Описание решения
Задача
В современных организациях используются различные универсальные и специализированные приложения и веб-приложения.
Универсальными могут быть, например, системы электронного документооборота (СЭД), системы управления предприятием (ERP), а также бухгалтерские системы. К специализированным приложениям могут относиться различные программные компоненты автоматизированных систем управления технологическими процессами (АСУ ТП), системы управления продажами (CRM) или складом. Причем среди специализированных приложений часто встречается самописное программное обеспечение (ПО).
Все подобные сервисы помогают организациям решать те или иные задачи: предоставлять государственные услуги, контролировать исполнение законов, эффективно вести коммерческую деятельность. Чтобы начать работу почти с любым из таких сервисов, необходимо пройти процедуру авторизации.
Важно отметить, что далеко не каждое ПО интегрируется с доменной службой каталогов, такой как Active Directory. У подобных сервисов часто бывает своя пользовательская база, поэтому для доступа к ним нужно проходить отдельную процедуру авторизации. К сожалению, приложения с поддержкой иных способов аутентификации, кроме пароля, до сих пор встречаются редко.
Как известно, у парольной аутентификации есть целый ряд недостатков:
- факт компрометации пароля можно выявить только после возникновения инцидента, тогда как злоумышленники будут до последнего скрывать свое присутствие в ИТ-инфраструктуре организации;
- при удаленной работе серьезно возрастает риск кражи и, соответственно, нелегитимного использования пароля для осуществления злонамеренных действий;
- пароли уязвимы перед методами социальной инженерии, которые позволяют добиться того, чтобы пользователи фактически сами (напрямую или косвенно) передавали учетные данные преступникам;
- рядовым пользователям довольно тяжело соблюдать все требования к безопасности паролей, особенно если у них несколько учетных записей от разных сервисов.
НПринимая во внимание обширные возможности широкополосного доступа в интернет и удаленного доступа к ИТ-ресурсам, указанные недостатки следует считать весьма критичными для безопасности как самих приложений, так и организации в целом. Ведь если злоумышленнику удастся заполучить логин и пароль одного из бухгалтеров, это может привести к пагубным последствиям, вплоть до приостановки деятельности организации.
При этом даже в рамках одной отрасли количество используемых приложений и веб-приложений может быть весьма велико, поэтому очевидно, что разработать индивидуальные коннекторы – специальные модули для обеспечения сквозной авторизации – к каждому целевому приложению крайне трудно (даже если это широко распространенные сервисы). В то же время разрабатывать коннекторы для самописных сервисов очень дорого – далеко не каждая компания может позволить себе подобные затраты.
Чтобы обеспечить защиту аутентификации для всех корпоративных приложений и веб-приложений, применяют продукты, реализующие концепцию «технологии единого входа», также известную как Single Sign-On. Одноименный класс продуктов позволяет создать систему централизованной аутентификации и систему управления паролями (по функционалу они схожи с решениями класса Password Manager).
Решение
Для построения системы единой аутентификации необходимо обеспечить поддержку различных целевых приложений и веб-приложений со стороны продукта класса Single Sign-On.
В составе Indeed Access Manager есть специализированный модуль Enterprise Single Sign-On, отвечающий за такую поддержку. Для реализации SSO-входа этот модуль перехватывает графические формы ввода логина и пароля и подставляет в них необходимую информацию.
Для обучения системы применяется специальная утилита, и в подавляющем большинстве случаев оно занимает не более двух дней. Такой подход позволяет обеспечить поддержку практически любого приложения и веб-приложения, которые имеют собственную подсистему аутентификации. Сам модуль является клиентским компонентом и может быть установлен как на рабочую станцию с ОС Microsoft Windows, так и на терминальный сервер Microsoft Remote Desktop Server.
Таким образом, использование модуля Indeed Enterprise Single Sign-On позволяет реализовать следующие основные сценарии:
- безопасное удаленное подключение к единой точке входа;
- сквозная авторизация;
- исключение знания пароля пользователем;
- использование факторов усиленной аутентификации.
Стоит отметить, что параметры работы ESSO распространяются через механизмы политик. Необходимая политика назначается на тот или иной узел организационной структуры (например, OU домена Active Directory), и все пользователи, находящиеся в данном узле или в его дочерних объектах, получают настройки из данной политики. При этом можно индивидуально настраивать параметры доступа для конкретных пользователей и различных групп пользователей (например, при доступе руководителей может выполняться принудительная усиленная аутентификация).
Технические характеристики
Поддерживаемые каталоги пользователей
- Active Directory
- Многодоменная инфраструктура
Поддерживаемые целевые системы
- Microsoft Windows
- Microsoft Remote Desktop Server
Поддерживаемые настройки защиты приложений и веб-приложений
- Иерархия: политики на уровне всех приложений, на уровне конкретного приложения, на уровне группы пользователей.
- Управление паролями: только хранение паролей или исключение знания пароля с обновлением (через форму смены паролей самого приложения).
- Аутентификация: усиленная аутентификация для запуска приложений или сквозная авторизация (без использования дополнительных факторов аутентификации).
Поддерживаемые технологии аутентификации
- Биометрия: отпечатки пальцев, рисунок вен ладони, геометрия лица (двухмерное и трехмерное изображение)
- Аппаратные устройства: бесконтактные карты, USB-токены, iButton, RFID-карты, карты с биометрическим считывателем
- Одноразовые пароли: приложения TOTP/HOTP, брелоки OTP, доставка одноразовых паролей с помощью СМС, Telegram, электронной почты
- Прочие способы: push-аутентификация (Indeed Key, Telegram-бот), сетевые и виртуальные смарт-карты (посредством Indeed Certificate Manager), аутентификация по геолокации (через СКУД «Бастион», «Орион» от «Болида», TSS от «Компании Семь печатей»)
Поддержка интеграции с техническими средствами
- Средства управления полномочиями и учетными записями: Solar inRights, 1IDM на базе 1С, Ankey IDM от компании «Газинформсервис», Microsoft FIM, IBM Tivoli Identity Manager
- Средства мониторинга и управления инфраструктурой открытых ключей: Indeed Certificate Manager, SafeNet Authentication Manager
- Средства защиты от несанкционированного доступа и Endpoint Security Suite: система Secret Net Studio от компании «Код Безопасности»
- Средства контроля действий привилегированных пользователей: Digital Vault от CyberArk, Indeed Privileged Access Manager
- Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM (syslog)
- Средства контроля и управления физическим доступом: «Бастион», «Орион» от «Болида», TSS от «Компании Семь печатей»
