Описание решения
Задача
Несмотря на очевидные риски, пароли остаются самым распространенным способом аутентификации пользователя. Увеличение числа информационных систем, в которые пользователи должны иметь доступ, создает серьезную нагрузку на службу информационной безопасности в части управления паролями пользователей. Миграция на новые технологии аутентификации требует значительных усилий, часто бизнес критичные приложения являются унаследованными и не поддерживают современные технологии. Сотрудникам ИБ приходится решать проблему использования паролей в ожидании возможности перейти на новые технологии аутентификации. Системы класса Enterprise Single Sign-On облегчают данную задачу и предоставляют механизм централизованного управления паролями пользователей.
Риски использования паролей приводят как к прямым финансовым потерям, в результате кражи конфиденциальной информации, так и к снижению эффективности работы линейных сотрудников и службы ИТ. Можно выделить следующие основные негативные факторы использования паролей:
Высокая стоимость обслуживания паролей
Пользователи регулярно забывают свои пароли, теряя доступ к бизнес-приложениям и создавая нагрузку на службу ИТ, которая вынуждена тратить значительную часть рабочего времени на сброс паролей и восстановление доступа. Политики ИБ, ужесточающие требования к частоте смены и сложности паролей, только усугубляют положение. Решения по автоматическому сбросу паролей требуют дополнительных финансовых и временных затрат на выбор, приобретение дополнительного ПО, обучение администраторов и рядовых сотрудников.
Риски несанкционированного доступа в бизнес-приложения
Новые технологии, такие как SAML, OAuth, OpenID Connect и др. позволяют решить проблемы аутентификации, но их адаптация разработчиками бизнес-систем проходит медленно, дополнительно, обновление уже развернутых приложений затратный и длительный процесс. Компании вынуждены использовать гибридную инфраструктуру и унаследованные приложения, поддерживающие только пароли. Вследствие этого, в компаниях сохраняются риски подбора паролей злоумышленником.
Возможность получения несанкционированного доступа инсайдером
Сотрудники могут не только записывать сложные для запоминания пароли на рабочем месте, но и открыто сообщать их коллегам, например, с просьбой отправить отчет в их отсутствие. Это создает возможность для недобросовестных работников завладеть чужими учетными данными и получить несанкционированный доступ в приложения.
Основные требования к внедрению системы класса Enterprise Single Sign-On для решения парольной проблемы можно сформулировать таким образом:
- Необходимо централизованное решение по хранению и управлению учетными данными пользователей.
- Решение не должно требовать модификации используемых целевых приложений.
- Решение должно позволять сохранить пароль учетной записи в секрете от сотрудника.
- Решение должно поддерживать следующие операции с целевыми приложениями:
- Вход в приложение
- Разблокировка приложения (в результате простоя)
- Смена пароля в приложении (по запросу приложения)
- Возможность поддержки входа в приложения, работающие как по принципу “толстый” клиент, так и через браузер.
- Возможность использования двухфакторной аутентификации при входе в приложение.
- Возможность делегирования одному сотруднику доступа к учетным данным другого (с разрешения администратора).
Решение
Для решения описанных задач используется программный комплекс Indeed Access Manager (Indeed AM). За организацию единой точки доступа в составе комплекса отвечает компонент Indeed AM Enterprise Single Sign-On (ESSO).
Indeed AM Enterprise SSO реализует подход single sign-on в масштабе предприятия. Система централизованно хранит пароли пользователя от всех приложений, требующих аутентификации и автоматически подставляет, когда приложение того требует. Технология ESSO может быть применена для любых типов приложений (windows, web, .net), независимо от архитектуры: одно-звенная, двух-звенная, трех-звенная, “толстый” клиент, “тонкий” клиент, терминальные приложения.
Indeed AM Enterprise SSO избавляет сотрудников от запоминания и хранения паролей в секрете, от ручного ввода паролей с клавиатуры, от периодической смены паролей согласно парольным политикам безопасности.
ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и агент ESSO либо сразу автоматически заполняет форму входа, либо сначала требует от пользователя пройти процедуру аутентификации: ввести одноразовый код, приложить палец к сканеру отпечатков или др., после чего выполняет заполнение формы.
Работу Indeed AM Enterprise SSO обеспечивают следующие основные компоненты:
Indeed Enterprise Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонентов и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.
ESSO агент - клиентское ПО, устанавливаемое на рабочее место сотрудника. Агент получает с сервера Indeed Enterprise Server перечень систем и учетных данных, которые составляют персональный профиль доступа сотрудника. Как только сотрудник запускает ярлык приложения, требующего ввода пары логин-пароль, ESSO агент перехватывает регистрационное окно приложения, скрывает его от пользователя, автоматически заполняет (подставляет имя учетной записи и пароль полученные с сервера) и контролирует процедуру получения доступа в среду приложения. По результату операции в журнале событий системы фиксируется факт выполнения успешной или неуспешной попытки доступа.
База данных Indeed Access Manager. В базе хранятся настройки системы и данные для строгой аутентификации пользователей, а также ESSO-профили сотрудников. Данные в базе хранятся в зашифрованном виде.
Журнал доступа. Все события, возникающие в системе, сохраняются в журнале. Журнал фиксирует дату, время, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется с применением какой технологии аутентификации сотрудник получал доступ в приложение.
ESSO IDM Connector - Коннектор к Identity Management системам, позволяющий в автоматическом режиме синхронизировать учетные данные пользователей в базе данных ESSO. Учетные данные создаются при помощи IDM и тут же сохраняются в системе ESSO.
Особенности
Помимо непосредственно SSO-механизма и организации доступа в бизнес-приложения, решение Indeed AM ESSO обладает следующими полезными функциями.
Строгая аутентификация пользователей
Перед тем, как предоставить пользователю доступ в приложение, ESSO может потребовать от пользователя пройти процедуру аутентификации. Поддерживается широкий спектр технологий аутентификации: двухфакторная аутентификация, биометрия, смарт-карты, одноразовые пароли. Администратор имеет возможность для разных приложений назначить разные технологии аутентификации.
Режим замещения сотрудника
Данный режим позволяет предоставить заместителю доступ к ESSO-профилю замещаемого сотрудника. Такая возможность требуется, когда необходимо срочно получить доступ в систему от имени сотрудника, который недоступен (отпуск, болезнь). При этом в журнале явно указывается, какой именно сотрудник получал доступ в систему. Например, что пользователь Иванов вошел в 1С под учетной записью Сидровой. Это позволяет получить точную картину происходящего и избежать злоупотреблений. Администратор имеет возможность ограничить период замещения сотрудника (например, его отпуском).
Интеграция с IDM
Indeed AM ESSO поддерживает интеграцию с большинством популярных IDM-систем: Solar inRights, КУБ, 1IDM, Microsoft FIM, IBM Tivolli IDM. Интеграция позволяет получить следующие преимущества:
- Повышение уровня информационной безопасности компании засчет полной автоматизации жизненного цикла паролей пользователей (пароли создаются, изменяются и вводятся полностью в автоматическом режиме, без участия пользователей и администраторов)
- Минимизация шагов в предоставлении и получении доступа сотрудниками. После занесения нового пользователя в исходную систему (например, HR-систему) и выполнения синхронизации (в автоматическом режиме), пользователь получает беспарольный доступ во все необходимые ему системы.
Оффлайн режим работы
В случае необходимости, администратор ESSO может разрешить сотруднику работу в оффлайн режиме - когда сеть предприятия (и ESSO-сервер) недоступны (например, в командировке или в случае проблем с сетью). В этом режиме на ПК пользователя временно сохраняется его ESSO-профиль, который используется, когда не удается связаться с сервером. Период локальной жизни профиля задается администратором, по истечении заданного периода локальная копия профиля удаляется.