суббота, 14 апреля 2012 г.

СОИБ. Проектирование. Управление строгой аутентификацией


В продолжение одной изпредыдущих заметок об актуальных решениях ИБ, как сертифицированный специалист хочу поддержать решение компании SafeNet (и входящей в неё Aladdin) – система управления строгой аутентификацией SafeNet Authentication Manager, SAM (ранее известная как TMS). Дополнительный повод – это выход новой версии SAM, привнесшей много дополнительных возможностей. Сейчас система находится на финальных стадиях сертификации в системе ФСТЭК России.

Система SafeNet Authentication Manager предназначено для построения инфраструктуры строгой аутентификации, как части системы обеспечения безопасного доступа к информационным ресурсам предприятия.

Наиболее востребованными областями применения инфраструктуры строгой аутентификации являются:
·         обеспечение удаленного доступа сотрудников, партнеров к информационным ресурсам предприятия;
·         обеспечение мобильного доступа к информационным ресурсам предприятия с любого мобильного устройства из любой точки сети Интернет;
·         обеспечение доступа к информационным ресурсам, подлежащим защите в соответствии с требованиями законодательства РФ, отраслевых и международных стандартов, других регулирующих документов;
·         обеспечения доступа сотрудников к наиболее критическим информационным ресурсам предприятия;
·         обеспечение доступа клиентов к критическим приложениям;
·         обеспечения доступа к системам сотрудников, обладающих максимальными полномочиями (администраторы).

Система SafeNet Authentication Manager поддерживает следующие варианты строгой аутентификации:
·         аутентификация по сертификатам – в данном варианте аутентификации пользователь предъявляет персональный цифровой сертификат открытого ключа; закрытый ключ хранится в защищенной части ключевого носителя eToken;
·         аутентификация по сложному паролю – в данном варианте аутентификации сложный персональный пароль пользователя хранится в защищенной части ключевого носителя eToken; для доступа к нему пользователь подключает eToken и вводит короткий пин-код;
·         аутентификация по одноразовым паролям – в данном варианте аутентификации пользователь каждый раз вводит новый одноразовый пароль; одноразовые пароли для пользователя генерируются средством усиленной аутентификации.
Система SafeNet Authentication Manager поддерживает средства строгой аутентификации в виде электронных ключевых носителей eToken, OTP-токенов eToken, программных (виртуальных) токенов eToken Virtual, программных средств MobilePASS и др.   
Аналогов по возможностям просто нет. Есть решения которые могут дополнить SAM но о них в следующих заметках.

Приводить типовую схему подключения SAM не имеет смысла. В классическом варианте это один сервер подключаемый в любую точку локальной сети.
Вместо этого привожу типовую схему взаимодействия компонентов SAM. Надеюсь кому-то окажется полезной.



21 комментарий:

Артем Агеев комментирует...

а в чем отличие между SAM и eToken TMS?

Сергей Борисов комментирует...

1. Полноценная поддержка OTP технологии (можно управлять OTP в AD, Citrix и некоторых других внешних системах)
2. Поддержка технологии и токенов для подписи транзакций (для банков)
3. Новые вариант аутентификации для мобильных устройств (virtual etoken и MobilePASS). Поддерживаются фактически все мобильные ОС.
4. Поддержка строгой аутентификации в облачных приложениях (например Google Apps)

Артем Агеев комментирует...

ээээ...

А у TMS не полноценная поддержка что ли?
Транзакции подписывает софт ДБО. Причем тут SAM?
Google Apps прекрасно поддерживает строгую аутентификацию сам, без стороннего софта.

Сергей Борисов комментирует...

SAM - это не система аутентификации, а система управления аутентификацией.

Для того чтобы управлять, необходимо иметь возможность взаимодействия с внешними системами.
(Чтобы при одним нажатием кнопки создавалась учетная запись, настройки и базовые права для неё)

Вот собственно добавляются новые коннекторы, появляются новые возможности по настройке.

Артем Агеев комментирует...

т.е. в SAM есть коннекторы для отечественных систем ДБО?

Сергей Борисов комментирует...

В случае с возможностями проверки транзакций - появился новый портал Transaction Signing Portal.
Он позволяет проверить транзакцию независимо от системы ДБО.

Но для того чтобы данные о результате проверки попали в ДБО необходима дополнительная интеграция.
Есть SafeNet Webportal API, через который (по заверениям производителя) легко можно интегрироваться с ДБО.

Артем Агеев комментирует...

интересно, как реализована "поддержка строгой аутентификации в Google Apps".

там ведь СМС либо генерация 6ти значного цифрового кода на телефоне.

"легко можно интегрироваться в ДБО" - это они серьезно? Т.е. производитель ДБО должен по просьбе банка изучить API SafeNet и выпустить специальную версию своего клиента?

Сергей Борисов комментирует...

"Легко интегрироваться" это замечание для интегратора или для разработчика ДБО.

Естественно что такие решения по усиленной защите транзакций не коробочные.

Но разработка собственного модуля проверки транзакций в связке с токенами проверки транзакций будет на порядок сложнее чем
интегрировать одну функцию SAM и ДБО.

Как же без интегратора в таких комплексных системах?

Сергей Борисов комментирует...

На счет SAM и Google apps.

В SAM настраиваем SAM Remote Portals (как раз новый сервис).
В google настраивается раздел SSO в котором прописываются URL нашего SAM Remote Portal.

Далее google редиректит на SAM когда пользователь хочет зайти на Google Apps.

Соответственно кому настроены сертификаты - ходит по сертификатам. Кому настроено ОTP - ходит по OTP.

Артем Агеев комментирует...

да, только вот двух факторная аутентификация от самого гугла в таком случае пропадает.

а ведь SMS и генератор OTP под мобильные ОС намного удобней, чем сертификат (который еще нужно поставить на мобильные устройства) и етокен (для которого нужен USB порт и который нужно носить с собой).

а правильный ответ на мой первоначальный вопрос видимо такой: SafeNet полностью заменить eToken TMS после получения сертификата.

Сергей Борисов комментирует...

На счет TMS, я видимо не расслышал вопроса.
Да, как только будет сертификат - сразу можно перестать продавать TMS и начать продавать SAM.

Артем, на счет двухфакторной аутентификации ты внимательно читал всё что написано выше?
SAM поддерживает OTP через генератор и OTP через SMS.
Так что в удобстве абсолютно ничего не теряем.

Артем Агеев комментирует...

Не услышать вопрос было легко... Вот не увидеть невозможно =)

Про СМС специально перечитал статью и комментарии. Ни одного упоминания не нашел.

Ссылку на Андроид маркет и аппстор с генератором OTP можно?

Сергей Борисов комментирует...

Android
https://play.google.com/store/apps/details?id=securecomputing.devices.android.controller&hl=ru

Apple
http://itunes.apple.com/us/app/safenet-mobilepass/id364682261?mt=8

SMS - это только один из вариантов доставки одноразового пароля (OTP)

Артем Агеев комментирует...

Вот уже и насобирали комментариев на отдельную статью про SafeNet =)

Исход читать ее будет поинтересней оригинала!

Артем Агеев комментирует...

и про "Аналогов по возможностям просто нет." из статьи...

На самом деле аналогов множество, и те, кто в этой теме давно, наоборот не видят ничего нового в том, что предложил Аладдин.

посмотри продукты Интел http://software.intel.com/en-us/articles/intel-application-security-and-identity-products-cloud-access-360/ и Микрософт http://www.microsoft.com/en-us/server-cloud/forefront/identity-manager.aspx

не всегда стоит верить только рекламным брошюрам.

Сергей Борисов комментирует...

Да, уж.
Вопросы были интересными, за ответами порой приходилось налезать глубоко в документацию (не на каждом обучении по SAM на эти вопросы ответили бы быстро). И за это мы с тобой заслужили как минимум по +1.

Сразу мне выдавать такие подробности было невыгодно. Только для заинтересованной аудитории.

Но вендор то выдержал испытания - вся маркетинговая информация подтверждается, новые возможности действительно хороши.

На счет "Аналогов" я писал не про мнение Gartner (хотя оно есть), а свое мнение с учетом некоторого анализа рынка.

Если рассматривать именно системы управления усиленной аутентификацией с такой поддержкой вариантов аутентификации и средств аутентификации - близких конкурентов нет.
В смежных областях много интересных решений:
это и Microsoft FIM (Oracle IM) - управление учетными записями (но не токенами)
это и Cisco ISE - управление сетевым доступом
это и Stonesoft Authentication Server - сервер аутентификации
это и Indeed-ID - система однократной аутентификации.
С приведенными выше системами SAM пересекается на 30%, но остальные 70% уникальны. Поэтому принято рассматривать как системы друг друга дополняют. Например SAM + Indeed-id.

Артем Агеев комментирует...

ну вот и вырисовывается правильная статья:

- SAM это замена TMS;
- ;
- ;
- .


;)

Артем Агеев комментирует...

ух ты.. блогер съел мои пункты )

...
- описание функций SAM из оригинальной статьи;
- описание особенностей типа OTP в андроиде и интеграция с ДБО;
- сравнение с конкурентами.

вот это интересно читать )

Сергей Борисов комментирует...

Так я же говорю, мне не выгодно вываливать сразу кучу аналитики - во не известно на сколько она востребована читателями, во вторых слишком много текста для заметки блога и она становится нечитаемой

Артем Агеев комментирует...

хм... ну тогда "описание функций SAM из оригинальной статьи" можно выбросить...

Сергей Борисов комментирует...

В блоге публикуется та информация о продуктах, та информация о тестированиях, та аналитика которая в данный момент больше всего интересует автора.

Но я принял твои пожелания к сведению и добавил в уже не маленький список тем о которых возможно напишу заметки.

Также заказы на аналитику по сравнению решений принимаются на платной основе