Indeed Access Manager

Платформа Indeed Access Manager (Indeed AM) относится к специализированному классу решений, который объединяет в себе следующие функциональные модули:

• Authentication Management
• Multi-Factoring Authentication Provider (MFA-Provider)
• Enterprise Single Sign-On
• Web Single Sign-On
• Out of band (Mobile) Authentication

В основе платформы лежит многолетний опыт компании «Индид» по созданию продуктов в сфере информационной безопасности, в частности систем управления доступом.

Indeed AM представляет собой программно-аппаратный комплекс, реализующий централизованные политики управления аутентификацией, технологию единой аутентификации во всех корпоративных сервисах и различные сценарии усиленной и многофакторной аутентификации.

На рисунке представлена архитектура платформы.

Ключевое преимущество платформы состоит в том, что она поддерживает различные сценарии усиленной аутентификации для большого количества целевых ресурсов и протоколов аутентификации (через соответствующие модули интеграции). Основное назначение системы – замена парольной аутентификации более безопасными технологиями во всей корпоративной ИТ-инфраструктуре для нейтрализации описанных угроз. При этом все аутентификационные данные хранятся в защищенном хранилище.

Политики доступа определяют правила доступа, какие технологии и для каких приложений должны быть использованы, а также задают область действия прав операторов и администраторов системы.

Корпоративные пользователи могут просматривать сведения о выданных им аутентификаторах в пользовательской веб-консоли. Кроме того, с помощью веб-приложения пользователи могут выпускать новые и отключать уже имеющиеся аутентификаторы.

Консоль администратора и оператора Indeed AM представляет собой удобное веб-приложение для настройки системы централизованной аутентификации, управления ею и аудита ее работы. Используя консоль, администратор может управлять интеграцией с компонентами ИТ-инфраструктуры и настраивать ролевую модель доступа. Консоль также позволяет управлять аутентификаторами пользователей и предоставлением доступа к целевым ресурсам (напрямую или через протоколы аутентификации).

Клиентское программное обеспечение для рабочих мест с ОС Microsoft Windows позволяет реализовать сценарии усиленной аутентификации (компонент Windows Logon) и технологию единого входа (компонент Enterprise Single Sign-On) для корпоративных приложений и веб-приложений на рабочих станциях пользователей.

Мобильное приложение Indeed Key позволяет обеспечить безопасный доступ к корпоративным ресурсам. Пользователь подтверждает вход в приложении на смартфоне, при этом на экране отображаются подробные сведения об операции и пользователь видит, в какую именно систему он входит. Кроме того, поддерживается генерация одноразовых паролей по протоколу TOTP.

Модули интеграции позволяют платформе реализовать сценарии усиленной аутентификации для различных категорий целевых ресурсов благодаря поддержке специализированных протоколов аутентификации (RADIUS, ADFS и т. п.) и конкретных целевых систем (рабочие станции Windows, терминальные серверы Microsoft RDS и т. п.).

Удобная ролевая модель Indeed AM позволяет настроить полномочия сотрудников с разными должностными обязанностями и обеспечить, например, полноценное разделение обязанностей между федеральными и региональными администраторами защиты.

Замена парольной аутентификации более безопасными методами во всей ИТ-инфраструктуре организации – это комплексная задача, для выполнения которой требуется провести целый ряд технических и организационных мероприятий.

Одно из ключевых решений, принимаемых в рамках этой задачи, – выбор и внедрение оптимального набора технологий усиленной аутентификации. Если к корпоративным рабочим станциям осуществляется только локальный доступ, то такое решение принять относительно просто: например, можно использовать встроенные в Microsoft Windows средства аутентификации с помощью цифровых сертификатов или биометрических сканеров, которыми оборудованы современные ноутбуки.

Однако задача сильно усложняется, если речь идет об усиленной аутентификации при удаленном доступе к корпоративным сервисам с необходимостью назначать разным категориям сотрудников разные наборы аутентификаторов сообразно полномочиям каждой категории.

Для усиленной аутентификации пользователей применяется множество различных технологий, в частности биометрическая аутентификация, push-аутентификация, аутентификация с помощью аппаратных средств, цифровых сертификатов или одноразовых паролей, выдаваемых локальными генераторами либо отправляемых по SMS или электронной почте. Все существующие технологии имеют как преимущества, так и недостатки. Приведем пару примеров.

• При биометрической аутентификации подлинность пользователей подтверждается с помощью неотделимых от них физиологических и поведенческих признаков. Однако подобные технологии требуют наличия специализированных сканеров и едва ли применимы для удаленного доступа с потенциально неограниченного количества пользовательских устройств.
• Аутентификация с помощью локальных генераторов одноразовых паролей (брелок или приложение на смартфоне) поддерживает сценарии практически для любых целевых ресурсов как при локальном, так и при удаленном подключении. При этом нет необходимости обеспечивать связь с корпоративными сервисами. Однако, если используется смартфон, возникает риск взлома и перехвата управления устройством. А брелоки необходимо приобретать отдельно, и они могут выходить из строя.

Наиболее подходящий аутентификатор или набор аутентификаторов выбирается с учетом, в частности, следующих факторов:

• сценарий доступа (локальный или удаленный доступ);
• используемое устройство (компьютер или смартфон);
• целевой ресурс (корпоративное приложение или публичный веб-сервис);
• полномочия и возможности пользователя.

Платформа Indeed AM – универсальное средство, позволяющее выбирать оптимальный набор применяемых методов усиленной аутентификации исходя из заданных условий.

При организации централизованного управления доступом основная сложность заключается в том, что в корпоративных сервисах и приложениях может использоваться несколько разных подсистем идентификации и аутентификации, причем эти подсистемы редко связаны друг с другом. Возможна ситуация, когда пользователю требуется несколько учетных записей (логинов и паролей) для доступа к каждому сервису.

В качестве целевых ресурсов могут выступать, в частности, следующие компоненты ИТ-инфраструктуры:

• рабочие места под управлением ОС Microsoft Windows;
• серверы приложений (Microsoft Windows Remote Desktop Server или Citrix XenServer);
• виртуальные рабочие столы (VDI);
• VPN-шлюзы для удаленного доступа;
• публичные веб-сервисы;
• корпоративные локальные приложения на рабочих станциях.

Если поставлена задача полностью заменить парольную аутентификацию другими технологиями, то при ее выполнении может оказаться, что далеко не все сервисы поддерживают иные сценарии аутентификации, кроме парольной.

Платформа Indeed AM включает в себя специализированные модули, открывающие широкие возможности для интеграции.

Интеграция с протоколами аутентификации:

• SAML Identity Provider;
• ADFS Extension;
• NPS RADIUS Extension;
• OIDC Identity Provider.

Интеграция со специализированными серверами:

• RDP Windows Logon (Microsoft Windows Remote Desktop Server);
• IIS Extension (Microsoft Internet Information Services).

Интеграция с локальными рабочими ресурсами:

• Windows Logon (рабочие станции на базе ОС Windows);
• Enterprise Single Sign-On (настольные приложения и веб-приложения).

Дополнительно предусмотрена интеграция со следующими классами решений для управления доступом:

• Identity & Access Governance (IAG, IAM);
• системы контроля и управления физическим доступом (СКУД);
• Endpoint Security Suite (ESS).

Таким образом, платформа Indeed AM позволяет создать единую систему аутентификации для всех корпоративных сервисов.

Как отмечено выше, основная сложность при организации централизованного управления доступом заключается в наличии нескольких разных подсистем: в ИТ-инфраструктуре чаще всего уже существуют сервисы, системы и даже устройства, имеющие свои собственные каталоги пользователей, и, соответственно, отдельную реализацию идентификации и аутентификации. Эту проблему можно устранить с помощью некоторых продуктов класса Identity Governance & Administartion (IGA). Однако внедрить такое решение весьма непросто – особенно с учетом того, что придется выполнять масштабные ресурсоемкие работы по исследованию и проектированию для создания единой модели управления правами доступа, корректно предоставляющей полномочия пользователям.

Кроме того, каждый сервис имеет свой журнал событий. Возможна даже ситуация, при которой логины в различных системах имеют разную нотацию. При возникновении инцидента сложно оперативно восстановить всю картину событий, поскольку требуется проанализировать множество записей из разных журналов. Данную проблему можно решить, если приобрести и внедрить продукт класса Security Information & Event Management (SIEM), но далеко не все компании располагают необходимыми для этого ресурсами.

Детально рассматривая вышеизложенные проблемы, можно прийти к выводу, что их способны решить только крупные организации, имеющие достаточное количество ресурсов, и только путем приобретения дорогостоящих систем.

Однако упомянутые продукты классов IGA и SIEM избыточны, если требуется лишь организовать централизованное управление доступом.

С другой стороны, платформа Indeed AM не предназначена для централизованной настройки полномочий и управления ими в конкретных целевых системах, не говоря уже о сборе и анализе данных о всевозможных событиях информационной безопасности.

Indeed AM позволяет решить оптимальный комплекс задач для централизации управления доступом с минимальными затратами как финансовых, так и трудовых ресурсов. Ниже перечислены основные результаты, которые можно получить за счет внедрения платформы.

• Вести единый журнал событий доступа с персонификацией каждого подключения: для расследования инцидентов, связанных с доступом, достаточно изучить один журнал событий, который гарантированно будет содержать всю необходимую информацию.
• Применять единые политики управления аутентификацией и доступом к целевым системам: достаточно один раз настроить интеграцию с целевыми системами и возможность доступа конкретных групп пользователей к конкретным ресурсам.
• Вводить единый набор аутентификаторов: для каждой группы пользователей можно настроить исчерпывающий набор аутентификаторов, необходимых для доступа ко всем корпоративным ресурсам компании как в удаленном, так и в локальном режиме.

Важно подчеркнуть, что платформа Indeed AM не противопоставляется решениям классов SIEM и IGA и не заменяет их. Даже если организация планирует в перспективе приобрести и внедрить продукт SIEM или IGA, приобретение Indeed AM представляется весьма желательным, так как позволит решить наиболее актуальную задачу в сфере информационной безопасности. И уже после этого можно будет приступить к централизации управления полномочиями пользователей, а также к сквозному мониторингу и анализу всех событий безопасности, включая события доступа.

Indeed Mobile Device Provisioning — это сервис, с помощью которого пользователи могут самостоятельно разблокировать свои мобильные устройства.

Это удобный инструмент для управления мобильными устройствами и важный шаг к повышению эффективности и безопасности вашей компании. С его помощью вы сможете значительно сократить количество рутинных задач, возложенных на системных администраторов, и обеспечить более высокий уровень контроля над мобильными устройствами сотрудников.

Поддерживаемые каталоги пользователей

• Active Directory
• СУБД (SQL)

Поддерживаемые целевые ресурсы

• Рабочие места с ОС Microsoft Windows
• Microsoft Remote Desktop Server
• Microsoft Internet Information Services
• Настольные приложения Windows
• Веб-приложения
• VPN-серверы
• Серверы приложений
• Виртуальные рабочие столы (VDI)

Поддерживаемые механизмы интеграции с целевыми приложениями

• RADIUS
• ADFS
• SAML
• OpenID Connect
• OAuth 2.0
• Kerberos
• Enterprise Single Sign-On

Поддерживаемые технологии аутентификации

• Биометрия: отпечатки пальцев, рисунок вен ладони, геометрия лица (двухмерное и трехмерное изображение)
• Аппаратные устройства: бесконтактные карты, USB-токены, iButton, RFID-карты
• Одноразовые пароли: приложения TOTP/HOTP, брелоки OTP, доставка одноразовых паролей с помощью SMS, Telegram и электронной почты
• Приложение для push-аутентификации (Indeed Key)

Поддержка съемных аппаратных носителей ключевой информации

• Рутокен компании «Актив»
• eToken, ID Prime и iKey компании Thales Group (в прошлом SafeNet и Gemalto)
• ESMART компании ISBC
• JaCarta компании «Аладдин Р.Д.»

Поддержка интеграции с техническими средствами

• Средства защиты рабочих станций: Secret Net Studio
• Средства управления полномочиям и учетными записями: Solar inRights, 1IDM, КУБ, Microsoft FIM, IBM Tivoli Identity Manager
• Средства управления инфраструктурой открытых ключей: Indeed Certificate Manager
• Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM
• Средства контроля и управления доступом: «Бастион», «Орион», 7 печатей

Информацию, необходимую для установки и для эксплуатации Indeed Access Manager вы можете найти в руководстве пользователя.