др.). В таких коннекторах используются средства, которые невозможно портировать в Linux: COM-объекты, библиотека MFC или, например, библиотеки сценариев Power Shell, не поддерживающиеся напрямую в NET Core).
Чтобы заказчики могли использовать все эти коннекторы в Linux, в Avanpost IDM 6.0 был создан отдельный сервер коннекторов, который может работать на выделенной машине с ОС Windows, где он и запускает платформозависимые коннекторы. Такое решение позволило унаследовать весь парк коннекторов, не меняя их, и избежать огромной работы по устранению зависимости коннекторов от платформ и аккуратному тестированию их платформонезависимых версий.
Платформонезависимые же коннекторы без каких-либо сложностей могут использоваться при работе Avanpost IDM 6.0 как в Windows, так и в Linux.
Изменение архитектуры ядра IDM
Переработка ядра для Avanpost IDM 5.0 была направлена не только на то, чтобы сделать бизнес-логику платформонезависимой. Кроме того, архитектура ядра была полностью изменена и стала микросервисной. Это изменение было сделано главным образом в расчете на рост популярности SaaS-архитектуры в корпоративной среде.
Однако Сохранение микросервисной архитектуры неизбежно создало бы нарастающие проблемы по мере добавления IGA-функций в ряду минорных версий (6.1, 6.2, 6.3…) Avanpost IDM. Как пояснили разработчики, чтобы избежать этого, в Avanpost 6.0 архитектура ядра была вновь существенно изменена: ряд сервисов (синхронизация с доверенными источниками и подготовка и редактирование кадровых данных) был интегрирован в ядро, а другие сервисы были слиты или укрупнены. В итоге повысилась прозрачность бизнес-логики всего продукта, упростилась отладка, администрирование и выявление инцидентов. И главное: Avanpost IDM теперь полностью готов к реализации большого комплекса функций IGA.
Переход к Agile-методикам
В «Аванпост» внедрение agile-методик началось в 2015 году. Но именно Avanpost IDM 6.0 стала первоймажорной версией ключевого программного продукта, вся разработка и жизненный цикл которой полностью контролируется с помощью agile, отметили в компании.
Переход к agile в продуктовой разработке, совместно с параллельным внедрением непрерывной интеграции (от сборки версии до развертывания и передачи в эксплуатацию) и автоматизированного тестирования, ускорил выпуск релиза Avanpost IDM 6.0, а также позволил интегрировать в жизненный цикл (ЖЦ) продукта обратную связь с рынком и оперативную реакцию на новые потребности пользователей.
Продуктовые команды «Аванпост» работают по agile-методике близкой к FDD (feature-driven development). При подготовке промежуточных версий Avanpost IDM будет использоваться Scrum, поскольку эта agile-методика лучше других подходит для добавления функций в ПО с хорошо проработанной и стабильной архитектурой системы и моделью предметной области. А к FDD компания будет возвращаться при создании этапных релизов Avanpost IDM и других продуктов.
Ожидается, что попеременное применение FDD и Scrum в ЖЦ продуктов позволит оптимизировать расходы на разработку: FDD дороже Scrum (за счет наличия аналитических этапов), применение Scrum на длинных отрезках ЖЦ программного продукта снизит себестоимость его развития.
Выпуск Avanpost IDM 5.8
Компания «Аванпост» — российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — 12 апреля 2018 года выпустила следующую версию своего флагманского продукта для контроля и управления учетными записями и доступом к корпоративным ресурсам организации — Avanpost IDM 5.8. Основные изменения и нововведения этой версии направлены на оптимизацию трудозатрат при внедрении и сопровождении продукта. Кроме того, в Avanpost IDM 5.8 добавлены функции, связанные с управлением ролевыми моделями и удобством использования IDM-решения в крупных организациях.
По словам разработчиков, в результате всей совокупности реализованных нововведений снизились трудозатраты на первичное развертывание и сопровождение IDM-системы. Так, проведенное в марте 2018 года обучение специалистов компаний-интеграторов показало, что квалифицированному инженеру, ранее не знакомому с продуктами Avanpost, на установку, развертывание и запуск Avanpost IDM 5.8 нужно в два с лишним раза меньше времени, чем версии 5.7 (например, в неотказоустойчивой конфигурации — 3 часа вместо 6-7). Кроме того, теперь требуется меньше ресурсов на разбор и решение типичных инцидентов. Упростился и разбор инцидентов, связанных с синхронизацией данных из кадровых источников, а также анализ взаимодействия IDM-решения с управляемыми системами, рассказали в компании.
При подготовке версии 5.8 инженеры «Аванпост» собрали и проанализировали требования технических специалистов и архитекторов компаний-интеграторов, реализующих проекты по внедрению продукта, а также аналитиков и специалистов по сопровождению компаний-заказчиков, активно использующих и развивающих решения на базе Avanpost IDM. Кроме того, был обобщен опыт собственной службы технической поддержки клиентов компании. Этот подход позволил при работе над Avanpost IDM 5.8 сконцентрироваться на ожидаемых нововведениях, связанных с тремя основными задачами:
- значительное упрощение первичного развертывания и настройки процессов;
- повышение прозрачности реакций IDM-решения и множества управляемых им систем на кадровые события;
- создание инструментов, позволяющих автоматизировать обработку типовых ошибок, порождающих волну инцидентов (например, при недоступности управляемой системы).
В Avanpost IDM версии 5.8:
- Кардинально упрощена система управления конфигурацией всех компонентов IDM-решения. Теперь конфигурации всех функциональных подсистем и подключаемых плагинов (коннекторы, вспомогательные библиотеки бизнес-процессов) объединены и встроены непосредственно в основные конфигурационные файлы системы. Кроме того, конфигурации многочисленных дополнительных модулей теперь могут ссылаться непосредственно на значения параметров основных подсистем. Всё это упростило описание конфигураций, сделало их более гибкими, целостными и простыми в сопровождении.
- Переработан пользовательский интерфейс служебных программ (утилит), применяемых для связывания учетных записей, импорта текущих прав доступа пользователей и др. А на базе встроенного в Avanpost IDM инструментария управления ролевыми моделями (RoleManager) создан более простой инструмент RoleMiner, облегчающий аналитическую работу, сопровождающую разработку и оптимизацию ролевых моделей организаций. *Изменились шаблоны прав в ролях IDM, теперь они пишутся на языке Python и могут определять наборы прав, зависящие от атрибутов пользователя.
- Оптимизирован редактор шаблонов почтовых уведомлений, с помощью которых система информирует о поступлении новых заявок, о поставленных в очередь ранее поступивших заявках, об изменении статуса и об эскалации запросов, а также о других событиях, представляющих интерес для заказчика. Теперь в этом редакторе имеется описание модели данных объекта, по которому формируется уведомление, и появилась возможность добавлять нужные переменные одним кликом. Это ускоряет разработку и изменение шаблонов, сокращает количество ошибок при их редактировании и, в конечном счете, подталкивает к созданию более содержательных уведомлений (с большим числом переменных).
- Добавлены базовые схемы бизнес-процессов, что упростило запуск подсистемы самообслуживания.
- Полностью изменена схема ведения системных журналов (логов) продукта. В частности, пересмотрены формулировки сообщений и проанализирована необходимость вывода определенных сообщений, корректно определены уровни, на которых выводятся разные сообщения. Благодаря этому журналы стали информативнее, а число отвлекающих сообщений уменьшилось.
- Добавлена возможность выделения логов подключаемых модулей сопряжения (коннекторов), а наиболее важные сообщения вынесены прямо в пользовательский интерфейс продукта, что встраивает эти сообщения в контекст исполняемого задания.
В компании также отметили появившееся в Avanpost IDM 5.8 множество возможностей для специалистов, занимающихся сопровождением и развитием ИТ-решений, созданных на базе этого продукта. Среди них: массовый перезапуск задач, проверка реакции на кадровые события, гибкая система внутренних ролей, дополнительные возможности настройки парольных политик, расширения для интерфейсов коннекторов, позволяющие упростить их разработку для некоторых типов систем и др.
Avanpost PKI 5.4 интегрирован со СМЭВ и ЕСИА
Avanpost PKI 5.4 интегрирован с единой системой межведомственного электронного взаимодействия (СМЭВ) и поддерживает как проверку данных получателей сертификатов через сервисы органов государственной власти, так и публикацию сертификатов в единую систему идентификации и аутентификации (ЕСИА). Обе функции являются требованиями действующего законодательства в отношении аккредитованных удостоверяющих центров.
Распространение и развитие электронных услуг и торговых площадок привело к значительному росту интереса физических и юридических лиц к средствам квалифицированной электронной подписи. В начале 2010-х произошло расширение рынка, и, соответственно, увеличилось число аккредитованных коммерческих удостоверяющих центров. Как и в любой другой сфере, связанной с финансами, на этой волне появились недобросовестные участники рынка и новые схемы компьютерных преступлений. Так, одним из широко распространенных видов мошенничества стал перевод накоплений физического лица в негосударственный пенсионный фонд с использованием незаконно выпущенного сертификата ЭП. Регулятор отреагировал на это ужесточением правил и ответственности участников — как с помощью организационных, так и с помощью технических средств.
Действующее законодательство предъявляет к аккредитованным удостоверяющим центрам следующие требования, которые могут быть выполнены путем интеграции программного обеспечения УЦ с несколькими сервисами, доступными в СМЭВ:
- Удостоверяющий центр с использованием инфраструктуры должен проверять и уточнять сведения, предоставленные заявителем для получения квалифицированного сертификата — следует из ч. 2.2 статьи 18 Федерального закона от 06.04.2011 №63-ФЗ;
- При выдаче квалифицированного сертификата удостоверяющий центр должен регистрировать сертификат, а также, по желанию, лицо, которому выдается сертификат в единой системе идентификации и аутентификации (ЕСИА) — следует из ч. 5 статьи 18 Федерального закона от 06.04.2011 №63-ФЗ.
В настоящее время продукт Avanpost PKI — система для управления инфраструктурой открытых ключей, позволяющая автоматизировать выполнение требований Федерального закона от 06.04.2011 №63-ФЗ «Об электронной подписи», с поправками, внесенными Федеральным законом от 12.03.2014 №33-ФЗ и Федеральным законом от 30.12.2015 №445-ФЗ.
Для выполнения требований части 2.2 Avanpost PKI проверяет данные запроса на сертификат для физического лица через сервис Пенсионного фонда России по проверке СНИЛС, а при выпуске сертификата для юридического лица — запрашивает и проверяет данные с использованием сервиса «Предоставление кратких сведений и/или выписки из ЕГРЮЛ/ЕГРИП по запросу органов государственной власти» Федеральной налоговой службы РФ.
Требования части 5 статьи 18 выполняются путем интеграции с «Электронным сервисом регистрации пользователей Единой системы идентификации и аутентификации». Avanpost PKI ищет субъект в каталоге ЕСИА и публикует выпущенный для него сертификат. Если же субъект не найден, система самостоятельно выполняет регистрацию, после чего добавляет сертификат в каталог. Помимо сценария для новых (или перевыпускаемых сертификатов), Avanpost PKI позволяет публиковать ранее выпущенные сертификаты в ЕСИА.
Наиболее крупные удостоверяющие центры, обладающие информационными системами собственной разработки (например, СКБ «Контур» или Taxcom) выполнили вышеуказанные требования законодательства еще в 2016 году. Но более мелким участникам рынка, включая множество отраслевых УЦ, выполнить эти требования затруднительно из-за отсутствия необходимой экспертизы в разработке ПО и в системной интеграции. Кроме того, сервисы СМЭВ непрерывно развиваются, что требует постоянной доработки интегрированных систем, что также весьма затруднительно для большого числа организаций. На текущий момент, использование решения компании Аванпост позволит им закрыть и это требование регулятора. Больших усилий это не потребует, т. к. для подключения удостоверяющего центра к единой системе межведомственного взаимодействия (СМЭВ), компании, использующей Avanpost PKI, придется решить только организационные вопросы, техническую же составляющую и регулярные обновления она получит «из коробки».
В свете вступления в силу с 31.12.2017 очередного пакета поправок, внесенных Федеральным законом от 30.12.2015 №445-ФЗ, уточняющего и, в очередной раз, ужесточающего требования к работе удостоверяющих центров, реализация этой функции не будет лишней для любого УЦ, выпускающего квалифицированные сертификаты.
2017
Сертификат ФСТЭК России
Компания «Аванпост» 7 декабря 2017 года объявила о получении сертификата соответствия, удостоверяющего, что Avanpost IDM отвечает требованиям руководящих документов ФСТЭК России на отсутствие недекларированных возможностей (НДВ) по 4-му уровню контроля и на соответствие ТУ (то есть, на совпадение реальных и декларированных в документации функциональных возможностей). Сертификат соответствия № 3765 от 30.06.2017 г. выдан по результатам сертификационных испытаний, проведенных испытательной лабораторией научно-производственным объединением «Эшелон» (аттестат аккредитации № СЗИ RU.0001.01БИ00.Б018 от 18.04.2017).
По утверждению «Аванпост», программный продукт компании стал первым в России IDM-решением, сертифицированным именно как средство защиты информации (СЗИ). Это позволяет применять Avanpost IDM в государственных информационных системах (ГИС) и системах обработки персональных данных (ИСПДн) для реализации соответствующих мер защиты.
По словам разработчиков, Avanpost IDM защищает организацию от множества угроз, связанных:
- со случайными и преднамеренными ошибками ИБ-персонала и администраторов ИС при назначении прав доступа;
- с длительными задержками, неизбежными при ручном исполнении заявок на изменение таких прав;
- с быстрым устареванием ролевых моделей;
- с неконтролируемыми расхождениями между ролевой моделью и фактическими правами пользователей;
- с появлением у сотрудников шлейфа избыточных прав доступа;
- с накоплением в информационной системе так называемых «мертвых душ» (уволенных сотрудников, сохраняющих права доступа к информационным системам).
Благодаря встроенной технологии аудита прав доступа Avanpost IDM позволяет выявлять и исправлять соответствующие ошибки, даже если они возникли еще до внедрения. В то же время, в Avanpost IDM встроен комплекс инструментов для создания ролевых моделей и поддержания их в актуальном состоянии. Кроме того, IDM-система располагает большим числом готовых модулей сопряжения (коннекторов) с кадровыми системами и с всевозможными управляемыми элементами ИС, включая операционные системы, службы каталогов, СУБД, серверы приложений, всевозможное прикладное ПО (в том числе, на базе платформы 1С:Предприятие). Также имеются зрелые методики и инструментарий разработчика, позволяющие компании «Аванпост», её партнерам и заказчикам разрабатывать коннекторы — без необходимости глубоко погружаться в принципы работы IDM-решения. Благодаря этому для Avanpost IDM созданы модули сопряжения, позволившие полностью интегрировать в корпоративную систему управления доступом как популярное на отечественном ИТ-рынке российское ПО, так и нетиражируемые «самописные» разработки, выполненные интеграторами и самими заказчиками.
Avanpost IDM может применяться не только самостоятельно, но и в сочетании с другими программными продуктами линейки Avanpost, отвечающими за все аспекты работы с открытыми ключами и токенами (Avanpost PKI) и за однократную аутентификацию пользователей ИС (Avanpost SSO и Avanpost WebSSO). В этом случае организация получает комплексную систему защиты от несанкционированного доступа.
Выпуск Avanpost IDM 5.5
3 октября 2017 года компания "Аванпост" выпустила очередную версию своего продукта — Avanpost IDM 5.5. Она содержит большое количество функциональных доработок и усовершенствований, благодаря которым продукт стал соответствовать требованиям крупных российских организаций-заказчиков.
По мнению разработчиков, Avanpost IDM 5.5 представляет первостепенный интерес для всех категорий заказчиков: крупных коммерческих организаций, госкорпораций, федеральных органов власти, ведомств, имеющих филиальную структуру на всей территории страны.
Главные изменения связаны с реализацией политик обработки кадровых событий, оптимизацией средств построения ролевых моделей для организаций с разветвленной структурой и с созданием механизма разрешения SOD-конфликтов. Кроме того, встроенные средства организации электронного документооборота стали более функциональными, также расширился набор модулей сопряжения (коннекторов) Avanpost IDM с различными управляемыми системами (в первую очередь, с российским инфраструктурным и прикладным ПО).
Политики обработки кадровых событий
Теперь Avanpost IDM содержит гибкие средства настройки политик обработки кадровых событий (приема на работу и увольнения, изменения должности и мн. др.). Для структурных подразделений, должностей или произвольных списков пользователей стало возможным не только выбирать сценарий автоматического реагирования системы (из числа предопределенных, а также настроенных в ходе внедрения), но и задавать тонкие нюансы такой обработки.
При этом весь функционал создания и настройки сценариев обработки кадровых событий встроен в Avanpost 5.5 и доступен в интерфейсе администратора IDM-системы. Как результат, уполномоченные сотрудники заказчика могут самостоятельно описывать и менять политики обработки кадровых событий — без необходимости доработки или обращения к интегратору. При этом возможности редактора политик покрывают практически все потребности любой крупной организации.
Ролевые модели крупных организаций с разветвленной структурой
Целый ряд нововведений в настройке ролевой модели упрощает создание и сопровождение ролевых моделей в крупных территориально распределенных организациях.
Реализованный в версии 5.5 механизм позволяет создавать универсальные роли, автоматически формирующие состав прав для получающего ее пользователя — в зависимости от его данных.
Как подчеркнули в "Аванпост", механизм вычисления ролей критически важен для применения Avanpost IDM в крупных организациях с разветвленной структурой. При этом, как и в случае с редактором политик обработки кадровых событий, механизм вычисления ролей встроен в Avanpost 5.5 и доступен заказчику через пользовательский интерфейс.
Разрабатывая механизм вычисления ролей, влияющий на жизненный цикл IDM, "Аванпост" провела обследование, включая консультации со своими клиентами — федеральными ведомствами и коммерческими организациями (Федеральная налоговая служба России, Россельхозбанк и ряд других). Анализ полученных данных позволил создать простое и гибкое решение, охватывающее большинство сценариев настройки ролевой модели для крупной территориально распределенной организации.
Кроме того, ряд усовершенствований в блоке настройки ролевых моделей упростил создание ролей, сопровождение и вывод из эксплуатации, сделал более удобной работу с архивными ролями, а также предоставил пользователям расширенные средства фильтрации для поиска ролей.
Разрешения SoD-конфликтов
SoD (Segregation of duties) — это концепция разделения полномочий, основная идея которой состоит в предотвращении выполнения управляющих и контролирующих действий одним лицом. При практическом применении этой концепции большое значение приобретает выявление и предотвращение SoD-конфликтов, т.е. такого разделения полномочий, которое приводит к противоречиям в правах пользователя (например, к взаимоисключающим полномочиям). Подобные конфликты являются причиной злоупотребления правами пользователями.
Механизм предотвращения SoD-конфликтов, встроенный в Avanpost IDM 5.5:
- защищает организацию от нарушения политики SOD, обеспечивает высокий уровень автоматизации, позволяет устанавливать сложные критерии назначения роли, настраивать ограничения использования роли — с минимальным уровнем ложных срабатываний, утверждают разработчики.
- повышает целостность ролевой модели, так как защищает от технических ошибок (например, устанавливает запрет на удаление роли при наличии зависимостей). Кроме того, в Avanpost IDM 5.5 сотрудник не сможет получить роль, на которую у него нет полномочий.
- упрощает сопровождение IDM-решений — теперь работа с несколькими тысячами ролей не представляет значительных трудностей.
Документооборот, сопровождающий работу IDM
Расширены возможности подсистемы управления процессами обработки заявок и поддержания соответствующего электронного документооборота:
- блоки бизнес-процессов интегрированы с системой событий, а сценарии выхода из блока можно задавать в графическом редакторе.
- оптимизировано реагирование на ошибки времени выполнения (например, нужный ресурс недоступен) — теперь такие заявки попадают к администратору IDM, который может выполнять корректирующие действия, после чего обработка заявки будет продолжена.
- уменьшено число необратимых действий, а также улучшены механизмы напоминаний и эскалации заявок.
- бизнес-процессы в Avanpost IDM стали асинхронными: после любого действия пользователя интерфейс ПО «замирает» на минимальное время, после чего дальнейшая обработка заявки выполняется в фоновом режиме. Это привело к качественному скачку отзывчивости интерфейса.
- оптимизирован механизм импорта/экспорта схем бизнес-процессов — это особенно значимо для больших схем, с которыми оперируют крупные организации.
Модули сопряжения IDM с другими элементами ИС
В Avanpost IDM доступно большое число готовых коннекторов к популярному российскому ПО (например, 1С:Предприятие или СЭД DocsVision), а также к ПО с открытым кодом: ОС на основе Linux, СУБД, всем распространенным реализациям каталогов LDAP (Open LDAP, 389 LDAP, Free IPA) и др.
Вместе с тем, "Аванпост" продолжает создавать коннекторы, а также обеспечивает совместимость существующих коннекторов c актуальными версиями соответствующего ПО. В частности, была проверена совместимость Avanpost IDM 5.5 с распространенными зарубежными ОС на базе Linux (Red Hat, SUSE, Ubuntu и Debian), а также с российской операционной системой уровня предприятия (ОС АЛЬТ компании «Базальт СПО»). Во всех случаях универсальный коннектор Avanpost IDM для ОС Linux обеспечивает как управление пользователями и их правами, так и извлечение учетных данных, на которое, в свою очередь, опираются инструменты автоматизированного построения ролевых моделей и проведения аудитов фактических прав доступа.
Avanpost IDM в связке с WebSSO
IDM-решение "Аванпост" в связке с Avanpost WebSSO автоматически приобретает ряд функций, важных для управления правами доступа на крупных порталах и в SaaS-сервисах с очень большим числом (миллионами) пользователей, отметили в компании.
Так, работая в связке с программным продуктом Avanpost WebSSO (однократная аутентификация пользователя в приложениях всех типов: облачных, мобильных, традиционных), IDM-система "Аванпост" автоматически приобретает функцию «проверки на лету» (on-demand provisioning). В такой конфигурации IDM-система вообще не требует коннектора для прямого взаимодействия с теми ИТ-системами, которые работают с WebSSO через стандартные протоколы аутентификации. Реагируя на такой запрос, WebSSO «спрашивает» IDM-систему, соответствует ли он правам пользователя.
Для определенных видов информационных систем (например, порталы или SaaS-сервисы, с которыми может работать большое число внешних пользователей) это дает целый ряд возможностей:
- Во-первых, при такой схеме аудит прав не требуется, поскольку IDM каждый раз проверяет права пользователя в указанной системе по ролевой модели, что исключает отклонение фактических прав в системе от утвержденных.
- Во-вторых, упрощается интеграция IDM с другими элементами ИС: если при разработке коннектора нужно реализовать 12 функций, то при подключении через WebSSO их всего две.
- Наконец, заказчик получает возможность сократить затраты на лицензии, поскольку учитывается только фактическое использование ПО.
Число активных лицензий Avanpost PKI превысило 1 млн
18 мая 2017 года компания Аванпост объявила о превышении числа в 1 млн активных лицензий продукта Avanpost PKI. Общее же количество пользователей всех продуктов линейки Avanpost вплотную приблизилось к 3 млн.
Согласно заявлению компании, для большинства заказчиков (~70% внедрений) Avanpost PKI - системообразующая ИБ-технология. Она поддерживает все аспекты работы с открытыми ключами и электронной подписью, полный набор функций работы с токенами, включая служебный документооборот, связанный с формированием и удовлетворением заявок на выдачу и подготовку носителей, с изъятием компрометированных или планово снятых с обслуживания носителей.
Avanpost PKI (а также IDM и SSO) сертифицирован ФСТЭК России и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
Согласно статистике вендора, на 18 мая 2017 года, наибольшее число лицензий на Avanpost PKI (55%) приходится на российские банки, 25% — на госсектор и крупных муниципальных заказчиков, 10% использует нефтегазовый сектор, 10% — другие предприятия и организации.
2016
Плагины к Avanpost SSO
14 ноября 2016 года компания "Аванпост" сообщила о расширении линейки плагинов, используемых в работе Avanpost SSO.
Плагины работают под браузерами Internet Explorer (IE), Google Chrome, Mozilla Firefox.
Avanpost SSO – модуль, обеспечивающий прозрачную аутентификацию и идентификацию пользователей. Он предназначен для создания системы единого входа и формирования механизмов многофакторной аутентификации для доступа к различным информационным системам. Решение помогает централизованно управлять паролями пользователей в соответствии с политикой паролей, и автоматически аутентифицировать пользователей в обслуживаемых системой приложениях. В качестве связующего звена между сотрудниками и приложениями используются плагины.
При загрузке браузера плагин обращается к Avanpost SSO и запрашивает шаблоны с параметрами страниц, которые необходимо отслеживать. После этого в автономном режиме фиксирует - на какие страницы заходит пользователь. Если страница соответствует шаблону, плагин запрашивает у Аванпост SSO логин и пароль для сотрудника.
Аванпост SSO в соответствии с принятой в компании политикой безопасности может дополнительно запросить PIN к токену, биометрические данные и т.п. При корректности предоставленной специалистом информации, Avanpost SSO передает логин и пароль, а плагин предоставляет доступ на нужный сайт.
До недавнего времени плагины, обеспечивающие связь между пользователем и программным обеспечением, функционировали под браузером IE (для работы Аванпост SSO c "толстым" клиентом плагинов не требуется). Специалисты компании "Аванпост" разработали инструменты, работающие под браузерами Google Chrome и Mozilla Firefox.
Решение Avanpost SSO для управления паролями своих сотрудников применяют крупнейшие российские компании. У многих из них использование определенного браузера является корпоративным стандартом, который мы не можем игнорировать. Разработка новых плагинов для нашего продукта – это вопрос удобства пользователей и стремления нашей компании соответствовать самым высоким требованиям заказчиков. |
Модернизирован конструктор бизнес-процессов
11 октября 2016 года компания Аванпост сообщила о выпуске модернизированного конструктора бизнес-процессов в релизе программного продукта Avanpost IDM 5.0.
Конструктор бизнес-процессов - часть модуля заявок. С его помощью определяются участники процессов и схема согласования документов в зависимости от параметров заявки.
Апдейт конструктора в Avanpost IDM 5.0 связан с необходимостью повышения гибкости этого инструмента. В предыдущей версии программного продукта механизм содействовал в настройке логики в зависимости от системы, к которой запрашивается доступ. Процесс был линейным, жестко регламентированным, ограничивал выбор вариантов согласования заявки. Крупным заказчикам, с которыми работает компания Аванпост, необходимо поддерживать большое количество сценариев взаимодействия, минимизировать необходимость доработок, в частности, для согласования доступа к разным информационным системам.
Модернизированный механизм помогает настроить процессы с использованием ветвлений, внутренних справочников Avanpost IDM 5.0, внешних справочников и других сущностей. В сценарии согласования есть возможность предусмотреть его зависимость от учетной записи, подразделения пользователя, его прав в системе.
Конструктор представляет бизнес-процессы в BPMN-нотации. Эта модель общепризнанна в профессиональном сообществе, удобна, как для технических специалистов и аналитиков, так и для обычных пользователей.
Усовершенствованный редактор поддерживает версионность бизнес-процессов. Документы в работе продолжают движение в соответствии с процессом, действующим на момент создания. Заявки, поступившие в систему после создания новой версии, проходят согласование по другим правилам.
Конструктор изначально обладает предустановленным набором базовых активностей: начало и окончание бизнес-процесса, управляющие конструкция (ветвление и выбор). К ним также относятся активности, которые позволяют организовать взаимодействие с пользователем (блок параллельного принятия решений, почтовые уведомления), внутренними и внешними сервисами (асинхронный и синхронный вызов сервиса).
В этой версии предусмотрена возможность добавить дополнительные активности. Например, делегирование действий пользователя, которое включается, когда заявленный для выполнения процесса сотрудник не смог в отведенное время выполнить задачу.
Конструктор помогает взаимодействовать с внешними справочниками и системами. После предоставления прав по заявке в IDM требуются дополнительные ручные действия администратора, то модуль автоматически создает наряд на выполнение этой задачи в системе Service Desk.
Пользователи получат больше возможностей и смогут оперировать учетными записями и ролями, настраивая их в соответствии с потребностями.
Движок бизнес-процессов, реализованный в 4-й версии, был одним из наиболее узких мест с точки зрения интеграции нашего продукта в бизнес-процессы крупных заказчиков. Его переработка, а также реализация графического редактора к нему – важнейшее технологическое нововведение 5-й версии Avanpost IDM. Он позволяет как организовать гибкий процесс согласования, в том числе параллельный, так и интегрировать систему с процессами, контролируемыми другими информационными системами, такими как системы Service Desk и системы документооборота. Его гибкость подтверждена в нескольких успешных проектах в крупных компаниях, уже приступивших к использованию Avanpost IDM 5.0. |
Программные продукты Аванпост внесены в реестр отечественного ПО
Реестр отечественного программного обеспечения пополнился решениями компании Аванпост. В соответствии с приказом Минкомсвязи России продукты линейки Avanpost включены в класс ПО, к которому относятся средства обеспечения информационной безопасности предприятия.
Экспертный совет при Минкомсвязи одобрил заявку компании-разработчика на добавление в реестр российских программ для электронных вычислительных машин и баз данных всей линейки решений:
- Avanpost IDM – система централизованного управления доступом к корпоративным ресурсам предприятия;
- Avanpost PKI – система управления всеми элементами PKI-инфраструктуры (токены, сертификаты, лицензии СКЗИ) из единого центра;
- Avanpost SSO – система управления аутентификацией пользователей (парольные политики, система единого входа в приложения и т.п.).
Системы комплексного управления доступом Аванпост являются полностью российской разработкой и хорошо известны на рынке. Их используют органы государственной власти федерального и регионального уровня, включая ФТС, ФНС и ДИТ Москвы, банки из ТОП-50, в частности, Россельхозбанк, Московский Индустриальный Банк, МТС Банк а также средние и крупные коммерческие организации различных сфер деятельности.
Avanpost PKI интегрирован с сервером электронной подписи КриптоПро DSS
Программно-аппаратный комплекс КриптоПро DSS предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) в интересах пользователей при взаимодействии с КриптоПро HSM. Интеграция реализована через веб-сервисы сервера электронной подписи. В результате внедрения администратор или пользователь Avanpost PKI получают возможность создавать запрос на выпуск сертификата с последующим одобрением на Удостоверяющем центре (УЦ), интегрированном с DSS. При создании запроса осуществляется генерация криптографических ключей в КриптоПро HSM, которые хранятся в нем в защищенном модуле.
Таким образом, стал возможен учет всех сертификатов пользователей, в том числе выпущенных на DSS, с опцией реагирования на кадровые события, например, отзыв сертификата при увольнении.
В результате разработки и интеграции пользователи смогут управлять всеми своими ключами и сертификатами, в том числе выпущенными на КриптоПро DSS, из единой консоли – личного кабинета Avanpost PKI.
Avanpost PKI 5.0 поддерживает работу как c известными на российском рынке версиями удостоверяющих центров, таких производителей как КРИПТО-ПРО, Microsoft, Сигнал-КОМ, Инфотекс (ViPNet), RSA (Keon), так и с более специфичными как Checkpoint и Валидата.
Avanpost PKI интегрирован со средством защиты от несанкционированного доступа Аккорд-АМДЗ
Работы проводились совместно с «ИнфоКрипт» - разработчиком средств криптографической защиты информации, средств защиты информации от несанкционированного доступа и технологическим партнером компании ОКБ САПР, производителя СЗИ семейства Аккорд.
Аппаратный модуль доверенной загрузки СЗИ НСД Аккорд для IBM-совместимых ПК – серверов и рабочих станций локальной сети обеспечивает защиту устройств и информационных ресурсов от несанкционированного доступа. Аккорд-АМДЗ производится в 6 вариантах, что позволяет использовать его на различных, с точки зрения шинных интерфейсов, машинах. Интеграция с Avanpost PKI реализована с унифицированным контроллером (PCI, PCI-X) Аккорд-5.5, сочетающим функции АМДЗ с аппаратно-реализованной криптографической подсистемой.
В результате разработки коннектора и интеграции пользователи смогут управлять всеми своими ключами и сертификатами через модуль Аванпост PKI, синхронизированный с базой данных СЗИ НСД Аккорд. Администратор или пользователь Avanpost PKI получили возможность создавать ключи на ключевых носителях, работающих с СЗИ НСД Аккорд , приостанавливать и возобновлять их действие или отзывать их.
Avanpost IDM 5.0
28 июня 2016 года компания Аванпост сообщила о выводе на рынок релиза системы Avanpost IDM 5.0.
Среди изменений в Avanpost IDM 5.0 – модуль самообслуживания со встроенным полнофункциональным графическим редактором бизнес-процессов. Кардинально переработан пользовательский интерфейс, улучшены прикладные программные интерфейсы, усовершенствован механизм назначения ролей.
Компания начинает продвижение Avanpost IDM 5.0 на рынке систем управления доступом, как самостоятельного продукта. До октября 2015 года Avanpost IDM 5.0 была частью программного комплекса «Avanpost», в который входили модули PKI и SSO. Выделение модулей в самостоятельные продукты дает возможность оптимизировать ценовую политику, более гибко управлять релизами.
В этом релизе системы усовершенствованный модуль самообслуживания помогает запрашивать дополнительные права доступа, согласовывать их изменения, менять пароли учетных записей в управляемых информационных системах. Также в Avanpost IDM 5.0 учтен один из современных трендов мирового развития IDM-систем – использование графического редактора бизнес-процессов. Его наличие повышает удобство пользования и позволяет программному продукту выйти на один уровень с западными разработками, в которых этот инструмент уже используется. Нововведения значительно увеличили гибкость решения.
Полностью переработан пользовательский интерфейс. В работах по его модификации приняли участие специалисты по юзабилити, учтены замечания и пожелания клиентов. Для верстки веб-приложений используется популярный CSS-фреймворк Bootstrap, что открывает широкие возможности для брендирования и кастомизации интерфейса к требованиям заказчиков.
Еще одна особенность версии - значительные улучшения прикладных программных интерфейсов. В частности, реализован механизм, позволяющий внешним системам работать со всеми объектами IDM. Этим решена проблема интеграции с системами класса Service Desk, SiEM-системами и другими продуктами.
Внесены изменения в программный интерфейс (API) для коннекторов к управляемым системам. Интерфейс четко определяет требуемые операциями параметры, упрощая разработку коннекторов. При этом сохраняется поддержка коннекторов, реализованных для IDM версии 4.0. Созданы инструменты обращения к внешним сервисам, что позволяет интегрировать процессы, управляемые в IDM, с процессами, автоматизированными в других системах предприятия.
Для упрощения и систематизации управления учетными записями в интегрированных системах изменен механизм назначения ролей и добавлена возможность генерации паролей в соответствии с определяемой для ресурса политикой. Сгенерированные пароли можно рассылать пользователям, их руководителям, владельцам и администраторам ресурсов. Версия ПО позволяет создавать карточки сотрудников, вносить изменения в их данные и справочники организационной структуры. Информация о пользователе из разных источников объединяется в одну карточку по ключу.
Наша цель – создать продукт, не уступающий лидерам мирового рынка, но при этом глубоко учитывающий особенности и специфику российских заказчиков. Сегодня российский бизнес, особенно средний, находится между двумя нуждами – экономить на новых проектах или обновлении работающих систем и надежно защищать информационные ресурсы компании. И наша разработка, с учетом ее стоимости и функциональности, решает обе эти задачи гораздо эффективнее, чем западные аналоги. Поэтому все больше заказчиков рассматривают Avanpost IDM как приоритетное решение для управления доступом. |
2015
Выпущено первое крупное обновление ПК Avanpost 4.1
В версии программного комплекса (ПК) «Avanpost 4.1» усовершенствован целый ряд функций модулей IDM и PKI. В итоге, упростилось использование системы в крупных территориально распределенных организациях, а также на предприятиях с большим числом внештатных сотрудников. Во многих случаях стало возможно существенно сократить набор ролей и обеспечить более гибкие сценарии согласования заявок на их изменение и выдачу сотрудникам.
В первую очередь отметим ряд усовершенствований подсистемы IDM Workflow, отвечающей за изменение прав доступа сотрудника на основе его заявки или заявки руководителя.
В модели информационной безопасности территориально распределенной организации, как правило, имеется как минимум два среза: собственно роли, определяющие доступ к тем или иным ИТ-системам, а также различные независимые от ролей ограничения, например, на доступ из конкретных территориальных единиц (центрального офиса и филиалов). Теперь прямо в заявке на получение роли можно выбирать значения ее свойств, отвечающих срезам модели ИБ. Так, можно выборочно указать объекты, на которых сотрудник получит указанную роль – и в заявке автоматически будут правильно назначены визирующие лица и маршрут согласования. В реальных организациях, где число срезов может быть достаточно большим, возможность легко комбинировать роли и свойства не только делает оформление заявок более гибким, но и позволяет сделать ролевую модель значительно более компактной и лаконичной.
Кроме того, для IDM Workflow были разработаны специальные отчеты, позволяющие территориально распределенным организациям со сложными сценариями визирования заявок на выдачу прав, следить за ходом процессов согласования, своевременно выявляя «зависание» заявок. Такой контроль значительно сокращает потери рабочего времени, связанные с задержками в выдаче прав доступа. Кроме того, в системе появились отчеты, позволяющие проанализировать частоту выдачи тех или иных прав.
По-новому реализовано управление правами пользователя при изменении должности. Раньше в подобных случаях система автоматически отзывала старые роли и назначала новые – в соответствии с действующей ролевой моделью. Эти изменения были связаны с датой приказа, после которой сотрудник уже не мог выполнять старые служебные обязанности. Теперь эти изменения могут быть применены не только автоматически, но и проведены через цикл переаттестации прав сотрудника, которым управляет подсистема IDM Workflow. В этом случае заявка автоматически создается и направляется по заранее настроенному пути, зависящему от входящих в нее ролей. Ответственные лица подтверждают отзыв старых и назначение новых ролей, вынося решение по всей заявке или выборочно для отдельных ролей. Новый механизм полезен во многих случаях, например, когда требовался период совмещения старых и новых должностей. Теперь все просто: заявка попадает на визирование и к старому, и к новому руководителям, которые отмечают нужную конфигурацию ролей.
В ПК «Avanpost 4.1» разграничение прав доступа администратором филиалов стало штатной функцией. Теперь IDM-систему, развернутую для всей организации и управляемую из одной или нескольких точек, можно настроить так, чтобы администраторы видели только сотрудников своей территориальной единицы (центрального офиса, регионального филиала, обособленного подразделения и др.) и, соответственно, управляли бы только правами этих пользователей, просматривали бы только их ошибки при назначении ролей, ошибки аудита и т. п. Это усовершенствование очень важно практически, поскольку позволяет совместить централизованную установку IDM-системы с децентрализованным администрированием.
Важнейшее изменение в работе с внештатными сотрудниками, которые не числятся в кадровой системе, связано с возможностью, минуя кадровую систему, вносить данные о них прямо в систему IDM – через Web-приложение с удобным графическим интерфейсом. Внештатных сотрудников можно включать в штатную структуру, менять их должности и статусы. Определенные возможности работы с внештатными сотрудниками имелись в ПК «Avanpost» и ранее, но теперь они значительно расширены и стали штатными.
Среди других усовершенствований отметим механизм иерархической классификации и каталогизации ролей, дополнительные возможности механизма выгрузки отчетов в различных форматах, а также появившуюся в модуле PKI возможность отправлять PIN-коды по SMS (этой функции нет в представленных на российском рынке конкурирующих решениях для управления ключевыми носителями – TMS).
Создан модуль сопряжения Avanpost 4.1 => DIRECTUM
4 марта 2015 года компания Аванпост объявила о создании модуля сопряжения (коннектора), связывающего подсистему IDM программного комплекса (ПК) «Avanpost 4.1» с системой электронного документооборота DIRECTUM.
В коннекторе DIRECTUM реализован интерфейс, необходимый ядру IDM. Новый коннектор Аванпост поддерживает все основные функции управления доступом, позволяя создавать, блокировать и разблокировать учетные записи, назначать и отзывать конкретные права и роли пользователям – в полном соответствии с действующей ролевой моделью и всевозможными кадровыми событиями (приемом на работу, увольнениями, должностными перемещениями и др.). Помимо этого, коннектор позволяет производить аудит прав пользователей в системе DIRECTUM.
Посредством интеграции с IDM, управление правами в популярной системе электронного документооборота DIRECTUM может быть полностью автоматизировано, что освободит ИТ-администраторов от рутинной работы по созданию учетных записей и управлению их правами вручную. Специалисты ИБ-подразделений благодаря этой разработке получают возможность контроля соответствия прав пользователей в ролевой модели.
ПК «Avanpost 4.1» интегрирован с системой управления предприятием Галактика ERP
18 марта 2015 года компания Аванпост объявила о выпуске двух модулей сопряжения (коннектора) программного комплекса (ПК) «Avanpost 4.1» с системой управления предприятием Галактика ERP и с системой Галактика Управление персоналом. Создание новых коннекторов укладывается в политику развития интеграционной инфраструктуры продуктов, направленную на расширения портфеля интеграционных модулей с популярными на российском рынке корпоративными системами.
Кадровый коннектор
Новый коннектор ПК «Avanpost 4.1» позволяет модулю IDM автоматически получать из системы «Галактика HCM» всю необходимую информацию, включая: справочники сотрудников, должностей, подразделений, информацию о приеме на работу, отпуске, увольнении, назначении и изменении данных сотрудника. Коннектор поддерживает режимы работы с полной и частичной синхронизацией данных. Коннектор является модулем для службы синхронизации Avanpost, он может быть использован как основной источник информации, а также совместно с коннекторами к другим видам источников.
Целевой коннектор
В коннекторе к целевой системе реализован полный протокол обмена данными с IDM-ядром. Соответственно, ПК «Avanpost 4.1» может управлять всеми настройками встроенной в «Галактика ERP» системы контроля доступа: создавать, блокировать и разблокировать учетные записи, назначать и отзывать конкретные права и роли пользователям – в полном соответствии с действующей ролевой моделью и всевозможными кадровыми событиями (приемом на работу, увольнениями, должностными перемещениями и др.). Также, Avanpost IDM получает возможность извлекать актуальные данные о фактических учетных записях и правах пользователей, включить кадровую систему в аудит прав доступа и выявлять отклонения от ролевой модели и при необходимости отменять их. Коннектор работает через программные интерфейсы стандартного административного клиента ERP Галактика.
Посредством сопряжения с IDM, управление правами в Галактика ERP становится полностью автоматизированным, что решает проблему нагрузки на администраторов, а специалисты ИБ получают рабочий инструмент всестороннего контроля доступа пользователей к функциям, а также отслеживания действий администраторов в части изменения доступа пользователей.
«Принимая во внимание новую стратегию импортозамещения многие компании выбирают российские автоматизированные системы для оперативного решения главных управленческих задач. По своим функциональным возможностям, полноте реализации процессов планирования система Галактика ERP не имеет аналогов среди российских ИТ-решений. Поэтому создание коннектора к системам управления предприятием Галактика ERP и Галактика Управление персоналом – актуальное событие для нашей компании, – поведал Андрей Конусов, генеральный директор компании Аванпост. – Сегодня программный комплекс Avanpost интегрирован практически со всеми кадровыми системами, широко распространенными в российских компаниях, что позволяет нам оставаться лидерами отечественного рынка IDM и успешно конкурировать с западными аналогами, теряющими свою популярность в новых экономических условиях».
Выполнена интеграция «Avanpost 4.1» с Microsoft SharePoint
3 июня 2015 года компания Аванпост сообщила о создании коннектора для связи подсистемы IDM программного комплекса (ПК) «Avanpost 4.1» с платформой Microsoft SharePoint.
Коннектор поддерживает все основные функции управления доступом, помогая управлять ролями и группами пользователей, создавать учетные записи, выполнять аудит прав в системе SharePoint. Интеграция с IDM поможет автоматизировать управление правами в системе SharePoint, что, по мнению разработчиков, избавит ИТ-администраторов от огромного объема рутинной работы по созданию учетных записей и управлению их правами вручную. Специалисты ИБ-подразделений получат возможность контроля соответствия прав пользователей в ролевой модели.
Коннектор действует через стандартные веб-сервисы системы - SharePoint Web Services, которые допускают удаленную работу с элементами системы. Таким образом, архитектурно ресурсу в IDM-решении будет соответствовать сайт или коллекция сайтов в SharePoint.
«Компания Аванпост продолжает преодолевать такие присущие лидирующим на рынке IDM-решениям недостатки в потребительских характеристиках, как высокая стоимость и отсутствие коннекторов к информационным системам, популярным в среде российских корпоративных пользователей. Наша новая разработка для популярного корпоративного решения по совместной работе Microsoft SharePoint призвана повысить организационную гибкость и расширить бизнес-возможности клиентов», - отметил Андрей Конусов, генеральный директор компании Аванпост.
«Avanpost IDM 4.3» поддерживает MS SQL Server
7 июля 2015 года компания Аванпост объявила о выходе версии «Avanpost IDM 4.3».
Наиболее значимая доработка этого релиза - поддержка реляционной СУБД MS SQL Server.
В качестве СУБД может использоваться MS SQL Server 2012 и более поздние версии, что облегчает интеграцию IDM в действующую ИТ-инфраструктуру и оптимизирует расходы на поддержку, позволяя избежать привлечения специалистов со стороны.
- В интерфейсе самообслуживания (workflow) список ролей, доступных для запроса пользователем, может ограничиваться на основании информации о положении пользователя в организационной структуре.
- Улучшено управление учетными записями. Стала доступно разблокирование учетной записи пользователя на определенный срок. При разблокировании пользователя в интерфейсе администратора можно указать дату завершения режима разблокирования, и при ее наступлении пользователь будет автоматически блокирован. В новой версии добавлена функциональная роль администратора учетных записей. Функции роли адаптированы для работы оператора службы технической поддержки, занимающегося решением проблем аутентификации пользователей в системах.
- Разработан механизм создания ролевой матрицы на основе дополнительных вычисляемых признаков пользователей. Теперь, помимо признаков, относящихся к должностному положению пользователя, для автоматического назначения роли может быть использовано условие, выполнение которого обеспечивает получение роли пользователем.
«Компания Аванпост придерживается клиентоориентированной политики в своем бизнес-развитии, поэтому мы развиваем функционал продукта исходя из потребностей заказчиков. Новые релизы решения IDM призваны удовлетворить все ранее заявленные запросы, что позволит «Avanpost» оставаться более гибкой и открытой платформой для создания удобной системы управления доступом для любой организации», - отметил Андрей Конусов, генеральный директор Аванпост.
«Avanpost IDM 4.3» включил поддержку SCIM
30 июля 2015 года компания Аванпост объявила о создании модуля сопряжения (коннектора) для работы по протоколу SCIM. С помощью этой разработки упрощается управление идентификационной информацией во множестве популярных SaaS-сервисов.
Спецификация протокола Simple Cloud Identity Management (SCIM) предназначена для упрощения управления аккаунтами пользователей в «облачных» приложениях и сервисах. Эта спецификация создана с использование существующих схем и вариантов развертывания, с особой ориентацией на простоту разработки и интеграции в использовании действующих моделей аутентификации, авторизации и защиты конфиденциальности. Протокол разработан на основе опыта интеграции облачных приложений (SaaS) с внутренней инфраструктурой компаний для автоматизации управления учетными записями пользователей.
Схема взаимодействия SCIM, 2014
Стандарт поддерживается большинством провайдеров облачных сервисов, включая Salesforce.com, Cisco, Google. Поддержка этого стандарта обеспечивает Аванпост значительное расширение списка поддерживаемых систем современными SaaS-сервисами. Для систем, которые не имеют поддержки протокола, доступна реализация сервиса в соответствии со спецификацией.
Коннектор поддерживает все основные функции управления доступом учетными записями и автоматически создает пользователей предприятия в каталоге провайдера сервиса. Организация, которая размещает системы в облаке, получает возможность миграции внутренних каталогов пользователей в инфраструктуру поставщика сервиса SCIM, сохраняя при этом возможность оперативного управления доступами пользователей. Также спецификация может использоваться в качестве внутреннего стандарта для интеграции внутренних систем с IDM.
«Помимо интеграции с «облачными» сервисами данный протокол является современным, универсальным и хорошо документированным стандартом, который может использоваться нашими клиентами в качестве эффективной альтернативы собственным разработкам. Следуя технологиям будущего в области управления доступом к информационным ресурсам, мы стремимся к опережению западных решений, предлагая в рамках импортозамещения российским заказчикам достойный продукт», - отметил Олег Губка, директор по развитию компании Аванпост.
Avanpost IDM 4.3 интегрирован с комплексом бизнес-приложений Oracle E-Business Suite
В сентябре 2015 года было объявлено о создании модуля сопряжения (коннектора), связывающего подсистему IDM программного комплекса (ПК) «Avanpost 4.3» с набором бизнес-приложений Oracle E-Business Suite. Данный пакет предназначен для автоматизации основных направлений деятельности предприятий и включает в себя финансовый сервис, модуль управление логистикой, активами предприятия, взаимоотношениями с клиентами (CRM), эффективностью бизнеса (CPM) и другие.
Применение коннектора позволит исключить необходимость ручного ввода информации, возможные ошибки рассогласования данных между приложениями, обеспечивая удобство работы администратора и пользователя. Коннектор Аванпост реализует стандартный контракт модуля IDM для взаимодействия с целевыми управляемыми системами. А именно позволяет управлять ролями и группами пользователей, создавать, блокировать и разблокировать учетные записи, производить аудит прав доступа в случае необходимости в системе Oracle E-Business Suite.
Благодаря сопряжению с IDM, снижается нагрузка на системных администраторов в части ручного создания учетных записей для пользователей и управления их правами, а специалисты ИБ получают возможность контроля за правами пользователя в рамках их аудита. Интеграция IDM с Oracle E-Business Suite происходит через собственный пакет хранения процедур компании Oracle, который входит в стандартную инсталляцию базы данных системы и содержит логику управления пользователями, их правами и ролевыми моделями.
Avanpost 5.0
20 октября 2015 года компания Аванпост объявила о выпуске пятого релиза комплекса «Avanpost 5.0».
В этой версии переработаны все функциональные модули:
- IDM, PKI и SSO,
- архитектура
- важнейшие подсистемы
- пользовательский интерфейс,
- управление бизнес-процессами,
- интеграция с внешними системами,
- управление ролями и др.
В модернизированной версии ПК «Avanpost 5.0» модули IDM, PKI и SSO стали самостоятельными полнофункциональными программными продуктами, они могут внедряться и использоваться как в сочетании, так и по отдельности. Такой подход к выпуску продуктов поможет крупным организациям более гибко управлять расходами и изменениями, комбинировать решения Аванпост с уже используемыми, сходными по назначению, разработками других ИБ-вендоров. Аванпост получает возможность теснее связать жизненные циклы своих продуктов с ситуацией на рынке, благоприятной динамикой спроса на определенные решения и напряженностью конкуренции в различных сегментах. Кроме того, компания теперь может применить более гибкий маркетинг, разнести во времени выход крупных обновлений основных функциональных модулей (продуктов), чтобы дозировать объем изменений, с которыми одномоментно сталкивается клиент компании. Этот подход реализован в ПК «Avanpost 5.0», где вначале выходит система PKI (октябрь 2015), после нее — IDM (декабрь 2015), а затем SSO и ряд дополнительных модулей (февраль 2016).
Скриншот окна продукта (2015)
В анонсе выпуска системы компания отметила взаимную интеграцию нескольких продуктов линейки ПК Avanpost при их внедрении. Сохраняется синергический эффект и все возможности комплексных систем управления доступом по формуле: IDM + PKI + SSO.
Важное изменение связано с переводом всех приложений линейки «Avanpost 5.0» на архитектуру веб-приложений и использование тонкого клиента. Основные преимущества этого подхода:
- упрощение администрирования,
- снижение требований к конфигурации рабочих мест,
- улучшенная информационная безопасность и масштабируемость,
- снижение общей стоимости владения системой (TCO)
- ускорение возврата инвестиций (ROI).
Аванпост перенесла в модифицированную архитектуру весь функционал «толстых» клиентов и получила простой и эргономичный пользовательский интерфейс.
Пользовательский интерфейс переработан полностью. Его проектирование и тестирование проводилось в сотрудничестве с профессиональной командой специалистов по юзабилити. В части технологий, интерфейс реализован на основе популярной библиотеки Bootstrap (CSS Framework). Для версии «Avanpost 5.0» разработано оригинальное стилевое оформление.
В «Avanpost 5.0» появилось информационное табло (dashboard) с «живой» сводкой основных параметров, необходимых администратору безопасности для мониторинга, выявления нештатных ситуаций и адекватного реагирования. Число таких параметров возросло до 35 (в ПК «Avanpost 4.0» их было около десятка).
Вся подсистема AvanpostWorkflow переведена на движок бизнес-процессов и создание собственного полнофункционального графического редактора диаграмм процессов. Движок, созданный на платформе WindowsWorkflowFoundation (WWF, часть .NET Framework 4.5), обеспечивает большую гибкость процессов согласования заявок, делегирования, замещения пользователей, эскалации задач при согласовании заявок и др.
В системе AvanpostWorkflow появился программный интерфейс для подключения внешних систем согласования заявок, например, имеющейся у заказчика системы ServiceDesk, портала интранет или системы делопроизводства).
В Avanpost IDM переработан и улучшен программный интерфейс (API) коннекторов к управляемым системам. Теперь сама структура классов, наборы методов и их параметры максимально выявляют для разработчика логику взаимодействия связываемых систем, помогают заметить ошибки. Значительно сокращается время изучения API, ускоряется разработка коннекторов и снижается число ошибок программирования и затраты на тестирование.
Зная целевую систему и не зная принципы функционирования IDM, разработчик может создать коннектор и быть уверенным, что он будет работать.
Для Avanpost PKI разработана основанная на подключаемых модулях (plugin) универсальная система поддержки практически любых удостоверяющих центров (УЦ), алгоритмов генерации ключей, а также применяемых организацией криптоносителей. На основе этой системы создан ряд модулей интеграции. В частности, модуль для инфраструктуры PKI ViPNet, необходимый многим госструктурам, где на ViPNet построена защита сегментов сети.
Версия Avanpost PKI работает со всеми УЦ, которые поддерживались предыдущими версиями ПК «Avanpost». На 20 октября Avanpost PKI 5.0 поддерживает работу с УЦ:
Ряд изменений произошел в управлении служебными ролями, такими, как «администратор IDM», «офицер безопасности» или «администратор удостоверяющих центров в системе PKI». Эти предустановленные в системе роли (иногда их еще называют «функциональными») определяют полномочия лиц, отвечающих за настройку и эксплуатацию систем IDM.
Появилась возможность менять полномочия предустановленных функциональных ролей и создавать новые роли с произвольным набором полномочий. Этот механизм позволяет предоставить системным администраторам лишь минимально необходимые полномочия в соответствии с текущими ИТ-процессами. Раньше эта распространенная ситуация приводила к выдаче избыточных полномочий или требовала написания и сопровождения программного кода, обеспечивающего специфические аспекты управления полномочиями ролей. Теперь все делается расстановкой «галочек».
Усовершенствован механизм выдачи ролей, в котором унифицированы все варианты обработки заданий на управление ролями и учетными записями. В линейке «Avanpost 5.0» эти задания создаются администраторами (через специальную консоль), самими пользователями (через систему самообслуживания) и внешними системами (через обработчики событий в источниках данных).
Реализован механизм, обеспечивающий организацию ролевой модели на основе дополнительных вычисляемых признаков пользователей. Теперь автоматическое назначение роли может быть связано не только с должностным положением пользователя, но с любым условием, выполнение которого обеспечивает получение роли.
Имеются другие нововведения, облегчающие использование продуктов линейки Avanpost в крупных территориально-распределенных организациях. Это:
- интерфейс реконсиляции ролей,
- инструментарий для связывания организационной структуры со структурой домена,
- средства создания паролей в соответствии с политикой, определенной для ресурса и др.
Необходимость в этих изменениях выявлена в реальных проектах, выполняемых партнерами Аванпост в госструктурах и крупных коммерческих организациях после выхода ПК «Avanpost 4.0».
«Подготовка нового релиза Avanpost пришлась на непростое время для всего российского ИТ-рынка, где тон задавали такие хорошо известные явления, как секвестирование бюджетов организаций на новые ИТ- и ИБ-решения, стремление продлить время жизни намечавшихся к замене устаревших решений, ограничение намеченных проектов лишь самыми необходимыми нововведениями. В этих условиях единственно правильным шагом для нашей компании стал ускоренный переход к многопродуктовой модели бизнеса. Можно было бы этим ограничиться, тем более, что мы давно шли к этой модели. Уверен, клиенты бы нас поняли, но мы не пошли на этот компромисс — и выполнили весь план разработок нового релиза "Avanpost", сделав наши продукты столь же удобными во внедрении и использовании, как и лучшие западные аналоги, — отметил Андрей Конусов, генеральный директор компании Аванпост. — Это не только дело принципа, но и ясный расчет, ведь все новые инструменты не только усиливают впечатление от продуктов линейки Avanpost, но и заметно ускоряют внедрения, а также позволяют в большинстве проектов обойтись вообще без какого-либо программирования. А это — большая экономия времени и средств. И реальная возможность совместно с партнерами максимально оперативно поддержать любые бизнес-проекты наших заказчиков. Особо отмечу важность в плане импортозамещения еще упростившейся интеграции линейки "Avanpost 5.0" с российским прикладным и инфраструктурным софтом и с ПО OpenSource. Приятно сознавать, что для организации любого размера наши продукты — это выгодная альтернатива или замена любым конкурирующим продуктам в сфере комплексного управления доступом и создания инфраструктуры открытых ключей — без каких-либо натяжек и компромиссов».
В ПК «Avanpost» реализована синхронизация паролей
19 ноября 2015 года было объявлено о реализации в ПК «Avanpost» механизма синхронизации паролей между целевыми системами. Таким образом, пользователи смогут использовать единый пароль во всех интегрированных с IDM системах и менять его любым способом с возможностью синхронизации со всеми аккаунтами в этих системах. Специалистам IT- ИБ-подразделений функция предоставляет возможность централизованного сброса паролей и возможность установки единой парольной политики предприятия.
Разработка компании Аванпост состоит из модуля перехвата паролей, работающего на стороне целевой системы, и обработчика событий смены паролей в IDM, который синхронизирует полученный пароль с аккаунтами пользователя в других системах. Модуль перехвата включает в себя провайдер паролей, регистрирующийся на сервере целевой системы и общую, независимую от интегрируемой системы, службу доставки паролей. Отметим, что взаимодействие службы доставки паролей с IDM производится асинхронно, через очередь сообщений, которые шифруются сертификатом сервера системы. После распространения по аккаунтам пароли не сохраняются, что гарантирует безопасную синхронизацию.
Провайдер паролей для Microsoft Active Directory основан на интерфейсе парольных фильтров – стандартной возможности расширения парольных политик Active Directory. Фильтр при этом должен быть установлен на всех контроллерах, взаимодействующих с рабочими станциями пользователей или сервисами, через которые выполняется смена пароля.
Avanpost Access System получила "добро" к выходу на рынок Беларуси
1 декабря 2015 года компания Аванпост сообщила о завершении процедуры сертификации программного комплекса «Avanpost IDM» в Оперативно-аналитическом центре при Президенте Республики Беларусь.
Сертификат соответствия № BY/112 02.02. 036 00156 действителен до июня 2020 года. По состоянию на 1 декабря 2015 года компания Аванпост – единственный российский поставщик IDM-решений, получивший сертификат соответствия государственным нормативам, перечисленным в документе «ТР 2013/027/BY Информационные технологии. Средства защиты информации. Информационная безопасность».
Сертификация ПК «Avanpost» на белорусском рынке важна для компании, как инструмент продвижения на рынок. Законодательство Республики Беларусь предписывает обязательное использование в системах информационной безопасности только сертифицированных решений.
Никита Сильченко, генеральный директор компании Тайгер Оптикс, авторизованного дистрибьютора решений Аванпост в Республике Беларусь и Казахстане, отметил:
- Совместное получение сертификата СЗИ является новым шагом в партнерских отношениях компаний Аванпост и Тайгер Оптикс. Решения Аванпост находятся в нужном месте в нужное время, и мы как дистрибьютор продолжаем инвестировать в успех российского вендора в Республике Беларусь и прочих территориях присутствия.
Андрей Конусов, генеральный директор компании Аванпост, пояснил:
- Успешная сертификация нашего решения открывает корпоративным клиентам и государственным предприятиям Республики Беларусь возможности ведущей системы идентификации и управления доступом к информационным ресурсам предприятия – «Avanpost IDM». Мы рады предоставить высококачественный продукт, готовый к внедрению прямо сейчас. Обязательный сертификат СЗИ снимает барьеры для применения нашей IDM-системы в госсекторе, поэтому наше решение будет интересно также и для государственных заказчиков. Сейчас рассматривается возможность открытия офиса Аванпост в Минске, в том числе локальной инженерной компетенции, что подтверждает нашу готовность к долгосрочному сотрудничеству с партнерами и клиентами в Республике Беларусь.
2014
Планы на ПК «Avanpost 5.0»
Важнейшая задача – сделать новый релиз ПК «Avanpost 5.0» удобным для внедрения и сопровождения, как и западные продукты, где до 90% настроек не требуют программирования и делаются «расстановкой галочек». В 5-м релизе и в последующих обновлениях ПК «Avanpost» значительно повысится гибкость встроенной системы workflow, которая управляет обработкой всевозможных заявок (на изменение прав доступа пользователя, ресертификацию ролей и др.). В специальном графическом редакторе можно будет задавать бизнес-процессы любой сложности, зависящие от условий и имеющие сложную логику. Кроме того, все модули получат совершенно новый пользовательский интерфейс, построенный на Web-технологиях. Значительно упростится и настройка отчетов.
Наличие самостоятельных и вместе с тем взаимно интегрированных полнофункциональных модулей IDM, PKI и SSO – это принципиальное преимущество ПК «Avanpost» перед любыми IDM-решениями, представленными на российском рынке, в том числе и новыми. Соответственно, задача Аванпост – максимально повысить долю комплексных проектов, выполняемых по формуле IDM+PKI+SSO. Выбирая такое решение, заказчики повышают безопасность своих ИС, а для Аванпост и партнеров это означает, что внедрение одного продукта повышает готовность заказчика приобрести также один или два других модуля, чтобы получить максимальный синергический эффект. В 2015 г. к комплексу IDM, PKI и SSO будут добавлены некоторые дополнительные функции, например, единая консоль управления всем набором присоединенных модулей, вывод на единую информационную панель (dashboard) ключевых параметров и индикаторов критических событий, относящихся ко всем модулям, а также интеграция с системами анализа корреляций событий ИБ (Altiris).
Еще одно направление работ связано с поддержкой в ПК «Avanpost 5.0» всевозможных механизмов аутентификации. В настоящее время поддерживаются биометрические датчики и аутентификация с помощью аппаратных ключей (смарт-карт и токенов). Вскоре к ним добавятся одноразовые пароли, доставляемые с помощью SMS или создаваемые с помощью автономных аппаратных генераторов или иным способом. В итоге, заказчик сам сможет задавать нужный ему алгоритм N-факторной аутентификации.
ПК «Avanpost 4.0» – единственное IDM-решение, в которое встроен полный комплект инструментов для построения ролевых моделей, их оптимизации и поддержания в актуальном состоянии. Эти инструменты не нужно отдельно приобретать и внедрять. Разработка Avanpost Role Manager и модуля ресертификации ролей стала прорывом для всего российского рынка IDM: впервые любая организация получила реальную возможность внедрить и сопровождать IDM-систему методически корректно, а сроки внедрения даже в самых крупных организациях сократились с нескольких лет до полугода. Теперь задача Аванпост – добиться, чтобы методически корректно проводились все или почти все внедрения. Важным шагом в этом направлении станет завершение разработки ориентированной на интеграторов и консультантов методологии внедрения ПК «Avanpost 5.0», в равной мере охватывающей как организационные, так и технологические моменты. Кроме того, компания будет и дальше развивать технологии управления ролевыми моделями и, в частности, научит ПК «Avanpost» отслеживать, какими из имеющихся у них прав сотрудники предприятия пользуются, а какими нет. Эта технология позволит гораздо полнее и эффективнее устранять избыточные права.
Дальнейшие планы развития продуктовой линейки предусматривают портирование ПК «Avanpost» на ОС и БД с открытым исходным кодом (2016 г.), а также постепенное расширение функциональности ПК «Avanpost» и превращение его в модульный продукт с высокой степенью синергии от совместного использования двух и более модулей (2017 г.), охват новых смежных направлений. Среди наиболее вероятных кандидатов: системы класса MDM (mobile device management) и СКУД (управление физическим доступом сотрудников в помещения). Напомним, что ранее Аванпост проработала на пилотных проектах различные сценарии совместного использования технологий IDM, PKI и СКУД. При этом с 2016 г. расширение функциональности ПК «Avanpost» будет происходить не только за счет создания ПО «с нуля», но и путем поглощения перспективных команд разработчиков.
Особый приоритет на 2015 г. составляет госсектор, где Аванпост уже занимает прочные позиции, имеет портфель завершенных внедрений, а в настоящее время выполняет реальные и пилотные проекты, имеет лиды. Среди других отраслей, где у компании также есть проекты и пилоты, наиболее важным является банковский сектор, полностью готовый к широкомасштабным внедрениям IDM и комплексных систем управления доступом. К этой категории заказчиков относятся также страховые компании, атомная- и электроэнергетика, нефтегазовый сектор. Значительные усилия будут направлены и на более масштабное проникновение в ритейл и ряд других отраслей, где у Аванпост пока есть только пилоты.
Чтобы как можно быстрее создать технологии, ускоряющие внедрения, Аванпост создаст в 2015 г. новый центр разработки на 20-30 специалистов высшей квалификации. Новый центр будет находиться в одном из удаленных регионов РФ и будет отвечать за стратегическое развитие ПК «Avanpost» в соответствии с дорожной картой продуктовой линейки (roadmap). Это позволит полностью исключить влияние конкретных проектов, являющееся до настоящего времени главной причиной периодически случающихся отклонений от плана разработки нового функционала ПК «Avanpost». Московский же центр разработки сосредоточится в основном на доработках и улучшениях, связанных с конкретными внедрениями, например, на создании коннекторов. Кроме того, будет создана команда региональных представителей Аванпост для России, Казахстана и Беларуси. В 2015 г. в команду войдут presale-специалисты, а в 2016 г. к ним добавятся инженеры по внедрениям. Создание этого подразделения резко повысит эффективность продвижения ПК «Avanpost» и удовлетворенность заказчиков ходом внедрения.
ПК «Avanpost 4.0» – переаттестация прав пользователей
2 декабря 2014 года компания Аванпост объявила об обновлениифункции программного комплекса (ПК) «Avanpost 4.0» – переаттестации прав пользователей.
Эта функция упрощает корректное изменение прав доступа к различным элементам корпоративной информационной системы при переводе сотрудника на новую должность. Предусмотрены различные варианты процедуры изменения прав, что позволяет учесть особенности конкретной организации и снизить нагрузку на ИТ-персонал, а также руководителей и сотрудников бизнес-подразделений.
ПК «Avanpost 4.0» при кадровых перемещениях сотрудника сам отзывает его старые роли и назначает новые. Ранее выданные в соответствии с ролевой моделью роли и права доступа отзывались у сотрудников при переводе, безусловно, и заменялись на положенные по новой должности. Теперь эти изменения могут быть применены не только автоматически, но и может быть запущен цикл переаттестации прав сотрудника. В этом случае, будет автоматически сформирована заявка, которая пройдет по заранее настроенному пути, зависящему от входящих в заявку ролей. Ответственным лицам будет предложено подтвердить отзыв старых ролей и назначение новых. При этом, любой участник процесса может как вынести решение по всей заявке, так и выборочно подтвердить отдельные назначения прав или отзыв отдельных ролей. Процессом визирования управляет штатная подсистема ПК «Avanpost 4.0» – IDM Workflow (изменение прав доступа сотрудника на основе его заявки или заявки руководителя).
Появление отдельной процедуры снизило вероятность инцидентов, связанных с преждевременной потерей необходимых пользователю прав (сотрудник, переведенный на новую должность, продолжает выполнять функции старой должности), и сделало процесс более прозрачным, понятным и контролируемым, снизило вероятность ошибок. Кроме того, связь кадровых событий и функций IDM стала более гибкой. Это особенно важно для крупных организаций, где ежедневно происходит множество таких событий.
Совершенствование механизмов управления ролевой моделью организации и механизмов управления правами конкретных пользователей – один из важнейших приоритетов в развитии ПК «Avanpost 4.0». В рамках этой работы были, в частности, созданы как подсистема IDM Workflow, так и модули Role Manager и «Ресертификация ролей», позволяющие быстро и методически корректно создать и оптимизировать ролевую модель, а в дальнейшем поддерживать ее в актуальном состоянии.
ПК «Avanpost 4.0» совместим с линейкой ключей Рутокен
30 октября 2014 года компания Аванпост и компания «Актив» объявили о полной совместимости программного комплекса (ПК) «Avanpost 4.0» со всей линейкой электронных ключей Рутокен, включая модели «Рутокен S», «Рутокен ЭЦП» и «Рутокен RF».
Компания «Актив» - технологический партнер Аванпост с июля 2013 года. Развитие модельного ряда Рутокен и, в частности, появление модели «Рутокен RF» (со встроенной меткой RFID) потребовали от компании «Актив» создания совершенно новой версии драйверов, которые не поддерживали некоторые механизмы взаимодействия, задействованные в ПК «Avanpost 4.0».
Компании выявили проблему, провели доработку драйверов и тестирование, в том числе в реальных проектах.
Носители «Рутокен S», «Рутокен ЭЦП» и «Рутокен RFID» рекомендованы для использования в качестве аппаратного носителя ключевой информации в проектах по созданию инфраструктуры открытых ключей или комплексных систем управления доступом любой сложности, выполненных на базе ПК «Avanpost 4.0». Рекомендация распространяется на проекты с высокими требованиями к безопасности, поскольку и ПК «Avanpost 4.0» и сертифицированные идентификаторы Рутокен со встроенной российской криптографией и интегрированными RFID-меткамии являются российскими разработками и соответствуют требованиям действующей нормативной базы РФ в области ИБ.
Пользователи ИБ-систем, в которых интегрированы решения обеих компаний, получают функциональность IDM, PKI и SSO (в зависимости от конфигурации ПК «Avanpost 4.0») и полнофункциональное средство по учету и управлению своими ключевыми носителями. Это расширяет возможности использования электронных ключей Рутокен в организациях, где требуется вести персонифицированный учет ключевых носителей и выпущенных сертификатов.
ПК «Avanpost 4.0» интегрирован с АБС «Кворум»
8 октября 2014 года компания Аванпост сообщила о создании модуля сопряжения подсистемы IDM программного комплекса (ПК) «Avanpost 4.0» с автоматизированной банковской системой (АБС) «Кворум».
Новая разработка Аванпост представляет первостепенный интерес для всех кредитно-финансовых организаций, использующих ИТ-решения на базе банковской платформы «Quorum. Банк».
В коннекторе АБС «Кворум» реализован полный протокол обмена данными с IDM-ядром. ПК «Avanpost» может управлять всеми настройками системы контроля доступа, встроенной в эту АБС: создавать, блокировать и разблокировать учетные записи, назначать и отзывать конкретные права и роли пользователям, в полном соответствии с действующей ролевой моделью и всевозможными кадровыми событиями (приемом на работу, увольнениями, должностными перемещениями и др.).
IDM-ядро ПК «Avanpost» получает возможность извлекать актуальные данные о фактических учетных записях и правах пользователей, что позволяет включить АБС «Кворум» в аудит прав доступа, позволяющий выявлять отклонения от ролевой модели и при необходимости отменять их, а также в процессы создания и ресертификации ролевой модели банка.
Посредством сопряжению с IDM, управление правами в АБС «Кворум» становится полностью автоматизированным, что освобождает администраторов АБС от огромного объема рутинной работы, предотвращает ошибки и закрывает возможности для широкого спектра злоупотреблений и компьютерных преступлений. При этом банк получает инструмент всестороннего контроля доступа пользователей к функциям АБС и хранящейся в ней информации, а также контроля над действиями администраторов в части изменения доступа пользователей.
Учитывая роль АБС в деятельности кредитно-финансовой организации, эти изменения существенно повышают уровень информационной безопасности в целом, снижают риски мошенничества и резонансных преступлений, способных негативно повлиять на репутацию банка.
ПК «Avanpost 4.0» интегрирован с удостоверяющим центром Валидата
Компания Аванпост в сентябре 2014 года объявила о выпуске модуля сопряжения (коннектора) программного комплекса (ПК) «Avanpost 4.0» с удостоверяющим центром (УЦ) Валидата. Коннектор встраивается в подсистему работы с открытыми ключами (PKI) ПК «Avanpost 4.0» и позволяет выпускать, обновлять и отзывать сертификаты указанного УЦ. При этом сертификаты УЦ Валидата могут применяться в модуле SSO (однократная аутентификация в прикладном и инфраструктурном ПО) ПК «Avanpost 4.0».
Данный коннектор представляет особый интерес для организаций – госструктур и банков, – имеющих юридически значимый документооборот с ЦБ РФ. Изначально инфраструктура работы с открытыми ключами УЦ Валидата не позволяла выпускать, отзывать и обновлять сертификаты с помощью стороннего ПО. Соответственно, создание нового коннектора потребовало значительной совместной работы специалистов компаний Аванпост и «Валидата». Теперь работа в ПК «Avanpost 4.0» работа с УЦ Валидата организована точно так же, как и с другими поддерживаемыми УЦ – через пользовательский интерфейс консоли администратора безопасности. Здесь администратор формирует запрос на необходимые действия с сертификатами, получает уведомления об одобрении и отклонении запросов удостоверяющим центром, а также устанавливает выпущенные сертификаты на ключевые носители. Кроме того, администратор, создавший запрос, получает по электронной почте уведомления о прохождении этапов обработки последнего в УЦ.
Выпуск ключей с помощью модуля Avanpost PKI значительно менее трудоемок, нежели использование стандартных средств УЦ. При этом в ПК «Avanpost 4.0» рабочий процесс и отдельные процедуры полностью унифицированы как для различных УЦ, так и для допустимых действий с сертификатами. Всё это существенно снижает нагрузку на персонал, упрощает обучение и способствует унификации документооборота организации.
Число поддерживаемых УЦ, наряду с УЦ Валидата, входят также: КриптоПро, RSA Keon, NotaryPRO, Microsoft и CheckPoint. Хотя УЦ Валидата не столь широко распространен, как другие УЦ, его поддержка в зрелой полностью российской ИТ-системе, объединяющей функции PKI, SSO и IDM, исключительно важна для целого ряда российских организаций, тесно взаимодействующих с ЦБ РФ.
Avanpost 4.0 - новый SOAP-коннектор
19 августа 2014 года компания Аванпост объявила о выпуске универсального модуля сопряжения (коннектора), связывающего программный комплекс (ПК) «Avanpost 4.0» со всевозможными целевыми системами, которыми управляет IDM-решение.
Модуль сопряжения работает по стандартному протоколу SOAP (далее – SOAP-коннектор). Новая разработка Аванпост опирается на наиболее распространенные варианты реализации веб-сервисов в корпоративном сегменте и позволяет органично вписать ПК «Avanpost 4.0» в SOA-инфраструктуру компании-заказчика.
SOAP-коннектор, в первую очередь, предназначен для организаций, уже имеющих или стремящихся к созданию информационной системы на основе сервис-ориентированной архитектуры (SOA). При этом данный коннектор значительно упрощает подключение к ПК «Avanpost 4.0» различных прикладных и инфраструктурных подсистем ИС предприятия силами заказчиков и интеграторов. Коннектор найдет применение и в проектах интеграции, выполняемых с привлечением разработчиков целевых систем.
SOAP-коннектор подключается ко встроенной в ПК «Avanpost 4.0» стандартной инфраструктуре сопряжения с целевыми информационными системами. В свою очередь, целевая система должна предоставлять веб-сервис, с помощью которого коннектор сможет безопасно извлекать нужную информацию (например, для построения ролевой модели или проведения аудита), а также менять настройки управления доступом. Вместе с коннектором поставляется контракт веб-сервиса (описание WSDL и схема XSD), описывающий методы, типы сообщений и другие детали взаимодействия коннектора с веб-сервисом целевой системы.
Новый коннектор существенно расширяет спектр инструментов и методов разработки. SOAP-коннектор создан на основе открытых стандартов и ориентирован на технологии, составляющие фундамент современной реализации сервис-ориентированной архитектуры в информационной системе предприятия. Интеграция, выполненная с помощью SOAP-коннектора, не вынуждает разработчика конкретного модуля сопряжения применять информационные технологии, лежащие в основе ПК «Avanpost 4.0» и позволяет полнее абстрагироваться от структурных особенностей подключаемой системы, которые могут меняться от версии к версии.
Подсистема виртуальных ресурсов Avanpost 4.0
3 июля 2014 года компания Аванпост сообщила о новой подсистеме виртуальных ресурсов для программного комплекса «Avanpost 4.0».
Новая разработка позволяет учитывать в ролевой модели предприятия права из любых прикладных и инфраструктурных ИТ-систем, имеющих собственные механизмы управления доступом, но не участвующих в фактическом обмене данными с IDM-решением с помощью полнофункционального коннектора.
Использование новой подсистемы помогает координировать управление доступом в таких изолированных системах с кадровыми событиями и утвержденными правилами управления доступом. Кроме того, подсистема упрощает документирование настроек управления доступом в корпоративной ИС.
По мнению разработчиков, подсистема виртуальных ресурсов ПК «Avanpost 4.0» особенно полезна при работе с унаследованными ИТ-системами и ПО, функционирующим в выделенных и физически изолированных контурах безопасности ИС. Применение виртуальных ресурсов оправдано и как временная мера на период разработки полнофункционального модуля сопряжения.
Виртуальный коннектор подключается к ПК «Avanpost 4.0» по общим правилам, что и обычные полнофункциональные модули сопряжения, но в отличие от последних, он взаимодействует не с реальной ИТ-системой, а со специальным справочником, где перечислены изолированные системы, и для каждой из них указаны названия ролей, групп и других сущностей, задействованных во встроенной системе управления доступом.
IDM-ядро ПК «Avanpost 4.0» реагируя на кадровые события (прием на работу, увольнения, должностные перемещения и др.), инициирует изменение состояния прав доступа во всех подключенных ИТ-системах, включая изолированные. Для систем, имеющих полнофункциональные модули сопряжения, процесс полностью автоматизирован, и его завершение не требует участия администраторов. Виртуальный коннектор для всех необходимых действий формирует задания в системе Service Desk, назначая их исполнителями соответствующих ИБ-администраторов, что обеспечивает контроль исполнение заданий и нагрузку на администраторов. При этом использование в заданиях характерных для каждой системы названий ролей, групп и других сущностей значительно упрощает работу администратора и снижает вероятность его ошибок.
Role Manager: анализ прав пользователей
Ресурсы workflow
Консоль администратора
Avanpost 4.0
5 июня 2014 года компания Аванпост объявила о выпуске четвертого релиза своего флагманского продукта – программного комплекса «Avanpost 4.0».
По технологическому уровню, функциональности и простоте внедрения этот релиз - самый масштабный за все время существования ПК «Avanpost», поставил его в один ряд с ведущими IDM-системами высшего класса, продвигаемыми мировыми лидерами в сфере ИТ и ИБ.
Продукт компании Аванпост соответствует российской нормативной базе в области информационной безопасности, поддерживает важнейшие российские разработки в этой сфере (УЦ, ЭП, смарт-карты и токены, универсальные карты и др.) и обеспечивает технологическую независимость российского бизнеса и системы госуправления на таком важном участке ИБ, как комплексное управление доступом к конфиденциальной информации.
После выпуска релиза 3.0 (март 2012 года) выполнен ряд важных разработок:
- новая инфраструктура интеграции с доверенными источниками информации и с удостоверяющими центрами,
- поддержка двух- и трехфакторной аутентификации и биометрических технологий идентификации,
- реализована SSO[1] для ведущих мобильных платформ Android и iOS,
- выпущено множество новых коннекторов (модулей сопряжения) ПК «Avanpost» с прикладными и инфраструктурными элементами ИС предприятия.
Переработана архитектура продукта, что упростило создание коннекторов и помогает добавлять новые механизмы аутентификации, реализовать различные варианты N-факторной аутентификации (например, за счет взаимодействия с IDM, PKI, биометрией, СКУД и др.).
В составе продукта три основных модуля (IDM[2], PKI[3] и SSO), которые можно внедрять отдельно или в любых сочетаниях.
Другая существенная часть ПК «Avanpost 4.0» - различные инструменты:
- помогающие создавать и поддерживать в актуальном состоянии ролевые модели;
- организовывать документооборот, связанный с управлением доступом;
- разрабатывать коннекторы к различным ИТ- и ИБ-системам;
- гибко настраивать информационно-аналитические отчеты.
Функции модуля Avanpost Mobile (см. ниже) перенесены в модуль SSO.
Преимущества «Avanpost 4.0»:
- Версия ПК «Avanpost 4.0» рассчитана на широкий диапазон масштабов внедрений - впервые полнофункциональное IDM-решение стало доступным для среднего российского бизнеса.
- В новый релиз ПК «Avanpost» включены в обобщенной форме все ключевые доработки, сделанные в 2013 году в рамках крупных внедрений. «Avanpost 4.0» поддерживает децентрализованные организации любого размера, одновременно применяющие в различных подразделениях разнородные кадровые системы.
- Существенно повышена масштабируемость решения: нагрузочные испытания подтверждают работоспособность ПК «Avanpost 4.0» в конфигурации на 30 тыс. групп и 150 тыс. пользователей в домене. Верхняя планка масштабирования гораздо выше.
- «Avanpost 4.0» поддерживает различные варианты трансграничного управления правами доступа в группах организаций, взаимодействующих по схеме кластера. В такой схеме центральная организация должна надежно контролировать доступ к своим приложениям, информационным ресурсам и элементам ИТ-инфраструктуры для сотрудников множества сторонних организаций (партнеров, аутсорсеров, членов расширенной цепочки поставок и др.), не имея при этом прямого доступа к их внутренним кадровым системам. В российской экономике такие кластеры характерны для вертикально-интегрированных компаний, а также для ряда отраслей экономики (телекоммуникации, ТЭК, сельскохозяйственное производство, аэрокосмическая отрасль, машиностроение и др.).
- На платформе ПК «Avanpost 4.0» можно создавать IDM-решения и комплексные системы управления доступом для гибридных ИС, объединяющих традиционные приложения и элементы ИТ-инфраструктуры и частные облака, работающие по схеме IaaS, PaaS и SaaS (в последнем случае требуется API облачного приложения).
- Решение Аванпост для частных облаков и гибридных ИС полностью проработано, его коммерческое продвижение начнется как только на российском рынке появится устойчивый спрос на подобные решения.
- Увеличено число точек взаимодействия ПК «Avanpost 4.0» с другими системами. Среди них: системы дистанционного банковского обслуживания (ДБО), удостоверяющие центры (поддерживаются все УЦ, популярные на российском рынке), устройства для биометрической идентификации, СКУД, различные дополнительные средства аутентификации.
- Для каждого вида взаимодействия (например, ядра IDM – с доверенными источниками данных и целевыми системами) разработан унифицированный интерфейс и используемая всеми коннекторами инфраструктура интеграции, в которую перенесено множество наиболее сложных функций (например, синхронизация данных).
- Для коннекторов с доверенными источниками данных и целевыми системами создан инструментарий разработчика (SDK), которым могут пользоваться сторонние организации. Это упрощает интеграцию ПК «Avanpost 4.0» с унаследованными системами, закрытыми внутрикорпоративными разработками, с отраслевыми решениями и системами для узких сегментов рынка.
- На 5 июня 2014 года ПК «Avanpost 4.0» располагает наибольшим числом готовых коннекторов к распространенным на российском рынке ИТ-системам, а также доступными технологиями их разработки силами вендора, партнеров и клиентов.
- В ПК «Avanpost 4.0» появилось решение – перенесенный в модуль SSO функционал модуля Avanpost Mobile, поддерживающий обе наиболее популярные мобильные платформы: Android и iOS. Для обеих платформ этот модуль предоставляет безопасный доступ через веб-браузер с мобильных устройств к внутрикорпоративным порталам и интранет-приложениям (интранет-портал, корпоративная веб-почта Microsoft Outlook Web App и др.). Версия для Android также содержит встроенную полнофункциональную систему SSO, поддерживающую системы VoIP-телефонии, видео- и видеоконференцсвязи (Skype, SIP), а также любые Android-приложения (клиенты корпоративных систем: CRM, ERP, HRM, бухгалтерия и др.) и облачные веб-сервисы. Модуль Avanpost Mobile и система Mobile SSO позволяют компании-клиенту полностью интегрировать устройства, использующие наиболее популярные мобильные платформы, в корпоративную инфраструктуру IDM, созданную на базе ПК «Avanpost».
- Одним из ключевых нововведений стали инструменты создания и поддержания в актуальном состоянии "ролевых моделей". В таких моделях, являющихся ядром IDM-решения, четко прописаны категории сотрудников, их права в каждой инфраструктурной или прикладной подсистеме ИС, а также индивидуальные отклонения от этой схемы для отдельных сотрудников и групп.
По мнению разработчиков, на 5 июня 2014 года ПК «Avanpost 4.0» – единственное на российском рынке IDM-решение, со встроенным полным набором инструментов для создания ролевых моделей, их поддержания в актуальном состоянии.
- Использование механизма заявок в модуле ресертификации ролей и в ряде других подсистем ПК «Avanpost» максимально упрощает вовлечение бизнес-подразделений в процессы администрирования IDM. В ПК «Avanpost 4.0» он реализован как веб-приложение, с которым работают все категории пользователей: сотрудники могут самостоятельно регистрировать заявки, которые затем проходят заданные маршруты и регламенты визирования; а для их настройки нужны соответствующие полномочия. В частности, реализован механизм делегирования, сложные правила управления групповыми заявками (визирующие лица могут утверждать заявку для одних кандидатов и отклонять – для других), зоны видимости, а также заявки, вызывающие вре́менное изменение режима работы ПК «Avanpost» (например, создание роли, действующей одну неделю), которое по истечении указанного периода будет автоматически отменено. Отметим, что при рассмотрении заявок на изменение настроек IDM, свои решения пользователи подтверждают квалифицированной электронной подписью (ранее такой механизм действовал только при обработке заявок в модуле PKI).
Подсистема Avanpost Workflow допускает описание достаточно сложных сценариев обработки заявок.
- В ПК «Avanpost 4.0» встроена новая унифицированная подсистема подготовки отчетов, которая используется во всех функциональных модулях: IDM, PKI, Role Manager и др. Работа с этой системой идет через специальное Web-приложение, а технология создания отчета рассчитана на пользователей и администраторов, имеющих базовые навыки программирования на языках HTML и C#. Это обеспечивает практически неограниченную гибкость, позволяет создавать отчеты со сложной логикой, а также шаблоны сложных отчетов, которые в ходе внедрения проходят глубокую кастомизацию под нужды конкретной организации. Разработку, индивидуальную настройку отчетов могут проводить как интеграторы, так и специалисты заказчика.
- Библиотека, в составе которой более десяти предустановленных форм отчетов.
«Два года назад, через месяц после выпуска ПК "Avanpost 3.0", начался принципиально новый этап в развитии нашей компании: в кратчайшие сроки она должна была превратиться из нишевого поставщика хороших технологий в области IDM, PKI и SSO в респектабельного ИБ-вендора, предлагающего рынку полнофункциональную российскую IDM-систему, способную успешно конкурировать с мировыми грандами в этой сфере, и при этом быть гораздо более доступной и простой во внедрении. Развитие базовых технологий, встраивание в продукт множества новых функций и служебных инструментов стали одним из трех главных приоритетов (наряду со стратегией развития и построением эффективных каналов продвижения). Релиз 4.0 – результат этих усилий, проходивших на фоне высокой изменчивости мирового и российского рынков ИБ, где одни тренды действовали сходно, а другие разнонаправленно, – поведал Андрей Конусов, генеральный директор компании Аванпост. – Впервые российская IDM достигла такой сбалансированности и зрелости, когда не осталось существенных функций, по которым она принципиально отстает от ведущих западных решений. Более того, она выигрывает у них не только по цене, но и по ряду принципиальных особенностей, касающихся функциональности, практичности, методологической обеспеченности, открытости и глубины интеграции в ИС предприятия. Это важный этап в развитии всего российского рынка ИБ, ведь IDM – один из немногих успешно развивающихся его сегментов. Мы не собираемся снижать набранный темп развития ПК "Avanpost". Много разработок уже завершены и ждут оптимального момента для вывода на рынок, многие близки к завершению, есть немало идей. Наша задача – сделать ПК "Avanpost" самой привлекательной и гибкой платформой для создания комплексных систем управления доступом для любого российского предприятия».
ПК «Avanpost 3.0» интегрирован с удостоверяющим центром CheckPoint
В мае 2014 года было объявлено о выпуске модуля сопряжения (коннектора) программного комплекса (ПК) «Avanpost 3.0» с удостоверяющим центром (УЦ) CheckPoint. Коннектор встраивается в подсистему работы с открытыми ключами (PKI) ПК «Avanpost» и позволяет выпускать, обновлять и отзывать сертификаты указанного УЦ.
Выпущенные сертификаты могут применяться в модуле SSO (однократная аутентификация при входе в приложения).
Вся работа с УЦ CheckPoint, как и с другими поддерживаемыми УЦ, делается через пользовательский интерфейс консоли администратора безопасности ПК «Avanpost 3.0».
Сформированный здесь запрос на выпуск сертификата автоматически попадает на рассмотрение оператору УЦ. Если запрос одобрен, сервер ПК «Avanpost» с помощью коннектора выпускает сертификат в УЦ CheckPoint. После этого сервер уведомляет (в интерфейсе консоли администратора и по электронной почте) администратора безопасности, создавшего запрос, об успешном выпуске сертификата и позволяет ему установить выпущенный сертификат на ключевой носитель, используя стандартный интерфейс ПК «Avanpost 3.0». Аналогично обрабатываются и запросы на обновление и отзыв сертификатов. Таким образом, использование нового УЦ не меняет установленный документооборот организации, не создает дополнительную нагрузку на персонал и не требует его дополнительного обучения.
Создание коннектора к УЦ CheckPoint стало очередным шагом в реализации программы по интеграции ПК «Avanpost 3.0» с наиболее популярными на российском рынке удостоверяющими центрами. В настоящее время, наряду с CheckPoint, в число поддерживаемых УЦ входят также: КриптоПро, RSA Keon, NotaryPRO, Microsoft и Validata. Отметим, что в дальнейшем функциональность коннектора к УЦ CheckPoint будет расширяться. В частности, появится учет лицензий УЦ CheckPoint – аналогично тому, как эта функция реализована для УЦ КриптоПро.
Модуль ресертификации ролей (МРР)
В мае 2014 года было объявлено о выпуске модуля ресертификации ролей (МРР), обеспечивающего пользователей программного комплекса (ПК) «Avanpost 3.0» инструментарием для управления жизненным циклом бизнес-ролей. Таким образом, новая разработка Аванпост представляет интерес для всех пользователей ПК «Avanpost 3.0», поскольку позволяет поддерживать в актуальном состоянии ролевую модель (РМ), которая управляет IDM-решением и определяет, какие именно права в тех или иных информационных системах предприятия должны иметь его сотрудники и внешние пользователи (например, работающие по схеме аутсорсинга). При этом процессы внесения изменений в ролевую модель легко накладываются на организационную структуру предприятия, а также процедуры согласования и визирования, предусмотренные регламентами электронного документооборота.
В любой организации, использующей IDM, необходимость в корректировке ролевой модели возникает постоянно: при появлении новой, замене или прекращении использования какой-либо существующей информационной системы; при изменении должностных обязанностей сотрудников и организационной структуры; при появлении новых должностей; при формировании рабочих групп, ориентированных на решение какой-либо проблемы, затрагивающей сразу несколько подразделений. Во всех подобных случаях уполномоченные сотрудники (владельцы ролей) обращаются к новому модулю ресертификации ролей ПК «Avanpost 3.0». Здесь они оформляют заявки на создание, изменение или удаление определенных ролей, после чего заявки проходят согласование у должностных лиц в соответствии с утвержденными регламентами. Если заявка получила все необходимые визы, МРР Avanpost автоматически корректирует ролевую модель – и IDM-решение начинает работать по новым правилам, проведя необходимую перенастройку подсистем управления доступом, встроенных в прикладные и инфраструктурные элементы ИС предприятия.
МРР Avanpost предоставляет гибкие средства описания запрашиваемых изменений РМ и организации документооборота, достаточные, чтобы отразить специфику практически любого предприятия. Так, заявки могут содержать запросы на согласование как новой роли, так и дополнительного права или свойства в рамках уже существующей роли. Добавление, изменение и исключение свойств в роли можно ограничить определенным сроком, по истечении которого роль будет восстановлена в соответствии с первоначальными настройками. Можно заранее описать маршруты согласования заявок, если же маршрут не задан, его нетрудно сформировать с учетом ответственных лиц по данному ресурсу. Можно создавать пакеты маршрутов, добавлять в один маршрут согласования заявки нескольких прав и свойств для ряда ресурсов. Отметим, что в МРР Avanpost реализованы области видимости, т.е. разграничение доступа по ролям и ресурсам для пользователей.
Модуль ресертификации ролей выполняет еще несколько важных функций, в частности, ведет журнал изменений ролевой модели, а также позволяет узнать (также на основе заявок), какие именно роли присвоены тем или иным категориям сотрудников.
Внедрение модуля ресертификации ролей ПК «Avanpost 3.0» позволяет привлечь к коллективной работе над ролевой моделью организации руководителей бизнес-подразделений и ключевых сотрудников. Теперь в администрировании ролей участвуют не только администраторы безопасности, имеющие доступ к консоли управления IDM, но и бизнес-пользователи, отвечающие за конкретные бизнес-процессы и/или информационные ресурсы уровня подразделения или предприятия в целом, а также администраторы прикладных информационных систем и другие заинтересованные лица. Эти категории пользователей работают с простым и эргономичным Web-интерфейсом Avanpost IDM Workflow, делающим прозрачными все операции с заявками и процесс принятия решений об изменении доступа для групп пользователей.
Контроль, автоматизация и централизованное управление ролевой моделью с участием как офицеров безопасности, так и бизнес-подразделений существенно повышает уровень информационной безопасности организации. При этом, модуль ресертификации ролей ПК «Avanpost 3.0» упрощает аналитическую работу офицеров безопасности, направленную на выяснение того, как изменение прав доступа влияет на безопасность информационной системы предприятия.
Подчеркнем, что пользователи ПК «Avanpost 3.0» получают МРР бесплатно. Отметим также, что МРР опирается на инфраструктурные элементы этого IDM-решения, в частности, на подсистему электронного документооборота Avanpost IDM Workflow.
ПК «Avanpost 3.0» интегрирован с любыми доверенными источниками данных
Разработка компании Аванпост более чем вдвое сокращает время создания коннекторов (модулей подключения) системы ПК «Avanpost 3.0» к доверенным источникам данных, а также значительно снижает затраты на сопровождение этих модулей. Это связано с тем, что теперь множество сложных функций, вынесены в универсальный функциональный блок, совместно используемый различными коннекторами. Теперь, чтобы подключить практически любой источник данных к ПК «Avanpost», нужно лишь написать простейший плагин, описывающий структуру данных и способ взаимодействия с источником.
Отметим также, что новая инфраструктура интеграции существенно облегчает внедрение, поскольку участники внедрения работают с хорошо документированными интерфейсами прикладного программирования (API) и с единой гибко настраиваемой службой интеграции.
Более того, на базе новой инфраструктуры интеграции компания Аванпост создала инструментарий разработчика (Software Development Kit, или SDK), которым уже в ближайшее время смогут пользоваться партнеры компании и клиенты, внедрившие ПК «Avanpost». Большое число готовых коннекторов и простота их разработки являются существенным конкурентным преимуществом «ПК Avanpost 3.0». Теперь это преимущество еще возрастет.
Новая разработка Аванпост решает еще несколько задач, особенно важных для крупных заказчиков. Так, поддержка загрузки сразу из множества источников значительно облегчает централизованное внедрение ПК «Avanpost 3.0» на предприятиях с изначально децентрализованной инфраструктурой, применяющих в различных подразделениях разные кадровые системы, а также дополнительные источники данных: корпоративные порталы, реестры договорников и внешних сотрудников и др. Другое важное новшество касается стратегии загрузки информации из источников. Система может работать сразу с несколькими источниками, при этом в каждом случае алгоритм работы может существенно различаться. С помощью настроек этот алгоритм можно гибко настроить – с учетом приоритетов, очередности, а также полноты данных в источнике, наличия информации о событиях (например, кадровых приказов), метода работы с источником, поддержки им функции журналирования и др. Механизм стратегий полностью освобождает разработчика коннектора от реализации алгоритма синхронизации, обеспечения целостности данных, необходимости изучения структуры БД «Avanpost».
Avanpost 3.0 интегрирован с системами ДБО
Флагманский продукт компании Аванпост может быть легко интегрирован практически с любыми системами ДБО для управления сертификатами и носителями клиентов банков. Интеграция значительно упрощает работу банковских администраторов безопасности, а также ускоряет разработку коннекторов к конкретным системам ДБО.
Интерфейс реализован в виде серверного ПО, которое автоматически «забирает» необходимую информацию о запросах и клиентах из системы ДБО и переносит ее во внутреннюю БД модуля PKI ПК «Avanpost». Здесь администраторы безопасности проверяют и подтверждают запрос, после чего сертификат передается обратно в ДБО-систему и доставляется пользователю ее штатными средствами. Расписание работы и многие другие параметры сервиса задаются настройками, что не только обеспечивает большую гибкость в управлении механизмом интеграции, но и позволяет унифицировать наиболее сложные компоненты коннекторов к системам ДБО и вынести их в один многократно используемый элемент с хорошо документированными нтерфейсами прикладного программирования (API). Чтобы подключить к ПК «Avanpost» практически любое хранилище сертификатов, нужно лишь написать простейший плагин, описывающий формат хранилища. В итоге, по оценкам специалистов Аванпост, использование новой разработки позволяет в два-три раза сократить время создания коннекторов к системам ДБО и практически исключает необходимость их модификации при выходе новых версий ядра и основных модулей ПК «Avanpost».
Механизм интеграции в ДБО успешно прошел проверку в пилотных проектах и уже применяется в нескольких крупных кредитно-финансовых организациях в режиме промышленной эксплуатации.
Avanpost 3.0 интегрирован с АИС «Налог-3»
4 февраля 2014 года компания Аванпост объявила о завершении первого этапа создания подсистемы управления идентификационной информацией и электронными ключами на основе программного комплекса (ПК) «Avanpost 3.0» в АИС «Налог-3».
Подсистема - один из ключевых элементов системы обеспечения информационной безопасности (СОБИ) АИС «Налог-3». К 4 февраля 2014 года завершена поставка ПК «Avanpost 3.0», выполнены все работы по развертыванию подсистемы в рамках нескольких площадок заказчика.
ФНС России выбрала ПК «Avanpost 3.0» по итогам открытого конкурса на создание первой пусковой очереди СОБИ ИС «Налог-3». Исполнителем работ по созданию подсистемы управления идентификационной информацией и электронными ключами стала компания «Элвис-Плюс», платиновый партнер компании Аванпост.
АИС «Налог-3» – новая отраслевая информационная система для обеспечения основной деятельности ФНС России, её задача - упростить и ускорить консолидацию налоговых данных, предоставить доступ к ним на всей территории РФ. У АИС «Налог-3» одноуровневая централизованнпч архитектура, что создает большие преимущества в части развертывания, сопровождения и использования, но создает и новые риски, повышает требования к информационной безопасности.
Выбирая технологическую платформу для подсистемы управления идентификационной информацией и электронными ключами, заказчик представил детальный набор требований к функциональным и эксплуатационным характеристикам, провел масштабный пилотный проект, в ходе которого ПК «Avanpost 3.0» протестирован на общем стенде с комплексной системой ИБ. Проведена интеграция ПК «Avanpost 3.0» с пилотными информационными системами заказчика, нагрузочное тестирование. Результаты испытаний подтвердили - ПК «Avanpost 3.0» отвечает всем требованиям заказчика.
Следующим шагом в реализации проекта станет опытно-промышленная эксплуатация системы управления идентификационной информацией и электронными ключами (в составе СОБИ АИС «Налог-3») в 20 инспекциях ФНС, находящихся в Москве, Республике Татарстан, Волгоградской, Калужской, Московской, Нижегородской, Рязанской областях. После ввода в эксплуатацию в полном объеме АИС «Налог-3» предстоит поддерживать работу 120 тыс. пользователей и около 2 тыс. территориальных единиц ФНС России.
«Создание принципиально новой АИС "Налог-3" – важнейший ИТ-проект ФНС России. Учитывая его значимость и особую роль ИБ для нормальной работы АИС, мы установили очень высокую планку требований ко всем элементам СОБИ и, в частности, к технологической платформе подсистемы управления идентификационной информацией и электронными ключами, – отметил Олег Ковалев, начальник Центра безопасности информации ФГУП ГНИВЦ ФНС России. – Проведенный отбор и проверка в условиях масштабного пилотного проекта показали, что победившая в конкурсе российская разработка в плане функциональности не уступает лучшим зарубежным решениям в области IDM и PKI, что она обеспечена качественной поддержкой и позволяет значительно снизить затраты, сэкономив бюджетные средства. Это свидетельствует о значительном прогрессе всей российской отрасли ИБ».
Соответствие требованиям СТО БР ИББС-1.0-2010, PCI DSS v2.0 и №152-ФЗ
На февраль 2014 года Avanpost является универсальным продуктом, готовым к внедрению в компаниях самого различного профиля. Программный комплекс соответствует требованиям Стандарта ЦБ РФ (СТО БР ИББС-1.0-2010), PCI DSS v2.0, а также Федерального закона № 152-ФЗ «О персональных данных» и требованиям ФСБ по управлению лицензиями и дистрибутивами СКЗИ. В отличие от аналогичных систем зарубежных производителей в ПК Avanpost учтены все нюансы законодательства Российской Федерации и требований отраслевых стандартов.
ПК Avanpost был внедрен в ряде российских банков (в том числе входящих в ТОР-50), на данный момент работы по внедрению продукта ведутся в нескольких крупных строительных компаниях. Одним из первых заказчиков, внедривших ПК Avanpost, стал Русь-банк.
Компания Avanpost приняла меры к тому, чтобы преодолеть такие присущие лидирующим на рынке IDM-решениям недостатки в потребительских характеристиках, как высокая стоимость, отсутствие коннекторов к информационным системам, популярным в среде российских корпоративных пользователей, жесткие требования к ролевой модели доступа. Так, вендор обещает в конце третьего квартала текущего года выпустить новый инструментарий Role Management & Analytics, который позволит автоматизировать назначение прав доступа на основе модели бизнес-ролей, что значительно упростит и сократит процесс внедрения IDM Avanpost.
Средняя стоимость проекта внедрения ПК Avanpost составляет 15 млн. руб., сюда входит стоимость клиентских и серверных лицензий, серверов, услуг консалтинга, разработки коннекторов к информационным системам заказчика и работ по внедрению.
Цена среднего коннектора около 150 тыс. руб. (на настоящий момент в портфеле вендора более сотни готовых коннекторов к наиболее распространенным в России прикладным системам). Как правило, согласованно с IDM у заказчиков работает более десятка ИС, и к каждой из них требуется свой коннектор. В результате стоимость коннекторов в общей стоимости проекта составляет заметную часть.
Поскольку работа коннекторов тесно связана с ядром системы, их созданием Avanpost занимается самостоятельно и не предлагает сторонним компаниям интерфейсы прикладного программирования (API). Это позволяет на фоне постоянно модернизируемого ядра системы корректно вносить изменения в продукт в целом.
Внимание потенциальных заказчиков могут привлечь возможности ПК Avanpost, отражающие такие современные тренды в ИТ, как мобильность пользовательского доступа и поддержка облачных архитектур.[4]
Модуль Avanpost Mobile уже поддерживает однократную аутентификацию (SSO) для планшетов и смартфонов, работающих на платформе Android, и безопасную работу с корпоративной информацией за счет организации защищенного соединения на время сеанса связи. Компания Avanpost заявила о завершении в ближайшее время аналогичного модуля для ОС WindowsPhone и намерениях разработать к середине осени такой же модуль для платформы iOS.
2012
Avanpost 3.0
Программный комплекс «Avanpost 3.0» – система идентификации и управления доступом к информационным ресурсам предприятия (IDM) и управления инфраструктурой открытых ключей (PKI). ПК «Avanpost 3.0» является уникальным продуктом, по соотношению полноты функционала и стоимости не имеющий аналогов на российском и западном рынках. Разработан специально для того, чтобы единолично закрыть большинство проблем, которые возникают у служб ИБ при реализации политик безопасности в различных областях.
В сентябре 2012 года компания Avanpost объяила о завершении процедуры сертификации в ФСТЭК России своей основной разработки – программного комплекса (ПК) Avanpost 3.0. Сертификационные испытания проводились в лаборатории ЗАО «Научно-производственное объединение «Эшелон». Сертификат соответствия №2710 сроком до 7 сентября 2015 года удостоверяет, что в ПК Avanpost встроены соответствующие требованиям действующих технических условий и руководящих документов средства защиты от несанкционированного доступа к информации (не содержащей сведений, составляющих государственную тайну), а также, что это ПО не содержит недекларированных возможностей (НДВ). Отметим, что сертификация ПК Avanpost по НДВ проведена по четвертому уровню контроля.
Получение сертификата ФСТЭК – важнейший этап в развитии ПК Avanpost, ведь во многих случаях законодательство РФ предписывает использование в системах информационной безопасности только сертифицированных решений. Этого, в частности, требуют основополагающие нормативные документы в области защиты персональных данных (ФЗ-152) и информационной безопасности в банковской системе (СТО БР ИББС).
Особо подчеркнем: в тексте сертификата непосредственно указано, что ПК Avanpost можно использовать для защиты информации в информационных системах персональных данных (ИСПДн) до класса 1 включительно, в автоматизированных системах (АС) до класса 1Г включительно. Возможность применения ПК Avanpost в системах, требующих самого высокого класса защиты персональных данных, исключительно важна для всего рынка IDM, т. к. в ближайшие годы именно защита персональных данных и ИС кредитно-финансовых организаций будут оставаться основными драйверами развития рынка ИБ в России.
Отметим, что по своим функциональным характеристикам ПК Avanpost вполне соответствует требованиям даже самых крупных организаций, в то время как стоимость внедрения этого первого российского комплексного IDM-решения вполне приемлема для среднего бизнеса. Множество таких организаций уже осознало необходимость срочного внедрения IDM-систем, еще большее число потенциальных заказчиков в настоящее время проводят внедрения инфраструктурных систем и бизнес-приложений, которые напрямую ведут к IDM-системам. Соответственно, компания Avanpost и ее партнеры прогнозируют быстрый рост российского рынка IDM и уверены, что именно ПК Avanpost будет оптимальным выбором для большинства новых заказчиков. В то же время, многих из них отсутствие сертификата ФСТЭК вынудило бы ограничиться пилотными проектами. Теперь эта преграда устранена, что несомненно будет способствовать ускоренному развитию всего российского рынка IDM.
Поддержка персональных аппаратных средств аутентификации (токены, смарт-карты и др.), являющихся основой двухфакторной аутентификации. ПК «Avanpost 3.0» совместим со всеми распространенными на российском рынке вариантами токенов, включая популярные семейства eTocken («Аладдин Р.Д.») и Rutoken (компания «Актив»), линейки компаний «МультиCофт» (MS_Key) и ISBC, a также новейшие разработки компании «Аладдин Р.Д.» на базе платформы JaCarta. Отметим, что «Аладдин Р.Д.» и компания «Актив» являются технологическими партнерами компании Аванпост.
Второй проект связан с быстрым ростом интереса к трехфакторной аутентификации, которая усиливает аутентификацию на базе ключевых носителей за счет использования информации о фактическом местонахождении сотрудника, полученной из системы СКУД. Аванпост активно поддерживает эту новую перспективную тенденцию, поскольку трехфакторная аутентификация позволяет противодействовать халатности и нарушениям регламентов использования токенов, а также выявлять и пресекать различные схемы компьютерных преступлений, когда злоумышленник, выдав себя за легитимного пользователя защищенной ИС, становится невидимым для системы ИБ. В настоящее время полностью проработана архитектура системы трехфакторной аутентификации на базе ПК «Avanpost 3.0», реализован универсальный коннектор к популярной СКУД AS101 (производство компании «МИККОМ-ИСБ»), который позволяет IDM-системе не только получать необходимую информацию из системы СКУД, но и автоматически заводить в ней пользователей и управлять их правами допуска в различные зоны здания (например, центральный вход, кабинеты, отделы, производственные помещения и т. п.). В настоящее время данное решение апробировано в пилотном проекте, выполненном для одной из крупнейших вертикально-интегрированных российских компаний. В дальнейшем, планируется обеспечить совместимость ПК «Avanpost 3.0» с другими популярными на российском рынке системами СКУД.
В рамках третьего проекта были усовершенствованы существующие и созданы новые модули-коннекторы, обеспечивающие прозрачное автоматическое взаимодействие ПК «Avanpost 3.0» с другими элементами ИС предприятия. Сегодня разработано более 100 коннекторов к самым распространенным в России ИТ-решениям различного назначения. Это – кадровые системы (SAP HR, 1C:Кадры, БОСС-Кадровик, Диасофт, AD и др.), инфраструктура управления аккаунтами (MS Active Directory, Citrix), СУБД (Oracle, MS SQL), корпоративная почта и системы класса groupware (Lotus Notes/Domino, MS Exchange), системы управления предприятием (платформа SAP, линейка продуктов 1С и др.), банковские системы, корпоративные порталы, системы CRM и др. Более тридцати новых коннекторов находится в разработке, кроме того, предприятия могут заказать нестандартные коннекторы к редким, узкоспециализированным, отраслевым и «самописным» системам. Особо подчеркнем, что любые коннекторы (включая заказные) создает основной коллектив разработчиков ПК «Avanpost», при этом компания гарантирует их совместимость с новыми версиями систем. Разработка выполняется в сжатые сроки, а ее стоимость соответствует возможностям среднего бизнеса. Сегодня ПК «Avanpost 3.0» предлагает наиболее широкие возможности интеграции среди IDM-систем, представленных на российском рынке.
Основные изменения в релизе 3.0 связаны с появлением двух новых модулей:
- Avanpost IDM (Identity Management) — управление учетными записями пользователей в корпоративных информационных системах;
- Avanpost SLS (Self Service) — модуль самообслуживания пользователей.
Avanpost IDM предназначен для централизованного управления учетными записями и правами доступа пользователей к различным информационным системам, подключаемых к программному комплексу посредством т.н. коннекторов. Будучи итогом эволюционного развития модуля Avanpost ADM, модуль IDM построен по принципу обеспечения централизованного управления информационными ресурсами с возможностью передачи административных полномочий по управлению теми или иными элементами. Впоследствии именно модуль IDM стал флагманским компонентом всего программного комплекса Avanpost.
Модуль Avanpost SLS стал логичным продолжением концепции автоматизации бизнес-процессов служб ИТ и ИБ. Он представлял собой web-консоль самообслуживания пользователей, в которой они могли самостоятельно выполнять ряд повседневных задач, снижая тем самым загрузку обслуживающих подразделений.
Четвертый проект направлен на поддержку мобильных устройств, массовое применение которых для работы с корпоративной информацией и стремительный рост популярности концепции BYOD (Bring Your Own Device) – это важнейшая тенденция 2012-2013 гг. Откликаясь на этот тренд, компания разработала для ПК «Avanpost 3.0» новый модуль Avanpost Mobile, обеспечивающий функции однократной аутентификации (SSO) для планшетов и смартфонов на Android и безопасную работу с корпоративной информацией как через браузер, так и через любые приложения. Применение модуля Avanpost Mobile резко повышает безопасность мобильных и удаленных рабочих мест для самой распространенной мобильной платформы. В дальнейшем, компания Аванпост планирует создать аналогичный модуль и для платформы iOS.
ПК Avanpost 3.0 интегрирован с кадровой системой 1С
Компания Avanpost летом 2012 года объявила о завершении разработки и начале предоставления заказчикам модуля интеграции программного комплекса (ПК) Avanpost с модулем кадрового делопроизводства системы «1С Предприятие: зарплата и управление персоналом». Это важный шаг в реализации стратегии компании Avanpost, предусматривающей полнофункциональную интеграцию ПК Avanpost с наиболее популярными на российском рынке бизнес-приложениями, системами управления предприятием, СУБД, корпоративными порталами, системами электронного документооборота и специализированными решениями для кадрового делопроизводства и управления персоналом.
Основная специализация многопрофильного программного комплекса Avanpost в информационной системе заказчика – это централизованное управление в масштабах всей организации правами доступа пользователей к информации, а также аппаратными средствами персональной аутентификации (например, токенами). Прием на работу и увольнение, должностные перемещения и отпуска (кадровые события) – все это требует соответствующей перенастройки прав доступа, выдачи, аннулирования и повторной активации токенов. Интеграция с кадровой системой позволяет системе IDM автоматически реагировать на кадровые события, а интеграция с СУБД и прикладным ПО – автоматически транслировать эти события в правильные настройки их подсистем ИБ. Чем шире круг систем, с которыми интегрирован ПК Avanpost, тем в большей степени это решение систематизирует и автоматизирует работу IT-подразделений и служб информационной безопасности предприятия-заказчика. Новый коннектор обеспечивает полную интеграцию ПК Avanpost с кадровой системой модуля «1С Предприятие: зарплата и управление персоналом».
Сразу после установки и настройки коннектора информация о кадровых событиях начинает поступать в ПК Avanpost в режиме реального времени. На основе этих данных осуществляется автоматизированный выпуск сертификатов ключей подписи, обеспечивается полный жизненный цикл токенов, выпускаемых для сотрудников предприятия. ПК Avanpost своевременно обновляет сертификаты ключей подписи при истечении окончания их срока действия или изменения основных реквизитов владельцев, ведет поэкземплярный учет выдаваемых сотрудникам средств криптографической защиты информации – в полном соответствии с требованиями нормативных и законодательных актов. Реализована удобная функция, позволяющая оперативно приостанавливать срок действия сертификатов на время отпусков или болезни сотрудников, отзывать сертификаты при увольнении и расторжении трудового договора.
Более того, кадровые события и утвержденные матрицы доступа и бизнес-ролей служат основой для автоматического управления учетными записями сотрудников в корпоративных информационных ресурсах и приложениях, включая создание, блокирование таких записей, а также предоставление и отзыв прав доступа.
Новая разработка Avanpost освобождает системных администраторов и офицеров безопасности от огромного объема рутинных операций, предотвращает задержки и технические ошибки, связанные с переносом информации, позволяя этим специалистам сконцентрироваться на сложных задачах ИБ и администрирования корпоративных ИС. Эффективность работы еще более возрастает, благодаря продуманному распределению функций между АРМами. В качестве примера можно привести единую консоль, позволяющую контролировать инициализацию, учет, выдачу и отзыв носителей у увольняемых сотрудников. Отметим, что при этом поддерживается и работа с ПИН-конвертами с ПИН-кодами.
ПК Avanpost 3.0 интегрирован с IBM Lotus Notes/Domino
В октябре 2012 года компания Avanpost объявилао завершении разработки модуля интеграции программного комплекса (ПК) Avanpost c платформой IBM Lotus Notes/Domino, являющейся одним из наиболее зрелых масштабируемых и совершенных решений для создания систем коллективной работы с информацией (groupware) на территориально-распределенных предприятиях любого масштаба. Создание нового коннектора – это очередной важный шаг по направлению к полнофункциональной интеграции ПК Avanpost с системами электронного документооборота, управления предприятием, корпоративными порталами, персоналом, бизнес-приложениями и СУБД.
Новый коннектор ПК Avanpost автоматизирует практически все аспекты работы администратора системы Lotus Domino по управлению пользователями. Реагируя на события, регистрируемые в системе кадрового учета, коннектор создает, блокирует и разблокирует пользователей, включает их в группы и удаляет из них, проводит ресертификацию в случае изменения ФИО, а также создает персональные почтовые ящики. Отметим, что при использовании штатных инструментов администрирования Lotus Domino, создание пользователя и почтового ящика для него по трудоемкости превосходит формирование учетной записи в домене. Коннектор же позволяет это действие автоматизировать, тем самым значительно сокращая затрачиваемое на него время. Общая же нагрузка на администратора крупной территориально-распределенной сети, если учесть все поддерживаемые коннектором операции, снижается на 70-80%.
Не менее важно, что автоматическое управление с помощью коннектора учетными записями пользователей и их доступом к информации в БД Notes повышает безопасность информационных систем компании. В связи с этим особо подчеркнем, что коннектор повышает контроль за администраторами Domino. В частности, фиксация в кадровой системе приема на работу и увольнения, временной приостановки и возобновления полномочий администратора незамедлительно отражается на его административных правах в системе.
Новый коннектор ПК Avanpost реализован в виде двух программных компонент: одна взаимодействует с модулем Avanpost IDM и выдает управляющие воздействия, другая (Avanpost Lotus Agent) устанавливается на сервер Domino и транслирует эти воздействия в вызовы его API. Эта компонента написана на языке Java, она является стандартным Lotus-приложением и может работать в любой операционной системе, для которой есть версия сервера Lotus Domino (версия 6.5 и выше). Для передачи управляющих воздействий используются стандартный протокол HTTP и REST-интерфейс, сформированный компонентой Avanpost Lotus Agent. Каждый вызов может содержать все данные, а может быть неполным. В последнем случае каждая компонента поможет дополнять его информацией из внешних источников. Этот процесс полностью контролируется настройками. Коннектор полностью протоколирует все выполненные запросы, журнал хранится в БД Lotus Notes, права доступа к которой также находятся под управлением коннектора.
Новый коннектор существенно дополняет ранее существовавшие в ПК Avanpost средства интеграции модуля SSO с платформой IBM Lotus Notes/Domino. Напомним, что эти средства добавили к встроенной в Domino авторизации через контроллер домена поддержку централизованной авторизации с использованием сертификатов, аппаратных ключей (токенов, смарт-карт и др.) и биометрических технологий (при наличии соответствующего оборудования).
«В свое время система IBM Lotus Notes изменила характер коллективной работы с неструктурированной и слабо структурированной информацией в корпоративной среде, сформировала новую категорию groupware и утвердила ее как один из ключевых элементов ИС предприятий. Несмотря на технологические революции и появление множества разработок, провозглашавших себя „убийцами Notes` (Notes Killer App), эта платформа и сегодня сохраняет за собой статус лидера, – говорит Александр Санин, коммерческий директор компании Avanpost. – Системы groupware на базе IBM Lotus/Domino широко применяются в российском бизнесе и в системе государственного управления, а сама эта платформа является технологической основой многих универсальных и специализированных систем электронного документооборота и делопроизводства, созданных российскими разработчиками. Уверен, что наша новая разработка позволит многим отечественным компаниям перейти от оценки преимуществ IDM к реальным проектам и выбрать в качестве платформы ПК Avanpost».
ПК Avanpost 3.0 интегрирован с SAP HR
Решение SAP HR весьма популярно в крупных российских организациях, т. к. охватывает и увязывает в единую систему работу с персоналом на всех уровнях – от оперативного до стратегического. В зависимости от конфигурации, система SAP HR позволяет: управлять организационной структурой и штатным расписанием, вести кадровый учет и поддерживать соответствующий электронный документооборот, планировать карьеру и отслеживать должностные перемещения сотрудников, работать с кадровым резервом, управлять компетенциями и решать многие другие задачи.
На современном предприятии большинство событий, контролируемых системой SAP HR, предполагают изменение спектра доступных пользователю прикладных программ и корпоративных информационных ресурсов, а также прав доступа к информации. Это касается не только приема на работу и увольнения сотрудника, но и корпоративного обучения, аттестаций, временных и постоянных должностных перемещений, командировок и отпусков. Именно полнота охвата процессов управления персоналом в системе SAP HR, являющаяся привлекательной стороной для пользователя этого решения, приводит к лавинообразному росту числа событий, требующих безошибочной и своевременной корректировки прав доступа в тех или иных компонентах информационной системы предприятия. Это создает огромную нагрузку на подразделение ИБ, справляться с которой без IDM практически невозможно.
Новый коннектор ПК Avanpost позволяет модулю IDM автоматически получать из системы SAP HR всю необходимую информацию, включая: справочники сотрудников, должностей, подразделений, информацию о приеме на работу, отпуске, увольнении, назначении и изменении данных сотрудника. Коннектор запускается по расписанию или по событию и синхронизирует хранилище кадровых данных Avanpost с SAP HR: при первом подключении из SAP HR в ПК Avanpost копируются все справочники, а в дальнейшем коннектор отслеживает изменения, произошедшие в SAP HR с момента последней синхронизации, и отражает эти изменения в ПК Avanpost.
Коннектор разработан в соответствии с принципами SOA (Service-oriented Architecture) и использует стандартные и дополнительные веб-сервисы платформы SAP. Такая архитектура хорошо вписывается в современную корпоративную ИТ-инфраструктуру, а также практически снимает ограничения на распределение отдельных компонент системы «SAP HR – коннектор – ПК Avanpost» по элементам серверной инфраструктуры и не создает препятствий при миграции на облачную архитектуру.
«Создание коннектора к SAP HR – этапное событие для нашей компании, – говорит Конусов Андрей, генеральный директор компании Аванпост. – Мы не просто научили нашу IDM-систему взаимодействовать с HR-решением, на которой основывает свое кадровое делопроизводство и организационный менеджмент большинство крупных предприятий. Фактически мы достигли состояния, когда программный комплекс Avanpost интегрирован со всеми кадровыми системами, широко распространенными в российских компаниях. Это является весомым конкурентным преимуществом и вновь подтверждает технологическое лидерство компании Аванпост на российском рынке IDM».
ПК Avanpost 3.0 интегрирован с MySQL
Создание коннектора упрощает интеграцию ПК «Avanpost» с интернет- и интранет-порталами, интернет-магазинами, бизнес-приложениями, а также разнообразными облачными сервисами для бизнеса и частных лиц.
Модуль интеграции позволяет автоматизировать управление доступом сотрудников предприятия к любым объектам баз данных и свойствами пользователей, включая параметры SSL-соединения и ограничения по использованию ресурсов СУБД. Кроме этого, коннектор позволяет создавать, блокировать и разблокировать пользователей. Все эти действия выполняются без участия администратора как реакция на кадровые события: прием на работу и увольнение, изменения должности, командировки и др.
Реализация коннектора MySQL поддерживает выполнение полного набора функций IDM, таких как аудит, корректировка прав доступа, контроль вмешательства администраторов на уровне системы и т.д. Это позволяет автоматически выявлять все отклонения от утвержденной модели доступа, которые администратор БД внес по ошибке или по злому умыслу. Отклонения могут быть оперативно отменены (автоматически или вручную), а их сводка – передана для дальнейшего анализа в службу безопасности.
Отметим чрезвычайную простоту внедрения и настройки коннектора. Так, на стороне MySQL установка каких-либо дополнительных компонент не требуется. С СУБД коннектор работает через стандартный провайдер MySQL для платформы .NET, установленный на сервере ПК «Avanpost». Кроме того, в каждой БД, которую должна контролировать IDM-система, создается технический пользователь с необходимыми правами.
Создание модуля интеграции для MySQL – важный шаг по направлению к полнофункциональной интеграции ПК «Avanpost» с СУБД, получившими наиболее широкое распространение на российских предприятиях. Напомним, что ранее такие модули были разработаны для MS SQL и Oracle.
Функции однократной аутентификации (SSO, или Single Sign-On) включены в модуль Avanpost Mobile
Функции SSO включены в модуль Avanpost Mobile программного комплекса (ПК) «Аванпост 3.0». Создание механизма SSO для самой распространенной мобильной платформы, интегрированного с IDM и PKI, резко повышает безопасность мобильных и удаленных рабочих мест, популярность которых стремительно растет на предприятиях любых масштабов и любых направлений деятельности. Соответственно, новая разработка Аванпост представляет первостепенный интерес практически для любых организаций, включая те, которые применяют концепцию BYOD (Bring Your Own Device) – использование сотрудниками личных мобильных устройств для работы с корпоративной информацией.
Используя новую версию системы Avanpost Mobile, пользователь автоматически (без ввода логина и пароля) начинает работу на любом своем мобильном устройстве с защищенными внутрикорпоративными Web-ресурсами (интранет-портал, корпоративная веб-почта Microsoft Outlook Web App и др.), системами VoIP-телефонии, видео- и видеоконференцсвязи (например, Skype, SIP), а также с любыми Android-приложениями, являющимися клиентами корпоративной информационной системы (CRM, ERP, HR, бухгалтерия и др.) и облачных Web-сервисов. Тем самым на мобильном устройстве обеспечивается главное преимущество SSO: пользователям не нужно запоминать множество идентификационных пар, при этом организация может применять политики безопасности, требующие применения длинных стойких труднозапоминаемых, часто меняющихся паролей, которые еще и различаются во всех приложениях.
Основные настройки системы Avanpost Mobile делаются на сервере ПК «Avanpost», контролирующем, какие приложения доступны сотруднику на определенных мобильных устройствах (при этом генерацию и обновление паролей обеспечивает основное IDM-ядро ПК «Avanpost»). Здесь же формируется уникальный PIN-код мобильного устройства, причем при наличии соответствующих модулей система ПК «Avanpost» может напечатать PIN-конверт, что исключает доступ системного администратора к этой информации. Отметим, что при работе с мобильными устройствами используется та же инфраструктура, которая контролирует работу пользователей на ноутбуках и настольных ПК. Так, на мобильном устройстве нужно вводить тот же PIN-код, что и на аппаратном USB-токене пользователя. При этом подключать токен к смартфону или планшету не надо – информация о сертификатах и паролях берется непосредственно из хранилища ПК «Avanpost». Эта схема максимально удобна для пользователя и, в то же время, не снижает уровень защищенности системы.
На мобильное же устройство нужно лишь установить Android-приложение, причем для его работы не требуются привилегии root. Последнее обстоятельство исключительно важно, т. к. «рутирование» создает бреши во встроенной системе информационной безопасности платформы Android, а также может создавать проблемы при гарантийном ремонте устройства.
Отметим, что в новой версии модуля Avapost Mobile реализована также функция MDM (Mobile Device Management), которая позволяет дистанционно управлять операционной системой мобильного устройства, противодействовать вредоносным программам, препятствовать установке на мобильные устройства программного обеспечения, запрещенного в соответствии с корпоративной политикой ИБ, управлять доступом пользователя к локальным приложениям. В очередных версиях Avanpost Mobile функциональность MDM будет расширена: появится дистанционная установка программного обеспечения, блокирование устройства и полное удаление конфиденциальной информации при его утере, выборочная блокировка аппаратных компонент (SD-карта, камера, WiFi, Bluetooth и т. п.), централизованный GPS-мониторинг местоположения мобильных устройств компании. Кроме того, будет автоматически вестись журнал действий пользователей, нарушающих корпоративную политику ИБ, и появится возможность его автоматической передачи на сервер системы.
Avanpost Mobile работает под любой версией Android, начиная с версии 2.3.
Avanpost 3.0 - включена поддержка средств биометрической аутентификации
21 ноября 2013 года компания Аванпост сообщила о встраивании поддержки средств биометрической аутентификации в программный комплекс (ПК) «Avanpost 3.0».
Добавленный функционал открывает новые возможности к ускоренному внедрению комплексных высоконадежных систем управления доступом, а также систем двух- и трех-факторной аутентификации в госсекторе и у коммерческих заказчиков.
Пользователям ПК «Avanpost 3.0» становится доступна аутентификация по отпечатку пальца. Возможно ограничиться только биометрией или дополнить ее вводом PIN-кода и/или предъявлением смарт-карты (со встроенными средствами криптографии). В последнем случае успешная биометрическая проверка открывает доступ к смарт-карте и, в частности, к хранящемуся на ней закрытому ключу.
Система администрирования позволяет контролировать - какие корпоративные приложения и какие группы лиц подлежат тем или ином сочетаниям проверок. Все это без дополнительных затрат на системную интеграцию и разработку специализированного ПО.
2009: Avanpost 2.0
В конце 2009 – начале 2010 года новые разработки протестированы и в феврале 2010 года выпущен релиз Avanpost 2.0.
В его состав вошли новые модули:
- Avanpost IPSec (Internet Security Protocol) — построение защищенных VPN-соединений, в том числе с использованием крипто-алгоритмов ГОСТ;
- Avanpost ADM (Active Directory Management) — управление учетными записями в каталоге Microsoft Active Directory.
Первый модуль предназначался для обеспечения конфиденциальности и достоверности передаваемых по сети потоков данных и для авторизации пользователей при доступе к сетевым узлам. Этот модуль - реакция на запрос ключевого заказчика: поскольку компания широко распределена территориально, требовалось шифрование трафика между филиалами. Важно, что система работала на уровне сетевого протокола IP. Соответственно, программы, непосредственно использующие протоколы управления передачей (TCP) и различные транспортные протоколы (FTP, HTTP и т.д.) не «замечали» использования туннелирования. Это позволяло эксплуатировать совместно с системой подавляющее большинство прикладных программ, не внося в них каких-либо изменений, и не корректируя их настройки.
Модуль Avanpost ADM - прообраз действующего модуля Avanpost IDM (Identity Management), он автоматизировал процесс управления учетными записями пользователей в каталоге Microsoft Active Directory (AD). Модуль содержал достаточно гибкий механизм контроля событий о приеме и увольнении сотрудников в кадровой базе компании. На основе этой информации модуль автоматически создавал, либо блокировал учетные записи в AD.
В дополнение к новым модулям, функционал существующих существенно доработан. Avanpost PKI v.2.0 научился работать с большинством существующих на российском рынке типов ключевых носителей информации (eToken, Rutoken, смарт карты и т.д.). Продукт интегрирован с системой дистанционного банковского обслуживания (ДБО), чтобы управлять жизненным циклом токенов, выдаваемых клиентам банков (физическим и юридическим лицам).
В начале 2011 года компания приняла решение - начать процедуру сертификации ПК Avanpost в ФСТЭК России.
2007: Avanpost 1.0
В 2007 году выпущен первый релиз программного комплекса (ПК) Avanpost. Цель - автоматизировать многие процессы информационной безопасности на предприятии. После введения в промышленную эксплуатацию, команду программистов-разработчиков решили вывести в отдельное юридическое лицо и перевести в режим поддержки.
В первый релиз ПК Avanpost вошли модули:
- Avanpost PKI (Public Key Infrastructure) — управление элементами инфраструктуры открытых ключей;
- Avanpost SSO (Single Sign-On) — однократная аутентификация сразу в нескольких системах прикладного и инфраструктурного уровня;
- Avanpost SeS (Security Supervisor) — контроль и мониторинг действий пользователей.
Модуль Avanpost PKI v.1.0 собрал в себе функционал автоматизации и централизованного управления из единого интерфейса всеми элементами инфраструктуры открытых ключей. Сюда вошли:
- управление электронными сертификатами и ключевыми носителями,
- ведение поэкземплярного учета средств криптографической защиты информации (СКЗИ),
- автоматизация процесса выпуска сертификатов,
- реализация полного цикла среды разработки,
- ведение журналов событий.
В составе модуля Avanpost SSO v.1.0 функции для централизованного обновления парольной информации в ключевых носителях (токенах) пользователя и её автоматической подстановки в приложения, обслуживаемые системой SSO. Модуль перехватывал всплывающие окна приложений, в которые необходимо ввести парольную информацию, и подставлял в них данные, хранящиеся в защищенной области памяти ключевого носителя. При этом запись и удаление парольной информации на ключевой носитель происходили централизованно — с использованием сервера распространения паролей.
Модуль Avanpost SeS v.1.0 предназначался для управления доступом сотрудников к автоматизированным рабочим местам (АРМ) и к устройствам ввода/вывода информации, входящим в состав корпоративной информационной системы. Фактически, модуль представлял собой некий прообраз современных систем класса DLP и SIEM. С его помощью администраторы безопасности могли контролировать работу пользователей с портами ввода/вывода, управлять «белыми» и «черными» списками приложений, а также отслеживать и сигнализировать администратору о нежелательных действиях пользователя, нарушающих те или иные политики ИБ.
После внедрения версии 1.0, компания-разработчик продолжила развитие функционала продукта. В начале 2008 года продукт впервые внедрялся на коммерческой основе в сторонней организации.
В течение двух лет - 2008 и 2009 годов, разработчики развивали функционал ПК Avanpost. Выпущены несколько минорных версий продукта, улучшающих существующий функционал, исправляющих выявленные недоработки.
2004: Создание Avanpost
Система Avanpost была создана в 2004 году, и первыми крупными клиентами, внедрившими ее, стали банки, так как продукт разработан в полном соответствии с высокими требованиями в части информационной безопасности, предъявляемыми регуляторами к кредитно-финансовым организациям. Эта особенность повышает актуальность продукта для использования в компаниях различного профиля деятельности.
Примечания
- ↑ Технология единого входа (англ. Single Sign-On)
- ↑ Системы управления доступом к информации (англ. Information and Data Management)
- ↑ Инфраструктура открытых ключей (англ. PKI - Public Key Infrastructure)
- ↑ Avanpost: российские ИБ-интеграторы недооценивают IDM
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (55)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (848)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
СэйфТек (SafeTech) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Солар (ранее Ростелеком-Солар) (2)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 56)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (470, 229)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Konica Minolta (Коника Минолта) (1, 1)
Shenzhen Chainway Information Technology (1, 1)
ГК ОТР (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
IT-Lite (АйТи Лайт) (1, 1)
Другие (2, 2)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
1IDM (АйТи Солюшнз) (1, 1)
Right line (Райт лайн) (1, 1)
VK (ранее Mail.ru Group) (1, 1)
Другие (7, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
PayControl - 23
3-D Secure (3D-Secure) - 23
Avanpost IDM Access System - 20
Другие 270
PayControl - 3
МегаФон Мобильный ID - 2
Shenzhen Chainway C-серия RFID-считывателей - 1
Konica Minolta Dispatcher Suite - 1
ОТР.Опора - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed PAM - Indeed Privileged Access Manager - 2
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Solar webProxy Шлюз веб-безопасности - 1
PayControl - 1
Другие 1