Централизованное
управление
аутентификацией

Решение на основе Indeed AM и Indeed Key интегрирует единый сценарий усиленной аутентификации между разными типами целевых ресурсов

Получить описание

Демонстрация работы решения

Посмотрите короткий ролик о внедрении единого сценария усиленной аутентификации или запланируйте онлайн демонстрацию

запланировать демонстрацию

Описание решения

Задача

Системы централизованного управления доступом принципиально отличаются от решений для централизованного управления другими процессами в сфере защиты информации.

Например, для обеспечения безопасности периметра можно приобрести оборудование и ПО одного разработчика и, соответственно, использовать единую консоль управления и мониторинга. Для выявления утечек или для защиты от кибератак и вирусов также предлагаются централизованные решения.

Однако элементы управления доступом, в отличие от других средств защиты информации, изначально существуют в любой ИТ-инфраструктуре в виде подсистем авторизации для каждого отдельно взятого сервиса, приложения, веб-приложения и ОС. Эти подсистемы реализуют процедуры идентификации, аутентификации и разграничения доступа независимо друг от друга, а также обладают собственными консолями управления и журналами событий.

Из-за такой разрозненности процессов, связанных с управлением учетными записями и их мониторингом, сформировать единый подход к управлению доступом весьма непросто. Эта задача осложняется и тем, что каждый сервис или система может использовать собственную нотацию имен и фиксировать только отдельные события информационной безопасности. Это серьезно затрудняет расследование инцидентов, связанных с доступом, особенно если организация не использует решений класса Security Information and Event Management (SIEM).

Как следствие, в таких условиях отсутствуют единые политики управления аутентификаторами, в том числе паролями. Соответственно, для доступа к сервисам с отдельными подсистемами авторизации пользователям приходится оперировать несколькими аутентификаторами.

Централизовать управление доступом и учетными записями можно с помощью продукта класса Identity Governance & Administartion (IGA). Однако подобные системы крайне сложно внедрять, при этом далеко не все из них включают в себя модули управления аутентификацией и поддерживают различные сценарии усиленной аутентификации. Основная функция подобных продуктов – управление жизненным циклом учетных записей и их полномочиями при работе с целевыми системами, устройствами, сервисами, приложениями и веб-приложениями.

Сложности при администрировании и эксплуатации разрозненных систем аутентификации способны привести к потерям финансов и времени, не говоря уже о том, что организация может столкнуться с угрозами для информационной безопасности. Чтобы решить эту проблему максимально эффективно, можно использовать специализированный продукт класса Access Management для управления доступом и его защиты.

Решение

Чтобы построить централизованную систему управления доступом и его защиты, в первую очередь необходимо интегрировать управляющую платформу решения Access Management со всеми целевыми ресурсами.

К решениям этого класса относится продукт Компании Индид – Indeed Access Manager (Indeed AM). Платформа Indeed AM поддерживает интеграцию со следующими типами ресурсов:

  • рабочие места под управлением ОС Microsoft Windows;
  • серверы приложений (Microsoft Windows Remote Desktop Server или Citrix XenServer);
  • виртуальные рабочие столы (VDI);
  • VPN-шлюзы для удаленного доступа;
  • публичные и корпоративные веб-сервисы;
  • корпоративные локальные приложения на рабочих станциях и др.
Централизованная система управления и защиты доступа

Интеграция позволяет реализовать единые сценарии усиленной аутентификации, в частности следующие:

  • биометрическая аутентификация;
  • аутентификация с использованием аппаратных устройств;
  • аутентификация с помощью генераторов одноразовых паролей;
  • push-аутентификация.

В части централизованного управления доступом платформа Indeed AM поддерживает следующие основные решения::

  • единый журнал событий доступа с персонификацией каждого подключения, который позволяет снизить трудозатраты на расследование соответствующих инцидентов;
  • единые политики управления аутентификацией и доступом к целевым системам, минимизирующие трудозатраты на управление аутентификацией в разных сервисах компании;
  • единые наборы аутентификаторов, которые можно настраивать индивидуально для каждой группы пользователей, обеспечивая им доступ ко всем корпоративным ресурсам как в удаленном, так и в локальном режиме.

Помимо этого, Indeed AM поддерживает режим замещения, который позволяет исключить передачу учетных данных между пользователями.

Технические характеристики

Поддержка интеграции с каталогом пользователей

  • Active Directory
  • Многодоменная инфраструктура

Поддерживаемые целевые системы

  • Рабочие места с ОС Microsoft Windows.
  • Рабочие места с ОС Linux/Unix
  • Microsoft Remote Desktop Server
  • Microsoft Internet Information Services
  • Веб-приложения
  • VPN-серверы
  • Серверы приложений
  • Виртуальные рабочие столы (VDI)

Поддерживаемые механизмы интеграции с целевыми приложениями

  • RADIUS
  • ADFS
  • SAML
  • OpenID Connect
  • OAuth 2.0
  • Kerberos
  • Enterprise Single Sign-On

Поддерживаемые технологии аутентификации

  • Биометрия: отпечатки пальцев, рисунок вен ладони, геометрия лица (двухмерное и трехмерное изображение)
  • Аппаратные устройства: бесконтактные карты, USB-токены, iButton, RFID-карты, карты с биометрическим считывателем
  • Одноразовые пароли: приложения TOTP/HOTP, брелоки OTP, доставка одноразовых паролей с помощью СМС, Telegram, электронной почты
  • Прочие способы: push-аутентификация (Indeed Key, Telegram-бот), сетевые и виртуальные смарт-карты (посредством Indeed Certificate Manager), аутентификация по геолокации (через СКУД «Бастион», «Орион» от «Болида», TSS от «Компании Семь печатей»)

Поддерживаемые типы операций управления доступом

  • Операции с аутентификаторами (присвоение и отзыв, блокировка и разблокировка)
  • Операции с целевыми системами (применение способов аутентификации, управление паролями, сквозная аутентификация)
  • Дополнительные операции (включение режима замещения сотрудников, применение политик на основе групп Active Directory, индивидуальные политики для каждой целевой системы, сервиса или приложения)
  • Ведение единого журнала событий аутентификации с их персонификацией (привязкой к пользователям из службы каталога)

Поддержка интеграции с техническими средствами

  • Средства управления полномочиями и учетными записями: Solar inRights, 1IDM на базе 1С, Ankey IDM от компании «Газинформсервис», Microsoft FIM, IBM Tivoli Identity Manager
  • Средства мониторинга и управления инфраструктурой открытых ключей: Indeed Certificate Manager, SafeNet Authentication Manager
  • Средства защиты от несанкционированного доступа и Endpoint Security Suite: система Secret Net Studio от компании «Код Безопасности»
  • Средства контроля действий привилегированных пользователей: Digital Vault от CyberArk, Indeed Privileged Access Manager
  • Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM (syslog)
  • Средства контроля и управления физическим доступом: «Бастион», «Орион» от «Болида», TSS от «Компании Семь печатей»

Получить бюджетную оценку проекта

Получить опросный лист

Варианты применения решения

Отраслевые
кейсы Управление доступом привилегированных пользователей
Соответствие
регуляторам Управление доступом привилегированных пользователей

Программа импортозамещения

Ознакомьтесь со специальными условиями для комфортного перехода на российское программное обеспечение

Посмотреть

другие решения

Биометрическая аутентификация сотрудников
Централизованное управление аутентификацией
Аутентификация по смарт-картам и цифровым сертификатам
Единая аутентификация для корпоративных приложений
Аутентификация по бесконтактным картам и интеграция со СКУД
Защита удаленного доступа
Единая аутентификация для корпоративных веб-ресурсов
Выполнение требований Приказов ФСТЭК России

отзывы клиентов

Сергей Крамаренко

руководитель департамента кибербезопасности Альфа-Банка

Отечественное решение Indeed AM оказалось лучше западного. Cистема многофакторной аутентификации пользователей не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение. В процессе масштабирования Indeed Access Manager мы расширили зоны покрытия инструментом двухфакторной аутентификации: 2FA стали использовать в большем количестве ИТ-систем и СЗИ. Мы смогли этого достичь за счет широкого интеграционного функционала решения и оперативной поддержки со стороны команды Компании Индид. Это позволило нам повысить уровень защищенности корпоративной инфраструктуры и закрыть часть требований регуляторных органов (Банк России, ФСТЭК).

Подробнее
Игорь Соловьев

директор департамента информационных систем и сервисов Фонда «Сколково»

В «Компании Индид» работают специалисты, в частности команда технической поддержки, которая оперативно решает все технические вопросы, что крайне важно для нас как заказчика. Помимо этого, уже на этапе пресейла, компания оказывала нам наиболее полную помощь, которую можно оказать — полное информирование по продукту, по функционалу, интеграции с другими целевыми системами, несмотря на то, что мы тогда ещё даже не говорили о покупке.

Подробнее
Григорий Ушаков

директор департамента безопасности компании «СберРешения»

Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.

Подробнее
Максим Королёв

Директор по ИБ ПАО «Сегежа Групп»

Мы используем продукт «Компании Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится. Возможность работы с VPN, которые мы используем, поддержка мобильных устройств всех типов, которые применяют наши работники и подрядчики; удобство интерфейса и надёжность работы были одними из ключевых аспектов выбора вендора.

Подробнее
Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее