Панировочные сухари Заголовок сообщения
Безопасность

Zoho Directory 2.0: 8 новых функций безопасности, меняющих управление идентификацией

6 минут чтения
Попробуйте Zoho One Бесплатно (включая каталог) 30-дневная пробная версия • Включены все более 45 приложений.
Оглавление

Оглавление

  1. Что нового в каталоге Zoho 2.0
  2. Cloud RADIUS: безопасность Wi-Fi без серверов
  3. Смарт-группы: автоматизированное управление пользователями
  4. Политики условного доступа
  5. Политика маршрутизации аутентификации
  6. Принесите свой ключ (BYOK)
  7. Облачная интеграция с LDAP
  8. Журналы аудита и обнаружение аномалий
  9. Рекомендации по внедрению
Основное содержание

Что нового в каталоге Zoho 2.0

Zoho только что выпустила Directory 2.0, серьезное обновление своей платформы управления идентификацией сотрудников. Как консультант Zoho, внедривший решения по идентификации для десятков организаций, я особенно рад этим обновлениям, поскольку они устраняют реальные болевые точки, которые я вижу в этой области каждый день.

Обновление содержит восемь основных функций, которые упрощают управление идентификацией и одновременно повышают безопасность. Больше всего меня впечатляет то, что Zoho сосредоточился на удаление инфраструктурных зависимостей - больше не нужно поддерживать серверы RADIUS или экземпляры LDAP. Теперь все облачно.

Источник: Подробности функций на основе Официальное заявление Zoho (ноябрь 2025 г.). Рекомендации по анализу и реализации являются моими собственными на основе клиентских развертываний.

1. Cloud RADIUS: безопасность Wi-Fi без аппаратного обеспечения

Проблема, которую это решает

Традиционная безопасность Wi-Fi требует поддержания физических серверов RADIUS. Когда сотрудники уходят, вам приходится использовать общие пароли или отзыв сертификатов вручную. Я видел, как компании тратят тысячи долларов на инфраструктуру RADIUS только для того, чтобы защитить свой гостевой Wi-Fi.

Cloud RADIUS полностью исключает это. Он связывает доступ к сети непосредственно с идентификаторами пользователей в каталоге Zoho, обеспечивая:

  • Аутентификация на основе личности: Доступ к Wi-Fi привязан к учетным записям сотрудников, а не к общим паролям
  • Нулевая инфраструктура: Нет серверов для обслуживания, исправлений или резервного копирования.
  • Мгновенный отзыв доступа: Отключить учетную запись пользователя, немедленно потерять доступ к Wi-Fi
  • Автоматизация сертификатов: Сертификаты пользователей выдаются и обновляются автоматически

Совет по внедрению с мест

Начните с конференц-залов и гостевого Wi-Fi. Это позволяет вам протестировать систему, не нарушая работу основной сети. После стабилизации разверните сеть сотрудников отдел за отделом. Я обнаружил, что двухнедельный пилотный период для каждого отдела работает хорошо.

Схема, показывающая поток работы Cloud RADIUS: пользователь подключается к Wi-Fi, запрос RADIUS поступает в каталог Zoho, каталог проверяет и предоставляет доступ к сети.

2. Смарт-группы: установил и забыл Управление пользователями

Вот сценарий, который я вижу постоянно: HR нанимает кого-то в лондонский офис на должность менеджера по продажам. ИТ-специалист вручную добавляет их в:

  • Лондонская офисная группа
  • Группа отдела продаж
  • Группа часовых поясов GMT
  • Группа разрешений менеджера

Смарт-группы полностью автоматизируют это. Задайте условия один раз, и пользователи будут автоматически добавляться/удаляться на основе их атрибутов.

Ручные группы (старый способ)

  • ❌ Администратор вручную добавляет каждого пользователя
  • ❌ Членство легко забыть
  • ❌ Устаревшие группы по мере смены ролей
  • ❌ Отсутствие контроля изменений

Смарт-группы (новый путь)

  • ✅ Автоматически на основе атрибутов пользователя
  • ✅ Всегда точная и актуальная информация
  • ✅ Самоподдержание при смене ролей пользователей
  • ✅ Полный журнал аудита автоматизации

Примеры условий, которые я использую с клиентами

  • Домен электронной почты: Подрядчики автогруппы (@contractor.company.com) vs сотрудники
  • Местоположение: Региональные политики доступа (пользователи из ЕС получают другой доступ к приложениям)
  • Отдел: Продажи получают доступ к CRM, финансы получают доступ к книгам
  • Должность: Менеджеры автоматически получают разрешения на утверждение
Блок-схема, показывающая логику смарт-групп: изменяется атрибут пользователя, оценивается состояние смарт-группы и автоматически обновляется членство в группе.

3. Политики условного доступа: контекстно-зависимая безопасность

Именно здесь Zoho Directory 2.0 действительно проявляет себя с точки зрения безопасности предприятия. Условный доступ оценивает каждую попытку входа в систему на основе контекст, а не только учетные данные.

Что оценивается

  • Местоположение: Блокируйте входы из стран, подпадающих под санкции, или требуйте двухфакторную аутентификацию из новых мест.
  • Время: Ограничьте доступ в рабочее время или пометьте необычное время входа в систему.
  • IP-адрес: Белый список офисных IP-адресов, блокировка известных диапазонов VPN/прокси
  • Тип устройства: Требовать управляемые устройства для конфиденциальных приложений
  • Платформа: Разрешить iOS/Android, но блокировать взломанные устройства

Пример политики из реальной жизни

Для клиента финансовых услуг я настроил:

Политика: «Доступ финансовой группы»
Пользователь IF в финансовом отделе
И доступ Zoho Books
И местоположение НЕ в [США, Канаде, Великобритании]
ТОГДА требуется одобрение 2FA + менеджера.

ЕСЛИ время с 23:00 до 5:00 по местному времени
ЗАТЕМ заблокируйте доступ + предупредите службу безопасности

Скомпрометированная учетная запись была обнаружена в течение двух часов после взлома: злоумышленник вошел в систему из Восточной Европы в 3 часа ночи по восточному стандартному времени. Система заблокировала доступ и автоматически предупредила службу безопасности.

Дерево решений для условного доступа: запрос на вход проверяется на соответствие нескольким условиям (устройство, местоположение, роль), что приводит к таким результатам, как разрешение, отказ или требование 2FA.

4. Политика маршрутизации: методы аутентификации мандата

Разным командам нужны разные подходы к аутентификации. Политика маршрутизации позволяет применять определенные методы входа в систему в зависимости от групп пользователей или приложений.

Общие шаблоны маршрутизации

  • Руководители: Только без пароля (биометрические или аппаратные ключи)
  • Разработчики: Единый вход + 2FA с TOTP
  • Общие сотрудники: Пароль + СМС 2FA
  • Подрядчики: Вход через социальную сеть (Google/Microsoft) с ограниченным доступом к приложениям.

Стратегия развертывания

Не заставляйте всех использовать пароль без пароля с первого дня. Начните с руководителей и ИТ-команды, чтобы доказать концепцию. Как только они освоятся, перейдите к отделам, которые обрабатывают конфиденциальные данные (финансы, HR). Позвольте остальной части организации добровольно согласиться на участие в течение 2–3 месяцев, прежде чем сделать это обязательным.

5. Принесите свой ключ (BYOK): максимальный контроль данных

Для регулируемых отраслей (здравоохранение, финансы, правительство) ключи шифрования данных имеют решающее значение. БЁК означает вы контролируете ключи шифрования которые защищают ваши данные в каталоге Zoho.

Почему это важно

Благодаря BYOK Zoho не сможет получить доступ к вашим зашифрованным данным без ваших ключей. Если вы отзовете доступ к ключу, ваши данные немедленно станут нечитаемыми — даже для самих Zoho. Это критично для:

  • Соответствие HIPAA (здравоохранение)
  • Обеспечение соблюдения GDPR «право на забвение»
  • Нормативные требования в сфере финансовых услуг
  • Государственные/военные подрядчики

Кому это нужно: Если ваш сотрудник по соблюдению нормативных требований когда-либо спрашивал: «Где хранятся ключи шифрования?» - тебе нужен БЁК.

6. Облачный LDAP: службы каталогов без серверов

Подобно Cloud RADIUS, Cloud LDAP переносит традиционную аутентификацию LDAP в облако. Это очень важно для организаций с устаревшими приложениями, которым требуется LDAP, но которые не хотят поддерживать серверы Active Directory или OpenLDAP.

Варианты использования, которые я реализовал

  • VPN-аутентификация: OpenVPN/WireGuard прошел проверку подлинности в каталоге Zoho.
  • Сетевое оборудование: Коммутаторы, маршрутизаторы, межсетевые экраны, использующие LDAP для доступа администратора
  • Устаревшие приложения: Старые приложения Java, поддерживающие только аутентификацию LDAP
  • Linux-серверы: Аутентификация SSH через LDAP без поддержки локального каталога
Схема архитектуры Cloud LDAP. Устаревшее приложение отправляет запрос LDAP в конечную точку Cloud LDAP, который обрабатывается каталогом Zoho для предоставления ответа аутентификации.

7 и 8. Журналы аудита + обнаружение аномалий

Эти две функции работают вместе, обеспечивая полная видимость и автоматическое обнаружение угроз.

Журналы аудита

Каждая операция администратора протоколируется с помощью:

  • Кто совершил действие
  • Что изменилось (значения до/после)
  • Когда это произошло (с часовым поясом)
  • С какого IP-адреса

Это важно для аудита соответствия. Я не могу сказать вам, сколько раз группы по обеспечению соответствия требованиям просят «доказать, что пользователь X имел доступ к системе Y в день Z» — журналы аудита делают этот запрос 30-секундным, а не трехдневным расследованием.

Обнаружение аномалий

Машинное обучение анализирует модели поведения пользователей и отмечает необычную активность:

  • Вход с нового устройства в неурочные часы
  • Внезапный скачок количества загрузок файлов
  • Доступ к приложениям, которые никогда раньше не использовались
  • Географическое невозможное путешествие (Токио → Нью-Йорк за 2 часа)

Пример реагирования на реальный инцидент

У сотрудника клиента были взломаны учетные данные. Обнаружение аномалий отмечено:

  • Вход из Нигерии (обычно сотрудник находится в Чикаго)
  • Доступ к 15 различным приложениям за 3 минуты (обычно: 2–3 приложения в день)
  • Загружен полный каталог сотрудников (никогда не делалось раньше)

Команда безопасности была предупреждена в течение 90 секунд. Аккаунт заблокирован менее чем за 5 минут. Общий потенциальный ущерб: минимальный.

Рекомендации по внедрению

После внедрения Zoho Directory для более чем 20 организаций я рекомендую следующий подход к развертыванию:

Этап 1: Фонд (1-2 недели)

  1. Немедленно включите журналы аудита (вам нужны исторические данные)
  2. Настройка смарт-групп для базовой структуры организации
  3. Настройте обнаружение аномалий с консервативными пороговыми значениями

Этап 2: Контроль доступа (недели 3–4)

  1. Сначала внедрите условный доступ для приложений с высоким уровнем риска (финансы, HR-системы).
  2. Тестирование политики маршрутизации с пилотной группой (ИТ-команда или руководители)
  3. Документирование исключений из политики и рабочих процессов утверждения

Этап 3: Замена инфраструктуры (недели 5–8)

  1. Разверните Cloud RADIUS для тестирования сети (Wi-Fi в конференц-зале).
  2. Переносите приложения, зависящие от LDAP, в Cloud LDAP по одному.
  3. Запустите параллельные системы в течение 2 недель перед выводом из эксплуатации старой инфраструктуры.

Этап 4: Расширенная безопасность (неделя 9+)

  1. Внедрите BYOK, если это необходимо для обеспечения соответствия
  2. Точная настройка порогов обнаружения аномалий на основе реальных данных
  3. Расширить условный доступ ко всем приложениям
  4. Обучите команду реагированию на инциденты с помощью журналов аудита

Планирование бюджета

Каталог Zoho включен в состав Zoho One (37 долларов США за пользователя в месяц для всех более чем 45 приложений). Если вам нужен только Справочник, цены начинаются намного ниже. Окупаемость инвестиций достигается за счет вывода из эксплуатации серверов RADIUS/LDAP. Обычно я вижу экономию затрат на инфраструктуру в размере 500–2000 долларов в месяц плюс сокращение времени ИТ-администратора (4–10 часов в неделю).

Итог

Zoho Directory 2.0 — это не просто постепенное обновление, это фундаментальный переход от «управления идентификацией требуется инфраструктура» к «управлению идентификацией исключительно в облаке». Восемь новых функций решают реальные проблемы, с которыми я сталкиваюсь почти при каждом взаимодействии с клиентом:

  • Cloud RADIUS устраняет проблемы с безопасностью Wi-Fi
  • Смарт-группы снижают нагрузку на администраторов на 60–80 %.
  • Условный доступ обнаруживает угрозы, которые упускает из виду традиционный MFA
  • BYOK удовлетворит даже самых параноидальных сотрудников, отвечающих за соблюдение требований
  • Журналы аудита + обнаружение аномалий обеспечивают прозрачность корпоративного уровня.

Если вы в настоящее время управляете Active Directory, серверами RADIUS или инфраструктурой LDAP, Zoho Directory 2.0 заслуживает серьезной оценки. Усилия по переходу реальны, но долгосрочная экономия на эксплуатации и повышение безопасности делают его целесообразным для большинства организаций.

Раздел призыва к действию

Попробуйте каталог Zoho без риска

Zoho Каталог включен в Zoho One а также более 45 других бизнес-приложений. Начните 30-дневную бесплатную пробную версию, чтобы изучить все функции, обсуждаемые в этой статье.

Начать бесплатную пробную версию — Zoho One

Включает каталог Zoho + более 45 приложений • Кредитная карта не требуется • 30-дневная пробная версия

Связанные ресурсы

Связанные ресурсы