Описание решения
Задача
Современные организации во всех отраслях широко используют различные приложения и веб-приложения – как универсальные, так и специализированные.
На основе универсальных решений могут быть выстроены, например, системы электронного документооборота (СЭД), системы управления предприятием (ERP), бухгалтерские системы. В свою очередь, специализированные приложения зачастую представляют собой различные программные компоненты автоматизированных систем управления технологическими процессами (АСУ ТП), а также системы управления продажами (CRM) или складом. Причем среди специализированных приложений нередко встречается самописное программное обеспечение.
Все упомянутые сервисы помогают организациям решать стоящие перед ними задачи: предоставлять государственные услуги, контролировать исполнение законов или вести деятельность, приносящую прибыль. Чтобы начать работу почти в любом из перечисленных сервисов, необходимо пройти процедуру авторизации.
Важно отметить, что далеко не каждое программное обеспечение интегрируется с доменной службой каталогов (например, Active Directory). Часто подобные сервисы имеют собственную базу пользователей и, как следствие, требуют отдельной аутентификации. К сожалению, те приложения, которые поддерживают иные способы аутентификации, кроме пароля, до сих пор встречаются весьма редко.
Аутентификация по паролю имеет целый ряд известных недостатков:
- факт компрометации пароля можно выявить только после возникновения инцидента, при том что злоумышленники до последнего стараются скрыть свое присутствие в ИТ-инфраструктуре организации;
- при удаленной работе серьезно возрастает риск кражи и нелегитимного использования пароля для осуществления злонамеренных действий;
- пароли уязвимы перед методами социальной инженерии, которые приводят к тому, что пользователи фактически сами – прямо или косвенно – позволяют злоумышленнику узнать пароль;
- рядовым пользователям довольно трудно соблюдать все требования к безопасности паролей, особенно если у них есть несколько учетных записей на разных сервисах.
На фоне того, что широкополосный доступ в интернет получил огромное распространение, а пользователи все чаще подключаются к необходимым ресурсам дистанционно, указанные недостатки приобретают критическое значение для безопасности как самих приложений, так и организации в целом. Ведь если злоумышленнику удастся заполучить учетные данные одного из бухгалтеров, это может повлечь за собой весьма нежелательные последствия, вплоть до приостановки деятельности организации.
Даже в рамках одной отрасли используется огромное количество самых разных приложений и веб-приложений, поэтому очевидно, что разработать индивидуальные коннекторы (специальные модули для обеспечения сквозной аутентификации) к каждому целевому приложению крайне трудно. Эта задача отнюдь не проста, даже если речь идет о широко распространенных сервисах. При этом разработка коннекторов для самописных сервисов обойдется довольно дорого – такие затраты по силам далеко не каждой компании.
Чтобы обеспечить защиту аутентификации для всех корпоративных приложений и веб-приложений, организации применяют продукты, реализующие концепцию «технологии единого входа», также известную как Single Sign-On. Одноименный класс продуктов предназначен для реализации системы централизованной аутентификации и системы управления паролями (функционал схож с возможностями решений класса Password Manager).
Решение
Чтобы построить систему единой аутентификации, необходимо обеспечить поддержку различных целевых приложений и веб-приложений, используя продукт класса Single Sign-On.
Indeed Access Manager имеет в своем составе специализированный модуль – Enterprise Single Sign-On, который и осуществляет такую поддержку. Для реализации SSO-входа этот модуль перехватывает графические формы ввода логина и пароля и подставляет в них нужную информацию.
Систему обучают при помощи специальной утилиты; чаще всего это занимает не более двух дней. В результате поддерживается практически любое приложение и веб-приложение, имеющее собственную подсистему аутентификации. Сам модуль – это клиентский компонент, который можно установить как на рабочую станцию с ОС Microsoft Windows, так и на терминальный сервер Microsoft Remote Desktop Server.
Ниже описаны сценарии, которые можно реализовать при помощи Enterprise Single Sign-On.
- Безопасное удаленное подключение к единой точке входа: применение MS RDS с установленным модулем ESSO позволяет реализовать сквозную аутентификацию во всех терминальных приложениях.
- Управление сохраненными паролями для сквозной («прозрачной») аутентификации: логин и пароль запоминаются модулем и автоматически подставляются в соответствующие поля при запуске приложения или веб-приложения.
- Исключение знания пароля пользователем: пароль может быть назначен администратором либо посредством решения, относящегося к классу Identity Governance & Administration (IGA).
- Дополнение к предыдущему сценарию – перехват модулем ESSO графических форм ввода нового пароля: компонент самостоятельно подставляет старый пароль, генерирует новый, подставляет его в соответствующие поля и эмулирует нажатие кнопки «OK». Таким образом, пользователь не сможет пройти аутентификацию в приложении в обход Indeed AM.
- Использование факторов усиленной аутентификации: в рамках всех сценариев можно включить использование различных методов усиленной аутентификации (от одноразовых паролей до биометрических данных). А вместе со сценарием исключения знания пароля можно реализовать систему усиленной аутентификации в корпоративных приложениях, что обеспечивает максимальный уровень защиты.
Следует отметить, что параметры работы ESSO распространяются с помощью механизма политик. Необходимая политика назначается на узел организационной структуры (например, OU домена Active Directory), и все пользователи, находящиеся в данном узле или в его дочерних объектах, получают настройки из данной политики. При этом можно индивидуально настроить параметры доступа для конкретного пользователя, а также для разных групп пользователей (например, установить принудительную усиленную аутентификацию при доступе руководителей).
Технические характеристики
Поддерживаемые каталоги пользователей
- Active Directory
Поддерживаемые целевые системы
- Microsoft Windows
- Microsoft Remote Desktop Server
Поддерживаемые настройки защиты приложений и веб-приложений
- Иерархия: политики на уровне всех приложений, на уровне конкретного приложения, на уровне группы пользователей
- Управление паролями: только хранение паролей или исключение знания пароля с обновлением (через форму смены паролей самого приложения)
- Аутентификация: усиленная аутентификация для запуска приложений или сквозная аутентификация (без использования дополнительных факторов аутентификации)
Поддерживаемые технологии аутентификации
- Биометрия: отпечатки пальцев, рисунок вен ладони, геометрия лица (двухмерное и трехмерное изображение)
- Аппаратные устройства: бесконтактные карты, USB-токены, iButton, RFID-карты
- Одноразовые пароли: приложения TOTP/HOTP, брелоки OTP, доставка одноразовых паролей с помощью SMS, Telegram и электронной почты
- Прочие способы: приложение для push-аутентификации (Indeed Key)
Поддержка интеграции с техническими средствами
- Средства защиты рабочих станций: Secret Net Studio
- Средства управления полномочиями и учетными записями: Solar inRights, 1IDM, КУБ, Microsoft FIM, IBM Tivoli Identity Manager, Ankey IDM
- Средства управления инфраструктурой открытых ключей: Indeed Certificate Manager
- Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM
