Защита рабочих станций и серверов продуктами Компании Индид и Кода Безопасности

Мы сотрудничаем с технологическими партнерами, чтобы помогать клиентам повышать безопасность в сфере ИТ. Один из них — компания «Код Безопасности». Наши продукты взаимно интегрированы и поддерживают совместное использование, позволяя укреплять защиту ИТ-инфраструктур наших клиентов.

Экосистемный подход и технологические партнерства между разработчиками средств защиты — один из способов обеспечить высокий уровень информационной безопасности предприятия в условиях повышенной активности злоумышленников, усиления санкционного давления и ухода передовых иностранных разработчиков с рынка.

Издание Anti-Malware.ru опубликовало обзорную статью о практике совместного использования продуктов Компании Индид и «Кода Безопасности». Ниже мы приведем краткую выжимку основного содержания статьи.

Технологическая интеграция обеспечивает контроль подключаемых устройств, защищенное взаимодействие с сетью, защиту локальных и удалённых рабочих мест, шифрование конфиденциальных данных и усиленную аутентификацию при доступе к ИТ-ресурсам. Продукты поддерживают различные сценарии интеграции и совместного применения, среди которых обязательно найдется оптимальный вариант для любой ситуации.

Совместное применение продуктов 

  1. Secret Net Studio и Indeed AM Windows Logon 

SNS предоставляет широкие возможности для обеспечения безопасности на уровне рабочей станции или сервера. Продукт включает в себя различные модули защиты. Однако в сфере защиты доступа он поддерживает только усиленную аутентификацию с помощью ключевых носителей и устройств iButton, а такие механизмы не подходят для дистанционной работы и удалённых подключений к рабочей станции.

Функциональные возможности Secret Net Studio

Indeed AM обеспечивает единую усиленную аутентификацию для практически любых категорий целевых ресурсов. Модуль Indeed AM WinLogon отвечает за механизм усиленной аутентификации для рабочих станций и серверов на базе ОС Microsoft Windows. Кроме того, продукт предоставляет единую консоль управления доступом к корпоративным ресурсам. Однако он не реализовывает каких-либо дополнительных сценариев защиты информации для рабочих станций.

Итак, усиленную аутентификацию обеспечивают оба продукта, однако SNS поддерживает лишь несколько способов аутентификации в дополнение к широкой функциональности, а Indeed AM, наоборот, поддерживает большое количество способов, но ничего более.

Очевидно, что эти продукты нужно применять в связке. Их возможности органично сочетаются, не вызывая взаимных конфликтов.

При интеграции этих решений SNS будет воспринимать средства аутентификации Indeed AM как доверенные, поэтому на защищённых с помощью SNS рабочих станциях можно будет использовать средства, которые выпущены Indeed AM.

2. Secret Net Studio и Indeed AM Enterprise Single Sign-On 

Indeed AM ESSO обеспечивает сквозную аутентификацию в приложениях и веб-приложениях на рабочих станциях и серверах (включая терминальные серверы) на базе ОС Microsoft Windows. Модуль поддерживает, в частности, самописные и устаревшие приложения. Он работает по принципу перехвата графических форм входа в систему (с возможностью ввода дополнительных данных). Кроме того, поддерживаются формы смены пароля. Для настольных приложений используется специализированное клиентское ПО, а в случае с веб-приложениями — расширение для браузера.

Совместное применение Indeed AM ESSO и SNS для сквозной аутентификации в настольных приложениях

Для того чтобы осуществлять усиленную аутентификацию при использовании ESSO, можно применять как Indeed AM WinLogon, так и уже установленный продукт SNS, поддерживающий аутентификацию с помощью ключевых носителей и устройств iButton.

При интеграции этих продуктов настольные и веб-приложения будут запускаться и смогут требовать усиленной аутентификации через SNS. Для пользователя это будет выглядеть так, будто он получает доступ к рабочей станции и к рабочим приложениям с помощью единого аутентификатора.

3. Secret Net Studio и Indeed Certificate Manager 

Indeed CM автоматизирует и оптимизирует работу операторов удостоверяющих центров. Продукт повышает производительность труда при обслуживании цифровых сертификатов и носителей ключевой информации, а также при управлении ими.

Перечень задач оператора УЦ, автоматизируемых и оптимизируемых с помощью Indeed Certificate Manager

Важно отметить, что SNS тоже позволяет управлять персональными идентификаторами (ключевыми носителями) и назначать их пользователям. Продукт создает на этих носителях защищённый контейнер, в который записывается идентификатор SNS, и обеспечивает возможность хранить пароль пользователя.

Совместное применение Indeed CM и SNS для управления сертификатами и носителями

Таким образом, в ИТ-инфраструктуре может сложиться ситуация, когда пользователям Indeed CM и SNS придётся проходить две процедуры назначения идентификатора, чтобы записать на носитель все необходимые данные и цифровые сертификаты.

Интеграция продуктов решает эту проблему: при выпуске или обновлении ключевого носителя в Indeed CM можно зарегистрировать носитель в базе SNS и присвоить его соответствующему пользователю как персональный идентификатор с уникальным серийным номером. При этом на ключевой носитель записывается идентификатор SNS. Если в Indeed CM включить хранение пароля в идентификаторе, то сведения об активации такого режима добавятся в базу данных SNS. Одновременно с этой операцией может выполняться запись пароля в идентификатор. После включения данного режима пароль пользователя при входе в систему не вводится с клавиатуры, а считывается из идентификатора.

4. Комплекс «Континент» и Indeed Access Manager

«Континент АП» — важный элемент инфраструктуры в системе защиты периметра на базе программных и программно-аппаратных комплексов «Континент». Одна из задач этого продукта — создание сетей VPN для связи с подразделениями, которые защищены при помощи АПКШ «Континент». Кроме того, продукт осуществляет фильтрацию сетевого трафика на рабочих станциях. При этом для запуска «Континента АП» каждый раз необходимо вводить специальный пароль. После этого устанавливается VPN-подключение к ресурсам корпоративной ИТ-инфраструктуры.

Схема функционирования комплексной системы защиты периметра «Континент»

Однако такой подход неудобен, поскольку он вынуждает пользователя запоминать пароль. Если цель проводимой в ИТ-инфраструктуре политики — максимально сократить эксплуатацию паролей и расширить применение различных факторов усиленной аутентификации, то необходимость использовать пароли для запуска «Континента АП» может снизить ее эффективность. Кроме того, пароль для запуска может быть разглашен и в дальнейшем использован злоумышленниками.

Как уже отмечалось, модуль Indeed AM ESSO обеспечивает сквозную аутентификацию в любых приложениях и веб-приложениях на рабочих станциях. Если используется SNS или Indeed AM WinLogon, то Indeed AM ESSO может также запрашивать усиленную аутентификацию для запуска приложения.

Indeed AM ESSO можно применять для автоматической подстановки пароля в окно запуска «Континента АП». При запуске приложения может автоматически включаться механизм обязательной усиленной аутентификации. Тогда для запуска VPN-клиента «Континент АП» пользователю достаточно будет предъявить свой усиленный аутентификатор, выпущенный Indeed AM (при использовании Indeed AM WinLogon) или SNS. В таком случае ему больше не нужно будет помнить пароль и он сможет применять единый аутентификатор для доступа и к рабочей станции, и в сеть VPN.

Мобильное приложение Indeed AirKey

Сегодня один из самых популярных способов аутентификации при удаленной работе — одноразовые пароли. Indeed AM включает в себя мобильное приложение Indeed AirKey, поддерживающее генерацию одноразовых паролей по протоколу TOTP.

Сценарии защиты 

Безопасность локальной работы 

Применяя SNS, «Континент АП» и модули Indeed AM одновременно, можно обеспечить высокий уровень безопасности рабочих мест при локальной работе в офисе или на производстве.

Для защиты доступа к корпоративным данным используются модули SNS, реализовывающие механизмы мандатного и дискреционного управления доступом к файлам. Продукт SNS обеспечивает контроль печати конфиденциальных документов с возможностью теневого копирования данных. На уровне системы SNS осуществляет противодействие сетевым угрозам и антивирусную защиту.

Для обеспечения безопасности доступа к рабочим местам может использоваться единый аутентификатор, выпускаемый в Indeed AM. Выбор способа аутентификации будет зависеть от конкретных сценариев защиты, формата доступа к ресурсам и критической значимости защищаемых данных. Правильно выбрав механизм усиленной аутентификации, можно предотвратить использование украденных реквизитов учетных записей для несанкционированного доступа к ИТ-ресурсам.

Совместное применение Indeed AM, Indeed CM и SNS для защиты локального доступа

Модуль Indeed AM ESSO обеспечивает сквозную усиленную аутентификацию в приложениях и веб-приложениях, поэтому он также нейтрализовывает угрозу несанкционированного доступа к приложениям.

Продукты SNS и Indeed CM обеспечивают всеобъемлющий контроль за обращением съёмных носителей в организации. Это касается и накопителей с ключевой информацией. Продукт SNS позволяет сформировать список доверенных носителей и запретить доступ к рабочим местам с помощью тех, которые не входят в этот перечень. При необходимости можно включить шифрование данных, записываемых на такие устройства. Ключевые носители управляются и отслеживаются через Indeed AM и Indeed CM. Клиентские компоненты Indeed CM будут отслеживать подключение и использование всех носителей ключевой информации, обращающихся в организации, и обнаруживать новые.

Централизованное управление аутентификаторами всех пользователей (включая носители с ключевой информацией) будет обеспечивать Indeed AM, а пользовательские учетные данные в службе каталогов будут защищены с помощью продукта SNS, интегрированного с Microsoft Active Directory.

Для авторизации может использоваться любой способ усиленной аутентификации, доступный в Indeed AM. Однако наилучшие результаты достигаются при помощи смарт-карт с чипом СКЗИ и RFID-меткой. На такой карте могут быть указаны фамилия, имя, отчество и должность сотрудника. Кроме того, на неё может быть нанесена фотография. В таком случае карта будет служить единым корпоративным удостоверением сотрудника.

Пример оформления универсального корпоративного удостоверения для доступа к ИТ-ресурсам компании

Подобное удостоверение, защищённое PIN-кодом, позволит сотруднику подтверждать свою личность, заходить в помещения под охраной СКУД, авторизовываться на рабочих станциях и в приложениях, а также хранить сертификаты цифровой подписи (в том числе ГОСТ-сертификаты и сертификаты доступа в ОС). Единое удостоверение и аутентификаторы будут отслеживаться с помощью Indeed AM и Indeed CM.

В продукте Indeed AM можно включить специальный режим, позволяющий сотруднику авторизоваться на рабочем месте от лица замещающего коллеги при помощи своей учётной записи.

Безопасность удаленной работы

Применяя SNS, «Континент АП» и модули Indeed AM одновременно, можно обеспечить высокий уровень защиты рабочих мест при выполнении удаленной работы.

Совместное применение Indeed AM и SNS для защиты удаленного доступа

Может осуществляться подключение к рабочей станции либо к терминальному серверу, например с другой рабочей станции внутри корпоративной сети. При этом модуль Indeed AM WinLogon запросит дополнительный фактор аутентификации.

Второй сценарий удаленного доступа предполагает использование продукта «Континент АП» для организации доступа к корпоративным ресурсам с удаленного рабочего места. При попытке запуска «Континента АП» будет запрошен второй фактор аутентификации (через Indeed AM WinLogon или через SNS), а модуль Indeed AM ESSO автоматически подставит необходимый пароль.

Совместное применение Indeed AM и «Континента АП» для защиты удаленного доступа

SNS борется с сетевыми угрозами путём локального межсетевого экранирования с контролем сетевых портов, а также при помощи модулей антивирусной защиты и обнаружения вторжений.

Для защиты мобильного рабочего места от физического доступа со стороны злоумышленников продукты SNS и Indeed AM предлагают целый ряд мер:

  • модуль доверенной загрузки ПАК «Соболь» блокирует попытки запуска рабочей станции через загрузочные диски;
  • механизм усиленной аутентификации Indeed AM делает невозможной авторизацию на рабочем месте с помощью нелегально полученных учетных данных;
  • шифрование диска в SNS нейтрализовывает угрозу извлечения и прямого подключения жёсткого диска для доступа к данным.

Для дистанционных подключений доступен широкий спектр факторов усиленной аутентификации, которые оптимальны при выполнении удаленного доступа:

  • одноразовые пароли, доставляемые в СМС-сообщениях, по электронной почте или с помощью телеграм-бота;
  • одноразовые пароли, генерируемые на аппаратном брелоке или в мобильном приложении;
  • пуш-уведомления, доставляемые через приложение Indeed AirKey или телеграм-бот.

В свою очередь, модуль Indeed AM ESSO обеспечивает сквозную аутентификацию в приложениях и веб-приложениях на удалённых рабочих станциях, а также на терминальном сервере.

Второй фактор можно запрашивать как при самом подключении, так и при аутентификации в приложении. Поддерживается режим замещения (с возможностью настройки перечня доступных приложений), а также отключение запроса второго фактора на определённое время.

Если используется компонент Indeed AM WinLogon, то режим замещения доступен и при удаленной работе.

Совместное использование продуктов «Кода Безопасности» и «Компании Индид» позволяет надёжно защитить рабочие станции при локальном и удаленном доступе. Для этого на рабочих станциях будут применяться передовые методы защиты от киберугроз и попыток несанкционированного доступа к информации. 

Авторы:

Ярослав Голеусов, Руководитель технологического консалтинга, «Компания Индид»

Роман Лопатин, Заместитель руководителя отдела продаж компании «Код безопасности»

Еще больше полезных материалов от экспертов и свежих новостей Компании Индид в нашем Telegram-канале

Присоединиться

Читайте еще по теме

Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10

Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]

Подробнее

Indeed Privileged Access Manager сертифицирован ФСТЭК России (сертификат соответствия № 4667)

Компания Индид объявляет о прохождении  Indeed Privileged Manager (Indeed РАМ) сертификационных испытаний в Системе сертификации ФСТЭК России по 4 уровню доверия.  Важно отметить, что сертифицированный Indeed PAM поддерживает […]

Подробнее

Подтверждена совместимость системы усиленной аутентификации Indeed AM с VPN-продуктами С-Терра

Уровень защищённости удалённого доступа к инфраструктуре предприятий через VPN-подключение можно повысить, используя решение для многофакторной аутентификации Indeed Access Manager (Indeed AM) совместно с VPN-продуктами С-Терра Шлюз и С-Терра […]

Подробнее

Indeed Privileged Access Manager на платформе киберполигона Jet CyberCamp

Компания Индид совместно с системным интегратором, компанией Инфосистемы Джет, создали программу киберучений на платформе Jet CyberCamp.  Об этом написали крупные СМИ, например, газета «Ведомости», веб-ресурс Cisoclub и многие […]

Подробнее

Indeed PAM совместим с операционной системой РЕД ОС

Компания Индид и «РЕД СОФТ» провели испытания на предмет проверки совместимости средства защиты информации Indeed PAM с операционной системой РЕД ОС. По результатам испытаний компаниями подписан сертификат, подтверждающий […]

Подробнее