Редакция журнала "Информационная безопасность", 20/11/25
Вопрос разграничения зон ответственности IGA и PAM уже давно вроде бы решен. Но в реальности именно здесь формируются болезненные разрывы, которые не устраняются ни новыми релизами продуктов, ни бумажными регламентами. Там, где по теории проходит четкая граница, на практике возникает зона неопределенности, и она становится главным источником рисков и одновременно поводом для поиска новых решений
В теории разграничение выглядит предельно ясным. Identity Governance and Administration (IGA, или в более привычной терминологии – IDM) управляет жизненным циклом Identity [1]: кто получает доступ, по каким правилам он назначается и когда отзывается. PAM работает на другом уровне – фиксирует и контролирует, как именно используются выданные привилегии, снижая риск злоупотреблений. Получается вполне красивая схема: IGA отвечает за "что и кому", PAM – за "как и когда".
Но на практике этот порядок начинает сбоить. ИТ-среды строятся на временных, автоматизированных и неперсонализированных доступах, которые не вписываются в строгие границы двух элементов общей системы контроля доступа. В результате ИБ сталкивается с зонами неопределенности: где кончается ответственность IGA и где начинается зона PAM?
Именно на стыке двух систем возникает много конфликтов. IGA может формально отработать свой процесс и выдать доступ, но в PAM при этом остаются висящие сессии, которые никто не спешит завершать. Или наоборот: PAM фиксирует все действия администратора, но у IGA нет данных, что он уже месяц как не должен обладать привилегиями. В быстро меняющихся инфраструктурах такие ситуации, к сожалению, становятся новой нормой, а не исключением.
Между тем по данным Solar 4RAYS за I кв. 2025 г., компрометация учетных записей стала вторым по частоте способом проникновения (40% случаев), а повышение привилегий стабильно входит в топ-техники атак. Дополняют картину исследования KuppingerCole: инциденты в управлении доступом нередко происходят именно в серой зоне между IGA и PAM.
Для ИБ это означает, что нарушение может произойти не потому, что IGA или PAM плохо справились с задачей, а из-за того что никто не управляет границей между ними.
Даже исключив из рассмотрения злой умысел пользователей, ясно, что эти разрывы бьют по устойчивости процессов. Неразграниченные сервисные аккаунты становятся черными ящиками, ведь невозможно понять, кто отвечает за аномальные действия. Виртуальные машины и контейнеры живут часы или дни, но их привилегии висят неделями. В итоге любой аудит превращается в поиск серых зон, где контроль вроде бы есть, но ответственности – нет.
Есть ли выход?
Если выход из этого тупика и есть, то он точно не в том, чтобы окончательно провести линию между IGA и PAM, а в том, чтобы признать: часть процессов всегда будет общей. И задача ИБ – сделать эту общую зону управляемой. Здесь на первый план выходит мониторинг и работа с широким спектром показателей: если время жизни сессии не соотносится с жизненным циклом учетной записи, это должно быть видно сразу; если у доступа нет владельца, система должна сигнализировать о нарушении; и далее в этом же роде.
Важно выстраивать общие сценарии – например, продолжая приведенные выше случаи, автоматически закрывать активные сессии при отзыве прав, контролировать владельца каждого сервисного аккаунта, вести единый журнал событий для анализа и расследований. Такой подход меняет логику: не два инструмента рядом, а один сквозной процесс управления привилегиями, где нет слепых зон.
Причем если сегодня границы уже размыты, то завтра они могут и вовсе исчезнуть. Первый сценарий – постепенное растворение PAM внутри IGA: когда управление цифровыми идентичностями становится настолько динамичным, что контроль сессий превращается в естественное продолжение процессов жизненного цикла УЗ. Возможен и другой, обратный сценарий: PAM становится "источником правды", где видно, что происходит с привилегиями в момент применения, а все решения IGA становятся для этого мониторинга лишь подготовительным слоем.
Обе траектории в известной степени спорны. Для специалистов по ИБ вопрос не в выборе, чья зона шире, а в том, какую модель стоит поддерживать с прицелом на будущее: централизованную иерархию управления доступами или распределенный контроль за действиями в реальном времени. Оба подхода имеют свою цену и свои риски, и именно это решение формирует стратегию управления правами доступа на годы вперед.
Выводы
IGA и PAM задумывались как два самостоятельных инструмента, но реальность лишила их права на изоляцию. Теперь приходится решать не вопрос разграничения, а вопрос стратегии: строить единый контур управления или сознательно поддерживать конкуренцию двух подходов. Удобного и очевидного компромисса здесь нет – каждый выбор подталкивает к своей модели дальнейшего развития. И именно это делает тему не академической, а стратегической: кто сумеет управлять стыком сегодня, тот определит контролируемость своей инфраструктуры завтра.
