СОИБ. Проектирование. Управление строгой аутентификацией
В продолжение одной изпредыдущих заметок об актуальных решениях ИБ, как сертифицированный специалист
хочу поддержать решение компании SafeNet (и входящей в неё Aladdin) – система управления строгой аутентификацией SafeNet Authentication Manager,
SAM (ранее известная
как TMS). Дополнительный
повод – это выход новой версии SAM,
привнесшей много дополнительных возможностей. Сейчас система находится на
финальных стадиях сертификации в системе ФСТЭК России.
Система SafeNet Authentication Manager
предназначено для построения инфраструктуры строгой аутентификации, как части
системы обеспечения безопасного доступа к информационным ресурсам предприятия.
Наиболее востребованными
областями применения инфраструктуры строгой аутентификации являются:
·
обеспечение удаленного доступа сотрудников,
партнеров к информационным ресурсам предприятия;
·
обеспечение мобильного доступа к информационным
ресурсам предприятия с любого мобильного устройства из любой точки сети
Интернет;
·
обеспечение доступа к информационным ресурсам,
подлежащим защите в соответствии с требованиями законодательства РФ, отраслевых
и международных стандартов, других регулирующих документов;
·
обеспечения доступа сотрудников к наиболее
критическим информационным ресурсам предприятия;
·
обеспечение доступа клиентов к критическим
приложениям;
·
обеспечения доступа к системам сотрудников,
обладающих максимальными полномочиями (администраторы).
Система SafeNet Authentication Manager
поддерживает следующие варианты строгой аутентификации:
·
аутентификация по сертификатам – в данном
варианте аутентификации пользователь предъявляет персональный цифровой
сертификат открытого ключа; закрытый ключ хранится в защищенной части ключевого
носителя eToken;
·
аутентификация по сложному паролю – в данном
варианте аутентификации сложный персональный пароль пользователя хранится в
защищенной части ключевого носителя eToken; для доступа к нему пользователь
подключает eToken и вводит короткий пин-код;
·
аутентификация по одноразовым паролям – в данном
варианте аутентификации пользователь каждый раз вводит новый одноразовый
пароль; одноразовые пароли для пользователя генерируются средством усиленной
аутентификации.
Система SafeNet Authentication Manager
поддерживает средства строгой аутентификации в виде электронных ключевых
носителей eToken, OTP-токенов eToken, программных (виртуальных)
токенов eToken Virtual,
программных средств MobilePASS и др.
Аналогов по возможностям просто нет. Есть решения которые могут дополнить SAM но о них в следующих заметках.
Приводить типовую схему
подключения SAM не имеет смысла. В классическом варианте это один сервер
подключаемый в любую точку локальной сети.
Вместо этого привожу типовую
схему взаимодействия компонентов SAM. Надеюсь кому-то окажется полезной.
Комментарии
2. Поддержка технологии и токенов для подписи транзакций (для банков)
3. Новые вариант аутентификации для мобильных устройств (virtual etoken и MobilePASS). Поддерживаются фактически все мобильные ОС.
4. Поддержка строгой аутентификации в облачных приложениях (например Google Apps)
А у TMS не полноценная поддержка что ли?
Транзакции подписывает софт ДБО. Причем тут SAM?
Google Apps прекрасно поддерживает строгую аутентификацию сам, без стороннего софта.
Для того чтобы управлять, необходимо иметь возможность взаимодействия с внешними системами.
(Чтобы при одним нажатием кнопки создавалась учетная запись, настройки и базовые права для неё)
Вот собственно добавляются новые коннекторы, появляются новые возможности по настройке.
Он позволяет проверить транзакцию независимо от системы ДБО.
Но для того чтобы данные о результате проверки попали в ДБО необходима дополнительная интеграция.
Есть SafeNet Webportal API, через который (по заверениям производителя) легко можно интегрироваться с ДБО.
там ведь СМС либо генерация 6ти значного цифрового кода на телефоне.
"легко можно интегрироваться в ДБО" - это они серьезно? Т.е. производитель ДБО должен по просьбе банка изучить API SafeNet и выпустить специальную версию своего клиента?
Естественно что такие решения по усиленной защите транзакций не коробочные.
Но разработка собственного модуля проверки транзакций в связке с токенами проверки транзакций будет на порядок сложнее чем
интегрировать одну функцию SAM и ДБО.
Как же без интегратора в таких комплексных системах?
В SAM настраиваем SAM Remote Portals (как раз новый сервис).
В google настраивается раздел SSO в котором прописываются URL нашего SAM Remote Portal.
Далее google редиректит на SAM когда пользователь хочет зайти на Google Apps.
Соответственно кому настроены сертификаты - ходит по сертификатам. Кому настроено ОTP - ходит по OTP.
а ведь SMS и генератор OTP под мобильные ОС намного удобней, чем сертификат (который еще нужно поставить на мобильные устройства) и етокен (для которого нужен USB порт и который нужно носить с собой).
а правильный ответ на мой первоначальный вопрос видимо такой: SafeNet полностью заменить eToken TMS после получения сертификата.
Да, как только будет сертификат - сразу можно перестать продавать TMS и начать продавать SAM.
Артем, на счет двухфакторной аутентификации ты внимательно читал всё что написано выше?
SAM поддерживает OTP через генератор и OTP через SMS.
Так что в удобстве абсолютно ничего не теряем.
Про СМС специально перечитал статью и комментарии. Ни одного упоминания не нашел.
Ссылку на Андроид маркет и аппстор с генератором OTP можно?
https://play.google.com/store/apps/details?id=securecomputing.devices.android.controller&hl=ru
Apple
http://itunes.apple.com/us/app/safenet-mobilepass/id364682261?mt=8
SMS - это только один из вариантов доставки одноразового пароля (OTP)
Исход читать ее будет поинтересней оригинала!
На самом деле аналогов множество, и те, кто в этой теме давно, наоборот не видят ничего нового в том, что предложил Аладдин.
посмотри продукты Интел http://software.intel.com/en-us/articles/intel-application-security-and-identity-products-cloud-access-360/ и Микрософт http://www.microsoft.com/en-us/server-cloud/forefront/identity-manager.aspx
не всегда стоит верить только рекламным брошюрам.
Вопросы были интересными, за ответами порой приходилось налезать глубоко в документацию (не на каждом обучении по SAM на эти вопросы ответили бы быстро). И за это мы с тобой заслужили как минимум по +1.
Сразу мне выдавать такие подробности было невыгодно. Только для заинтересованной аудитории.
Но вендор то выдержал испытания - вся маркетинговая информация подтверждается, новые возможности действительно хороши.
На счет "Аналогов" я писал не про мнение Gartner (хотя оно есть), а свое мнение с учетом некоторого анализа рынка.
Если рассматривать именно системы управления усиленной аутентификацией с такой поддержкой вариантов аутентификации и средств аутентификации - близких конкурентов нет.
В смежных областях много интересных решений:
это и Microsoft FIM (Oracle IM) - управление учетными записями (но не токенами)
это и Cisco ISE - управление сетевым доступом
это и Stonesoft Authentication Server - сервер аутентификации
это и Indeed-ID - система однократной аутентификации.
С приведенными выше системами SAM пересекается на 30%, но остальные 70% уникальны. Поэтому принято рассматривать как системы друг друга дополняют. Например SAM + Indeed-id.
- SAM это замена TMS;
- ;
- ;
- .
;)
...
- описание функций SAM из оригинальной статьи;
- описание особенностей типа OTP в андроиде и интеграция с ДБО;
- сравнение с конкурентами.
вот это интересно читать )
Но я принял твои пожелания к сведению и добавил в уже не маленький список тем о которых возможно напишу заметки.
Также заказы на аналитику по сравнению решений принимаются на платной основе