Описание решения
Задача
В апреле 2016 года была принята новая версия PCI DSS 3.2. Часть нововведений этой версии вступает в силу 1 февраля 2018 года. К таким нововведениям относятся изменения в части аутентификации сотрудников при доступе к информационным системам банка. Так, с 01.02.2018 г. становится обязательным применение многофакторной аутентификации в ряде сценариев доступа.
Стандарт PCI DSS определяет следующие факторы или методы аутентификации пользователей:
- то, что вы знаете
- то, что у вас есть
- то, чем вы обладаете
Приведем несколько примеров для указанных факторов, наиболее часто встречающихся при практическом решении задач мультифакторной аутентификации.
То, что вы знаете
- PIN код смарт-карты или USB-ключа. PIN хранится только в памяти устройства и используется для доступа к защищенной области данных на смарт-карте или USB-ключе для выполнения различных криптографических операций, в т.ч. в целях аутентификации.
- Ответы на контрольные вопросы. Как правило, такой метод используется как резервный при восстановлении доступа. В целях безопасности, рекомендуется требовать правильные ответы на несколько вопросов.
- Классический пароль условно постоянного действия.
То, что у вас есть
- Смарт-карта или USB-ключ. На таких устройствах хранится закрытый ключ для операций асимметричной криптографии и другая ключевая информация.
- OTP-брелок - генератор одноразовых паролей. Аппаратное устройство генерации OTP. Наиболее распространенным стандартом генерации одноразовых паролей являются алгоритмы OATH TOTP и HOTP. Также встречаются проприетарные алгоритмы генерации ОТР (например, RSA).
- Смартфон пользователя. Смартфон может использоваться в различных вариантах: (а) мобильное приложение для генерации ОТР; (б) одноразовые пароли, высылаемые по SMS; (в) мобильное приложение для out of band аутентификации с использованием push-уведомлений.
- Бесконтактная карта (RFID). Такие карты удобны тем, что могут одновременно использоваться как для логического доступа в информационные системы, так и для физического доступа в помещения организации.
То, чем вы обладаете (то, чем вы являетесь)
В данную категорию попадают все технологии, основанные на биометрических данных человека.
- Наиболее распространенным на данный момент вариантом биометрической аутентификации является отпечаток пальца. На сегодняшний день данная технология обладает одним из лучших соотношений цена-качество среди биометрических технологий.
- Рисунок вен. Данная технология для построения биометрического шаблона использует рисунок вен ладони или пальца. Преимуществом технологии является высокая точность распознавания и гигиеничность - считывание вен происходит на расстоянии без непосредственного контакта сканера с ладонью или пальцем.
- Фотография (2D изображение лица). Данная технология является одним из наиболее дешевых вариантов биометрической аутентификации, т.к. не требует применения специализированного устройства. К недостаткам технологии можно отнести зависимость точности распознавания от освещенности помещения.
- 2D и 3D изображения лица. Для аутентификации по 2D и 3D изображению лица применяется технология Intel RealSense™, позволяющая с высокой точностью получить изображение лица, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации.
- Голосовая биометрия. Аналогично фотоизображению лица, голосовая биометрия является одним из самых недорогих вариантов. Преимуществами технологии является возможность работы в телефонном звонке. К недостаткам технологии можно отнести относительно невысокую точность и ограниченный набор сценариев применения.
Следует отметить, что согласно стандарту, мультифакторная аутентификация требует сочетать минимум два различных фактора. Т.е. применение двух паролей или двух отпечатков пальцев не будет являться мультифакторной аутентификацией. Приведем наиболее распространенные на практике сочетания различных факторов:
- Смарт-карта (с закрытым ключом и сертификатом) + PIN код.
- Постоянный пароль + одноразовый пароль
- Бесконтактная карта + постоянный пароль
- Бесконтактная карта + отпечаток пальца
- Отпечаток пальца + постоянный пароль
- Приложение на смартфоне (push-нотификация) + постоянный пароль
- Приложение на смартфоне (push-нотификация) + отпечаток пальца
Решение
Продукты Индид позволяют реализовать все приведенные сочетания факторов аутентификации, а также поддерживают возможность расширения перечня сценариев аутентификации по запросу. Для построения системы мультифакторной аутентификации применяются следующие продукты:
Indeed Certificate Manager
Централизованная система управления жизненным циклом ключевых носителей (смарт-карт и USB-ключей) и цифровых сертификатов. Indeed Certificate Manager (Indeed CM) позволяет снизить расходы на использование PKI-инфраструктуры и повысить эффективность ее использования за счет применения централизованных политик использования смарт-карт и сертификатов, автоматизации рутинных операций и предоставления пользователям сервиса самообслуживания.
Indeed Access Manager
Indeed Access Manager (Indeed AM) является универсальной системой аутентификации, предназначенной для организации строгой и мультифакторной аутентификации в любых системах, используемых на предприятиях: ОС, web- и мобильные приложения, VPN, VDI, SAML-совместимые приложения и др. Поддерживается также технология Enterprise Single Sign-On.
Ниже приведены комментарии по реализации конкретных требований стандарта PCI DSS 3.2 в части аутентификации с использованием программного обеспечения Индид.
8.1.3 Немедленный отзыв доступа при увольнении пользователя
Требование PCI DSS 3.2: 8.1.3 Immediately revoke access for any terminated users. 8.1.3.b Verify all physical authentication methods—such as, smart cards, tokens, etc.—have been returned or deactivated.
Перевод требования: Немедленный отзыв доступа при увольнении пользователя. Убедиться, что все физические средства аутентификации (например, смарт-карты, токены и т.д.) были возвращены или деактивированы.
В состав Indeed Certificate Manager входит служба мониторинга состояния учетных записей пользователей смарт-карт и сертификатов. При блокировке учетной записи, служба автоматически производит отзыв цифровых сертификатов, выпущенных пользователю, что позволяет оперативно прекращать возможность использования сертификатов и смарт-карт уволенных сотрудников. Также Indeed CM хранит информацию о том, какие смарт-карты и USB-ключи были назначены сотруднику для контроля над использованием устройств.
8.1.6 Блокировка учетных записей после шести неудачных попыток
Требование PCI DSS 3.2: 8.1.6 Limit repeated access attempts by locking out the user ID after not more than six attempts. 8.1.6.a For a sample of system components, inspect system configuration settings to verify that authentication parameters are set to require that user accounts be locked out after not more than six invalid logon attempts.
Перевод требования: Блокировать учетные записи после шести неудачных попыток входа подряд. Сделать выборку системных компонентов, проверить настройки системной конфигурации и убедиться в том, что учетная запись пользователя блокируется после не более чем шести неудачных попыток входа.
Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. количество попыток входа до блокировки смарт-карты.
Indeed Access Manager также позволяет централизованно задавать политику блокировки способов входа при превышении заданного числа попыток аутентификации.
8.2 Методы аутентификации пользователей
Требование PCI DSS 3.2: 8.2 In addition to assigning a unique ID, ensure proper user-authentication management for non-consumer users and administrators on all system components by employing at least one of the following methods to authenticate all users:
- Something you know, such as a password or passphrase
- Something you have, such as a token device or smart card
- Something you are, such as a biometric.
Перевод требования: Помимо назначения уникального идентификатора, для обеспечения надлежащего управления аутентификацией сотрудников (не пользователей) и администраторов на уровне всех системных компонентов должен применяться хотя бы один из следующих методов аутентификации всех пользователей:
- то, что вы знаете (например, пароль или парольная фраза);
- то, что у вас есть (например, ключи или смарт-карты);
- то, чем вы обладаете (например, биометрические параметры).
Применение продуктов Indeed Certificate Manager и Indeed Access Manager позволяет использовать все указанные методы аутентификации. При этом, в зависимости от окружения, сотруднику могут быть доступны различные варианты аутентификации (например, смарт-карта + PIN-код при доступе в ОС и пароль + ОТР при доступе в VPN).
8.2.2 Проверка личности перед изменением учетных данных
Требование PCI DSS 3.2: 8.2.2 Verify user identity before modifying any authentication credential—for example, performing password resets, provisioning new tokens, or generating new keys.
Перевод требования: Перед изменением учетных данных для проверки подлинности (например, сбросом пароля, предоставлением новых токенов или генерацией новых ключей) необходимо установить личность пользователя.
Indeed СМ поддерживает резервную технологию аутентификации по контрольным вопросам для операций разблокировкой смарт-карты. Это позволяет выполнить данное требование при операции с PIN кодом смарт-карты.
8.2.3 Требования к сложности паролей
Требование PCI DSS 3.2: 8.2.3 Passwords/passphrases must meet the following:
- Require a minimum length of at least seven characters.
- Contain both numeric and alphabetic characters.
- Alternatively, the passwords/passphrases must have complexity and strength at least equivalent to the parameters specified above.
Перевод требования: Пароли/парольные фразы должны соответствовать следующим требованиям:
- наличие в пароле не менее семи символов;
- наличие в пароле и цифр, и букв;
- как вариант, пароли/парольные фразы должны иметь сложность и стойкость, сравнимые с указанными выше параметрами.
Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к сложности PIN кодов.
8.2.4 Смена паролей не реже одного раза в 90 дней
Требование PCI DSS 3.2: 8.2.4 Change user passwords/passphrases at least once every 90 days.
Перевод требования: Изменение паролей/парольных фраз пользователей не реже одного раза в 90 дней.
Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в том числе требования к времени жизни PIN кодов.
8.2.5 Запрет повторного использования последних четырех паролей
Требование PCI DSS 3.2: 8.2.5 Do not allow an individual to submit a new password/passphrase that is the same as any of the last four passwords/passphrases he or she has used
Перевод требования: Запрет смены пароля/парольной фразы на какие-либо из четырех последних паролей/парольных фраз данного пользователя, использованных им ранее.
Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. требования к истории PIN кодов.
8.2.6 Уникальный первоначальный пароль и смена при первом входе
Требование PCI DSS 3.2: 8.2.6 Set passwords/passphrases for first-time use and upon reset to a unique value for each user, and change immediately after the first use
Перевод требования: Установка уникального первоначального пароля/парольной фразы для каждого пользователя и их немедленное изменение при первом входе пользователя в систему.
Indeed CM использует централизованное управление политиками PIN-кодов, что позволяет распространять на все смарт-карты единые настройки, в т.ч. генерация случайных PIN кодов и требование смены PIN кода при первом входе.
8.3 Мультифакторная аутентификация для административного и удаленного доступа
Требование PCI DSS 3.2: 8.3 Secure all individual non-console administrative access and all remote access to the CDE using multi-factor authentication
Перевод требования: Защита не консольного административного доступа и удаленного доступа для всех пользователей к информационной среде держателей карт с помощью мультифакторной аутентификации.
Требование может быть выполнено как с использованием PKI (public key infrastructure), так и без него. Также возможно совмещение технологий, например, таким образом:
- Применение смарт-карт и цифровых сертификатов для аутентификации в локальном режиме работы (в ОС и приложениях);
- Применение технологии одноразовых паролей для удаленного доступа (например, при аутентификации в VPN).
Выбор конкретных технологий будет зависеть от используемого программно-аппаратного обеспечения. Кроме того, выбор технологии может зависеть от полномочий и роли пользователя (например, сертификаты для сотрудников и SMS для третьих лиц). ПО Indeed CM и Indeed AM позволяет реализовать на практике любой сценарий аутентификации, без привязки к конкретным технологиям.
8.3.1 Мультифакторная аутентификация для не консольного административного доступа
Требование PCI DSS 3.2: 8.3.1 Incorporate multi-factor authentication for all non-console access into the CDE for personnel with administrative access.
Перевод требования: Применение мультифакторной аутентификации для не консольного доступа к информационной среде держателей карт для сотрудников с административным доступом.
8.3.2 Мультифакторная аутентификация для любого удаленного доступа из внешней сети
Требование PCI DSS 3.2: 8.3.2 Incorporate multi-factor authentication for all remote network access (both user and administrator, and including third-party access for support or maintenance) originating from outside the entity’s network.
Перевод требования: Применение мультифакторной аутентификации для средств удаленного доступа сотрудников (включая пользователей и администраторов) и любых третьих лиц (включая доступ поставщиков для поддержки или техобслуживания) во внутреннюю сеть из внешней сети.
