IAM Lifecycle (Identity and Access Management / управление удостоверениями и доступом)
1
Найм (Hire)
Создание учётки, RBAC (Role-Based Access Control / управление доступом на основе ролей) по роли, обучение по ИБ
→
2
Предоставление прав (Provisioning)
Автовыдача прав по подразделению, минимальные привилегии (Least Privilege)
→
3
Пересмотр доступов (Access Review)
Квартальный пересмотр, руководители подтверждают каждый доступ
→
4
Изменения (Changes)
Пересмотр старых прав при смене роли, без накопления
→
5
Увольнение (Offboarding)
Координация с HR (Human Resources / кадры), запуск отзыва
→
6
Депровижн (Deprov.)
Отзыв всех учёток, MFA-токенов (Multi-Factor Authentication / многофакторная аутентификация), ключей. В день увольнения!
PAM Architecture (Privileged Access Management / управление привилегированным доступом)
PAW (Privileged Access Workstation)
Защищённый компьютер
Хранилище (PAM Vault)
Хранилище паролей
JIT-запрос (Just-In-Time)
Временный доступ на 2ч
Согласование (Approval)
Согласование руководителем
Запись (Recording)
Видеозапись сессии
Автоотзыв (Auto-revoke)
Отзыв через 2ч
Стартап на 30 чел.
IAM как услуга (IAM-as-a-Service) (Yandex IAM, AWS IAM), MFA (Multi-Factor Authentication / многофакторная аутентификация) обязателен, ручное управление допустимо.
Корпорация на 5000 чел.
Централизованный IAM (Okta / AD (Active Directory / служба каталогов)) + PAM-решение. Обязательна автоматизация увольнения (offboarding) и пересмотра доступов (access review).
Активные учётки бывших сотрудников
% учёток, активных после увольнения
БЕЗ автоматизации
С автоматизацией
Красный флаг
«У нас 12 000 активных учёток на 5 000 сотрудников», это не норма, это бомба.
Спрашивайте: сколько должно быть? Сколько фактически? Какова дельта?
IAM и PAM, скучные, но критичные контроли. Большинство громких инцидентов начинались не с прорыва защиты, а со «забытой» учётной записи. Регулярный пересмотра доступов (access review), главный инструмент гигиены.