Защита опубликованных корпоративных приложений

Двухфакторная аутентификация пользователей с помощью одноразовых паролей в ресурсах, доступных из-за пределов корпоративной среды: VPN, VDI и Web-приложениях

access manager

Публикуя свои ресурсы для удаленного доступа, компании значительно увеличивают риск несанкционированного доступа к бизнес-критичной информации. Обеспечить необходимый уровень защиты возможно только с использованием современных способов аутентификации пользователей. Решение Indeed Access Manager (Indeed AM) позволяет применять методы двухфакторной аутентификации (2FA) для широкого спектра корпоративных приложений, позволяя построить единую систему 2FA при доступе к ресурсам, доступным из-за пределов сети компании.

Описание задачи

  1. Обеспечить двухфакторную аутентификацию с применением одноразовых паролей в опубликованных корпоративных сервисах:
    • Web-приложения
    • VPN-сервер
    • VDI
  2. Реализовать Web Single Sign-On для сквозного доступа в web-приложения.

Решение

2FA в web-приложениях IIS

Для аутентификации в web-приложениях, использующих Internet Information Services (IIS), нами разработан специализированный модуль интеграции IIS Extension. Данный модуль позволяет обеспечить двухфакторную аутентификацию в приложениях без вмешательства в их программный код. После ввода имени и пароля, пользователь перенаправляется на отдельную страницу аутентификации, где должен подтвердить себя с помощью одноразового пароля. IIS Extension может использоваться для любых web-приложений, например Outlook Web Access, Sharepoint, Skype for Business, RD Web Access и др. Для приложений, не использующих IIS, возможна интеграция с применением программного интерфейса (web API).

2FA в VPN

Интеграция со службами VPN выполняется с применением протокола RADIUS, поддерживаемого абсолютным большинством производителей VPN-решений, таких как Cisco ISE, Citrix Netscaler и др. Двухфакторная аутентификация реализуется с помощью механизма Challenge-Response, встроенного в RADIUS: на первом шаге пользователь вводит имя и пароль, после чего RADIUS сервер проверяет пользовательские данные и, в случае их верности, дозапрашивает у пользователя VPN сервиса второй фактор аутентификации - одноразовый пароль. RADIUS сервер выполнен на базе Microsoft Network Policy Server (служба доступна в составе Windows Server) и специализированного расширения для 2FA.

2FA в VDI

Для интеграции с системами виртуальных рабочих столов также применяется двухшаговая RADIUS-аутентификация по механизму Challenge-Response, которая поддерживается во многих VDI продуктах, например VMWare Horizon и Citrix XenDesktop. В случае использования технологий Microsoft, двухфакторная аутентификация может быть добавлена к службе удаленного доступа на сервере Remote Desktop Web Access (с использованием IIS Extension).

2FA в WebSSO (SAML IdP)

Организация сквозного доступа в web-приложения (web single sign-on) позволяет значительно повысить эффективность работы пользователей, позволяя прозрачно получать доступ в web-приложения после однократной аутентификации. Применение 2FA дает возможность сохранить высокий уровень информационной безопасности без снижения удобства использования. Для интеграции с целевыми решениями используется международный стандарт аутентификации SAML 2.0, что гарантирует совместимость с широким спектром систем. В контур WebSSO и 2FA могут быть включены не только корпоративные on-premise приложения, но и облачные сервисы, такие как Office 365 и G Suite (ранее Google Apps).

2FA в ADFS

Поддержка аутентификации пользователей по протоколу ADFS позволяет не только усилить безопасность целевых систем с применением 2FA, но и построить Single Sign-On (SSO) решение, избавив пользователей от необходимости многократно аутентифицироваться в рамках одной сессии. Сочетание 2FA и SSO подходов одновременно значительно усиливает уровень информационной безопасности компании и повышает эффективность работы ее сотрудников.

Ниже приведена общая схема решения.

Схема работы двухфакторной аутентификации

Особенности Indeed AM

Высокий уровень безопасности

Применение двухфакторной аутентификации значительно повышает уровень защищенности корпоративных ресурсов компании. Использование технологии AK Cloud обеспечивает максимально удобный и безопасный способ аутентификации пользователей на базе криптографически защищенных push-уведомлений.

Гибкость решения

Компания может использовать любые совместимые с HOTP и TOTP генераторы одноразовых паролей без ограничений конкретного вендора приложений или устройств. В рамках одной инфраструктуры могут использоваться все поддерживаемые технологии OTP-аутентификации: мобильные приложения, OTP-брелоки разных вендоров, SMS и Email сообщения, AirKey Cloud. Поддержка различных механизмов интеграции с целевыми системами (RADIUS, SAML, ADFS, IIS Extension, Web API) обеспечивает возможность построения единой среды аутентификации во всех требуемых приложениях.

Различные технологии аутентификации

Online- и offline- аутентификация

Indeed Access Manager поддерживает аутентификацию как в онлайн-режиме, когда пользователю направляется SMS или email сообщение с одноразовым паролем или push-нотификация на смартфон, так и в оффлайн-режиме, когда пользователь может сгенерировать одноразовый пароль на своей стороне с использованием приложения на смартфоне или аппаратного брелока.

Поддержка OATH стандартов аутентификации TOTP и HOTP

Для генерации и проверки одноразовых паролей используются стандартизированные алгоритмы Time-based One-time Password Algorithm (TOTP) и HMAC-based one-time password (HOTP). Данные алгоритмы широко применяются в индустрии и гарантируют необходимый уровень безопасности и совместимости систем 2FA. Это позволяет использовать любое приложение или устройство, совместимое с TOTP или HOTP, для аутентификации с помощью Indeed Access Manager.

Push-уведомления

Для аутентификации пользователей может поддерживаться технология Indeed AirKey Cloud, которая позволяет отправлять на смартфон пользователя push-нотификацию для подтверждения операции входа. Технология основана на использовании асимметричной криптографии с применением закрытых и открытых ключей. Такой подход позволяет предоставить пользователям удобный и привычный способ подтверждения аутентификации и обеспечить при этом высокий уровень информационной безопасности клиент-серверной коммуникации.

Сервис самообслуживания пользователей

Для регистрации и управления доступными технологиями аутентификации пользователям предоставляется сервис самообслуживания, который выполнен в формате web-приложения. Это дает возможность предоставить пользователям удобный механизм управления аутентификацией, доступный с любого ПК.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Владимир Солонин
В модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальными и сложными.
Владимир Солонин
директор по информационной безопасности, «СДМ-Банк»
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»