Курс на обновление: как перейти на отечественную IDM-систему

Уход с российского рынка зарубежных компаний-разработчиков стал испытанием для ИТ-инфраструктуры крупнейших предприятий страны. Под удар попали, в том числе, системы управления доступом, идентификации и аутентификации. Тысячи учетных записей оказались под угрозой компрометации, а компании столкнулись с необходимостью быстрой миграции на отечественные IDM-решения. Как максимально быстро и без потери данных перейти на российские аналоги IDM? Что учитывать при переходе на отечественные IDM-решения и как его спланировать? Рассказывает Никита Евгенов, директор по развитию бизнеса RooX.

Изначально IDM-решения в России развивались как системы управления доступом сотрудников к информационным ресурсам организации и были частью сложных ERP и CRM-систем. Из-за отсутствия российских аналогов первопроходцами в этой сфере стали зарубежные ИТ-гиганты: Oracle, IBM, Microsoft.

Со временем появились отечественные IDM-решения, а также opensource наработки для самостоятельной разработки простых IDM. Однако проникновение зарубежных систем по-прежнему велико.

Подходы к аутентификации и авторизации пользователей

До недавнего времени существовали 5 вариантов, как российские компании решали свои задачи в области аутентификации и авторизации, если мы говорим об использовании зарубежных решений:

1. В организации использовалась сложная производственная система от одного из крупнейших мировых разработчиков (Oracle, SAP, IBM, Microsoft), в связке с которой шло IDM-решение того же вендора.
2. Для управления доступом использовалось решение стороннего разработчика, специализирующегося на IDM (One Identity, SailPoint, Micro Focus и другие). Оно размещалось на собственной инфраструктуре и интегрировалось с прикладными системами.
3. Аутентификацию и авторизацию обеспечивал облачный сервис, например, Okta Identity, Auth0 или Firebase.
4. Компания вела собственную разработку функциональности управления доступом, используя открытое ПО (например, Keycloack, библиотеки на Spring или .Net).
5. Модуль аутентификации и авторизации являлся частью относительно небольшой прикладной системы – CRM, нишевых интернет-магазинов и им подобных.

Такой порядок работал десятилетиями до марта 2022 года, пока не случился «великий исход» зарубежных поставщиков. Глобально именно по причине глубокой интеграции IDM-решений в корпоративную среду эта сторона вопроса оказалась наиболее уязвимой. Сильнее всего уход с рынка иностранных компаний в сфере IDM ударил именно по первым трем вариантам пользователей. Впрочем, и у «опенсорсной» разработки обнаружились свои особенности.

Какие проблемы возникли у бизнеса

Сегодня у зарубежных компаний, поставляющих IDM-решения, есть три варианта ухода. Это прекращение новых продаж, прекращение поддержки систем (иногда из санкционных соображений, иногда из-за окончания оплаченного периода при невозможности оплатить следующий), а также ограничение доступа к облачному сервису. Каждый из этих вариантов порождает для бизнеса свои проблемы.

Если решение вендора рассматривалось среди возможных кандидатов для внедрения, а продажи прекратились, бизнесу необходимо заново инициировать процесс выбора решения – возможно придется устанавливать новые критерии отбора, объявить новый тендер, запускать согласования с юристами и закупками. Это бывает мучительно. Иные компании задумаются, а не проще ли разработать модуль самостоятельно и больше никогда не зависеть от стороннего ПО?

Если вендор прекращает поддержку, то у системы больше не будет обновления версий, оперативного устранения уязвимостей, поддержки современных стандартов безопасности и безопасных точек интеграции для разработчиков. В случае с IDM отсутствие поддержки может быть критичным для бизнеса из-за угроз несанкционированного доступа.

Если отключается доступ к облачным сервисам, то компании грозит потеря и базы данных учетных записей, и доступа к функциональности. Тот же Oracle закрывает доступ к облаку и хранящимся в нем корпоративным данным, что породило большие проблемы. Начинать переход следует, не дожидаясь окончания периода подписки.

Впрочем, не всё так страшно. Даже в такой сложной ситуации можно провести успешный переход на новую IDM. Ниже расскажем о сценариях миграции.

Варианты миграции на новые IDM

Основных сценариев обновления IDM-системы на предприятии всего два. Это собственная разработка на базе opensource и миграция на российские решения. У каждого варианта есть свои особенности.

Вариант №1. Собственная opensource-разработка

Собственная разработка на базе открытого ПО давно используется различными компаниями, более того, в любые кризисные времена популярность этого подхода возрастает. Так что на данный момент на рынке накоплено достаточно знаний, решений, методик по этому направлению. Однако у сегодняшней ситуации есть своя специфика, которую стоит иметь в виду при выборе opensource для IDM.

В общем случае, у opensource-проектов нет вендора, а, следовательно, нет поддержки с обязательствами закрывать найденные уязвимости, исправлять ошибки и так далее. Для этого нужно либо искать подрядчика, либо разбираться в теме силами своих разработчиков.

Доверять opensourse-сообществу, как раньше, сейчас невозможно. К сожалению, участились случаи использования уязвимостей для внедрения вредоносного кода или компрометирующей информации.

Кроме того, чтобы проверить и вычистить потенциальные угрозы, написать собственный функционал, схожий с зарубежными решениями, поддерживать всю сопутствующую инфраструктуру, в первую очередь нужна высокопрофессиональная команда. Последние несколько лет ИТ-сфера и так испытывала кадровый голод, а сейчас ситуация осложняется массовой релокацией российских программистов и невозможностью привлекать к работе сторонние команды из других стран.

Тенденции подтверждает и недавний отчет HH.ru. Число вакансий в сфере IT в министерствах и подведомственных структурах увеличилось вдвое за две недели с 24 февраля. На позицию системного администратора предложений стало больше на 111%, количество вакансий специалистов по технической поддержке увеличилось на 101%, а веб-инженеров – на 120%. Эти данные свидетельствуют о нехватке IT-специалистов даже широкого профиля.

Все это приводит к существенному удорожанию собственной разработки. Не каждая компания готова инвестировать время и финансы в текущих условиях.

Вариант №2. Миграция на российские решения

Здесь есть два сценария – для stand-alone решений и для облака. Рассмотрим особенности каждого из них.

Мигрируем на отечественный Stand-alone IDM

Концепция миграции для Stand-alone приложений включает в себя перенос функциональности, перенос данных пользователей, сохранение интеграционных связей и интерфейсов. Вот на что нужно обратить внимание:

1. Вашей компании понадобится подрядчик с сильной экспертизой именно в области IDM. При создании качественного IDM-решения почти невозможно пройти по пути «заказчик пишет требования – подрядчик реализует». Есть неочевидные требования безопасности, есть сложная матрица пользовательских сценариев. Например, в RooX UIDM мы заложили поддержку около 400 требований безопасности из стандартов OWASP, NIST, ГОСТ и ЦБ и более 30 методов, из которых складываются пользовательские сценарии аутентификации и авторизации.
2. Время работает против вас – риски неподдерживаемых западных IDM, которые ещё работают на вашем предприятии, постоянно растут. Чтобы их минимизировать на момент перехода, рекомендуем «прикрутить» к старому решению web application firewall, чтобы определять вид запроса и блокировать те из них, которые ведут к возможным уязвимостям. Самые известные решения подобного класса были, конечно, платные зарубежные, но есть и отечественные.
3. Важный момент перехода – миграция пользователей. Базы учетных данных могут быть довольно большими, даже если мы говорим о сотрудниках, а количество внешних пользователей вообще может измеряться миллионами. Например, из публичных данных: не считая юрлиц, только у банка «Тинькофф» порядка 18,5 млн клиентов, у «ВТБ» – свыше 13,9 млн, у «Сбербанка» – более 100,5 млн. Кроме, собственно, учета особенностей миграции таких больших баз, к решению, на которое вы мигрируете, нужно предъявлять особые требования производительности и отказоустойчивости. Мы про эти особенности знаем по собственному опыту, так как решениями RooX пользуются около 50 миллионов пользователей в год.

Мигрируем на отечественный облачный IDM

Концепция миграции для облака включает в себя перенос функциональности и экспорт/импорт базы данных пользователей.

Самое главное сейчас ― бэкап базы учетных записей. Чтобы снизить риск внезапной блокировки системы, нужно немедленно экспортировать базу данных пользователей. Пароли, конечно, будут утрачены, но их можно попросить установить снова. Если же вендор уже ограничил доступ к своим сервисным продуктам или даже удалил пользовательские данные, можно попробовать восстановить данные из других систем, где они могут храниться ― например, CRM, MDM, АБС.

И есть одна особенность рынка российских облачных IDM-решений ― в сегменте CIAM (Client Identification and Access Management) их почти нет. Поэтому наша компания начала разработку RooX UIDM Cloud. Мы делаем его максимально адаптированным к российским реалиям и приглашаем компании, заинтересованные в оперативной миграции, стать ранними участниками сервиса.

Трудно, но возможно

Переход на отечественные IDM-системы – специфичная задача, которая буквально в один день встала в разряд «важных и срочных». Рынок обеспокоен, с подобными проблемами в таких масштабах он еще не сталкивался, у него мало качественной экспертизы. Предположу, что в ближайшем будущем рынок будет наблюдать рост спроса на аутсорсинговые услуги в этой сфере – слишком специфична задача и слишком индивидуальна ситуация у каждого отдельно взятого бизнеса.

По нашему опыту, на такой переход может уйти от нескольких месяцев до года. У зарубежных систем есть свои особенности, к тому же многолетняя интеграция в ИТ-ландшафт предприятия дает о себе знать – так просто «костыль» вместо ноги не поставишь.

Однако, это не значит, что задача невыполнимая. Российские разработчики уже стали предлагать бизнесу программы поддержки для быстрого перехода. Мы, в частности, готовы бесплатно разрабатывать план миграции для всех, кто хочет перейти на отечественные IDM.