Стройная музыка доступа

Давайте немного пофантазируем и представим себя, стоящими в центре большой площади утром. А вокруг нас – стремительные потоки людей, все куда-то спешат, иногда даже расталкивают друг друга. Напоминает хаос?

А почему его не возникает в ИТ? Ведь в виртуальном мире объемы данных постоянно растут, буквально с каждой секундой их становится все больше и больше. Отсюда – острая необходимость в их управлении и контроле. Иначе трудностей при координации не избежать.

Именно для грамотной и эффективной организации работы ИТ-компании используют различные методы. Один из них – оркестрация. Это процесс, который отвечает за координирование и оптимизацию всех компонентов и сервисов в рамках какого-либо решения. Оркестрация описывает, как они должны взаимодействовать между собой (а работать всем «составляющим» необходимо слаженно, как единое целое).

Когда мы слышим ключевое слово этого материала, сразу представляем музыкальный оркестр. Да, сравнение достаточно банально, но оно, как ничто другое, хорошо описывает данный процесс.

Оркестр, как известно, состоит из музыкантов, каждый из которых играет свою партию. Гармоничное по звучанию произведение рождается только в том случае, когда появляется дирижер. Именно он руководит артистами: задаёт темп игры, обеспечивает согласованность исполнения и своевременное вступление в рамках музыкального произведения. Кстати, вспомним героев басни «Квартет» И. Крылова. Как бы они ни рассаживались, а игра все равно не получалась. Кто знает, может, дело было не только в отсутствии музыкальных талантов у животных, но и в том, что у них не было профессионального дирижера? (но это уже совсем другая история).

Так же и в мире ИТ. Оркестратор, как дирижер, позволяет «звучать» всем компонентам слаженно и гармонично. Он в автоматическом режиме координирует процессы их функционирования, разделяет задачи и контролирует своевременное выполнение каждой из них. Именно так и обеспечивается надежная, эффективная и максимально бесперебойная работа всей системы.

У процесса оркестрации есть несколько преимуществ. Первое и, пожалуй, самое главное – повышение эффективности работы. Множество задач выполняются не вручную, а автоматически. Отсюда – экономия времени и ресурсов. А еще сокращение трудозатрат и расходов на эти ресурсы. Ведь автоматизация позволяет компании грамотно использовать уже имеющиеся возможности и при этом не увеличивать бюджет. Важно и то, что процесс оркестрации может автоматически обнаруживать возникающие проблемы, реагировать на них и искать пути решения. То есть сохраняется стабильность и непрерывность в работе. Гарантировать такую же надежность при выполнении задач вручную сложно. Также благодаря автоматизации снижается и вероятность появления ошибок. 

А теперь поговорим о том, как устроены процессы оркестрации и автоматизации при работе PAM-системы СКДПУ НТ.

Вопрос удаленного доступа – один из самых важных в сфере защиты внутренней инфраструктуры организаций. Системы класса PAM не ограничиваются только предоставлением и фиксацией этого доступа.

Не менее значимым является функционал управления доступом, его предоставления и отзыва, а также автоматизации процесса его заведения. И да, мы имеем в виду именно полную автоматизацию и оркестрацию доступа. Это поможет для реализации сервиса «единого окна» в режиме портала самообслуживания – цикла запрос создания целевой машины – создание аккаунта доступа – предоставление доступа. А это очень удобно для работы пользователей. Если чуть подробнее, что дает такой функционал?

  • Автоматически предоставлять пользовательские контролируемые доступы к вновь создаваемым целевым системам через внутренний портал самообслуживания.
  • Проводить валидацию данных на предмет их консистентности.
  • Отзывать доступы в момент удаления ресурсов.
  • Коррелировать данные на основе взаимосвязей, описанных в структурах дерева каталогов.

 

Процесс создания ресурса и доступа выглядит так:

  1. Пользователь запрашивает создание нового ресурса через портал самообслуживания.
  2. Ответственный за одобрение предоставления ресурса обрабатывает заявку.
  3. Сервисы портала самоуправления инициируют создание запрашиваемого ресурса с определенными доступами.
  4. Происходит создание доступа средствами оркестратора гипервизора.
  5. В случае успешного создания ресурса инициируется формирование необходимых прав доступа для конкретного пользователя на СКДПУ НТ в соответствии с политиками доступа на основе каталога пользователей.

И уже после успешного завершения всех внутренних операций пользователь получает доступ к необходимому ему ресурсу в автоматическом режиме. Так и происходит автоматизация запросов на предоставление доступа и предоставления самого доступа (без их ручного разбора), создания машин и заведения политик на выдачу доступа по требованиям.

А теперь о выгодах. Изменение структуры и механизмов предоставления ресурсов позволяет минимизировать ошибки при ручном выполнении операций на каждой из задействованных систем и сократить время на предоставление конкретного доступа для пользователя. А еще помогает высвободить ресурсы ответственных за выдачу доступа сотрудников и при этом снизить количество согласований между смежными подразделениями. Эффективно? Эффективно!

Важно сказать, что в рамках реализации этого бизнес-сценария учитывались факторы отказоустойчивости и катастрофоустойчивости системы в целом. Подробно об этих свойствах в рамках работы СКДПУ НТ мы писали здесь. Для данного подхода были проработаны и реализованы механизмы дублирования системы предоставления доступа. Так, СКДПУ НТ была переведена в состояние активного резервирования на случай сбоев и непредвиденных ситуаций.

Оркестрация – гарант слаженного взаимодействия компонентов и отсутствия хаоса в ИТ-мире. А также (что особенно важно) мощный инструмент и надежный «помощник» в работе ИБ-решений. Так, удобство и эффективность слились воедино и реализовались в СКДПУ НТ. Автоматизировано и просто 😉