Аутентификация
по смарт-картам и цифровым сертификатам

Решение на основе Indeed AM и Indeed CM использует сочетание разных способов аутентификации, в том числе криптографические смарт-карты, носители закрытого ключа для ЭП

Запланировать демонстрацию

Описание решения

В ИТ-инфраструктуре современной организации внедрены различные сервисы и информационные системы, имеющие собственные каталоги учетных записей и, соответственно, требующие отдельного ввода учетных данных для авторизации. При этом часть сервисов поддерживает и реализует аутентификацию по цифровым сертификатам, выданным как собственным, так и сторонним удостоверяющим центром. Эти сертификаты могут использоваться для электронного документооборота.

Для безопасного использования парольной аутентификации вводятся соответствующие требования (состав и длина пароля, периодичность обновления, исключение использования популярных последовательностей, например “admin” и “123456”). Соблюдение всех этих требований, даже в случае одного пароля, может быть сложной задачей. Не говоря уже о том, когда сотрудник вынужден помнить несколько логинов и паролей. Кроме того, частой является ситуация, когда смена пароля в разных системах и сервисах происходит в разное время (т.е. нет синхронизации и контрольных дат).

Возможны сценарии, когда у сотрудника имеется несколько аппаратных устройств для защищенного хранения ключей и сертификатов электронной подписи. К примеру, для каждого квалифицированного сертификата - отдельный носитель.

На “бумаге” (во внутренних организационно-распорядительных документах ) указано, что сотрудник самостоятельно обеспечивает требования к безопасному хранению и использованию собственных паролей и устройств - носителей ключевой информации.

Однако на практике возможны следующие проблемы:

  • Игнорирование требований безопасности к составу паролей в системах и сервисах, где не настроены соответствующие политики
  • Преднамеренное или непреднамеренное игнорирование необходимости менять пароли с заданной периодичностью там, где это не настроено автоматически
  • Выполнение всех требований безопасности к ведению паролей, но и одновременная их фиксация на материальном носителе или в текстовом файле
  • Забывание паролей и просьба к специалистам ИТ/ИБ сбросить их (после чего не все их меняют, если нет принудительной смены после первого входа)
  • В случае наличия нескольких устройств - путаница с их использованием или хранение их в небезопасных местах

Более того, каждый аппаратный защищенный носитель требует отдельных вложений на приобретение (или замену). В случае наличия нескольких устройств затраты возрастают. Не говоря уже про сложности их учета и администрирования.

Сложности с использованием и администрированием паролей, с управлением цифровыми сертификатами и их носителями ведут к снижению управляемости ИТ-инфраструктурой и снижению уровня ИБ. Оптимальным решением будет использование связки специализированных программных комплексов классов Public Key Infrastructure Management (PKI-Management), Authentication Management (или Access Management) и Two-Factor Authentication (2FA)

Применение подобных программных комплексов позволит, с одной стороны, повысить эффективность управления аутентификаторами (не только паролями) и инфраструктурой открытых ключей, с другой - повысит общий уровень ИБ.

Использование комплекса программных продуктов, направленных на контроль аутентификации, защиту доступа и управление инфраструктурой открытых ключей (PKI) позволит централизованно решать широко распространенные задачи защиты доступа.

Такие задачи позволит решить совместное применение платформ Indeed Access Manager и Indeed Certificate Manager.

Технологически эти продукты представляют собой две отдельные системы: система управления аутентификацией и система управления инфраструктурой открытых ключей. Между ними реализован обмен данными о пользователях, их действиях, присвоенных им аутентификаторах и выданных сертификатах.

Совместное использование продуктов Indeed AM и Indeed CM позволяет реализовать следующие задачи информационной безопасности:

  • Двухфакторная аутентификация во всех корпоративных ресурсах даже в тех, где не поддерживаются сценарии многофакторной аутентификации и используются только пароли, включая настольные приложения без встроенной поддержки Single Sign-On)
  • Реализация единого защищенного носителя для хранения сертификатов электронной подписи, хранения идентификационной и аутентификационной информации, а также для регистрации и идентификации в СКУД
  • Контроль обращения и использования цифровых сертификатов и защищенных носителей
  • Нейтрализация проблем и уязвимостей технологии парольной аутентификации

С точки зрения пользователей, наличие единого устройства, используемого для идентификации и аутентификации, а также служащего корпоративным удостоверением, несет очевидные преимущества, исключающие затраты рабочего времени не непродуктивные вопросы:

  • Отсутствие необходимости “придумывания” новых паролей для всех корпоративных ресурсов
  • Отсутствие риска забывания паролей и последующего простоя работы
  • Единое универсальное защищенное устройство для всех задач управления доступом и хранения электронных подписей

С точки зрения администраторов ИБ и ИТ, внедрение подобного технологического комплекса также несет выгоды:

  • Повышение уровня информационной безопасности за счет внедрения двухфакторной аутентификации
  • Снятие ответственности за формирование и использование паролей с пользователей, соответственно, невозможности передачи и разглашения паролей
  • Соблюдение требований к генерации паролей в целевых системах, не поддерживающих иные технологии аутентификации
  • Отсутствие необходимости контроля соблюдения требований безопасности и обращения паролей
  • Отсутствие затрат рабочего времени на сброс пользовательских паролей
  • Единые консоли мониторинга и управления устройствами аутентификации и идентификации

Двухфакторная аутентификация

При всей легкости эксплуатации технологии парольной аутентификации обладают существенными недостатками. В то же время использование для аутентификации защищенных аппаратных носителей и цифровых сертификатов нейтрализует недостатки парольных систем защиты:

  • Сложность компрометации устройства и сертификата
  • Факт компрометации (например, через утерю устройства) может быть сразу выявлен, после чего администратор ИБ может принять меры для блокировки скомпрометированного устройства
  • PIN-код от устройства зачастую достаточно просто запомнить, при этом он сам по себе бесполезен без наличия физического доступа к устройству
  • Легкость смены PIN-кода и отсутствие необходимости создания нескольких PIN-кодов, т.к. все сертификаты и аутентификационная информация от всех корпоративных сервисов хранятся на одном устройстве
  • Привязка аутентификации к аппаратному устройству, которое даже в случае компрометации не так просто применить с рабочего места, явно не настроенного для получения доступа к корпоративным ресурсам (исключая публичные веб-ресурсы)

Совместное применение платформ Indeed Access Manager и Indeed Certificate Manager позволяет реализовать в корпоративной ИТ-инфраструктуре специальное аппаратное средство двухфакторной аутентификации в целевых сервисах.

Аутентификация в ОС Windows по сертификатам

Платформа Indeed Certificate Manager поддерживает интеграцию с внутренними удостоверяющими центрами, реализованными на базе Microsoft CA. При этом в доменной инфраструктуре Active Directory “из коробки” поддерживается аутентификация по выпущенным Windows CA сертификатам.

Indeed Certificate Manager позволяет централизованно управлять выпуском и обращением цифровых сертификатов, выпущенных Microsoft CA. Данные сертификаты могут храниться на защищенном устройстве пользователя, где содержатся и иные сертификаты.

Таким образом, защищенное устройство также можно использовать для аутентификации в ОС Windows.

Аутентификация в приложениях по смарт-картам и сертификатам

До сих пор многие информационные системы и сервисы по умолчанию используют парольную аутентификацию. При этом они могут не поддерживать иные сценарии аутентификации или иные протоколы (RADIUS, SAML, ADFS, Active Directory, X.509 и т.п.).

В то же время приложения и веб-приложения поддерживающие аутентификацию по цифровым сертификатам могут требовать предъявления сертификатов, выпущенных сторонним удостоверяющим центром. Это вполне типичная ситуация, например, в случае организации государственного межведомственного документооборота или участия в государственных закупках.

Используя Indeed Certificate Manager возможно поставить под контроль и отслеживать все цифровые сертификаты, в т.ч. выданные сторонними удостоверяющими центрами (включая аккредитованные ).

Платформа Indeed Access Manager позволяет использовать аппаратные устройства с защищенным хранилищем для сквозной аутентификации в любом приложении или веб-приложении с парольной защитой. Это может быть реализовано:

  • через поддержку протоколов аутентификации (RADIUS, ADFS, SAML и т.п.)
  • через модуль Enterprise Single Sign On (ESSO)

ESSO перехватывает графические формы ввода пароля и подставляет в них учетные данные. Далее данный модуль поддерживает защищенное хранение упомянутых учетных данных и отвечает за их обновление (ввод в приложение нового пароля осуществляется также через перехват графических форм ввода пароля).

Таким образом, единое устройство может использоваться для аутентификации во всех корпоративных приложениях и веб-приложениях.

Единый носитель идентификационной и аутентификационной информации

Платформа Indeed Access Manager позволяет реализовать сценарии аутентификации с использованием аппаратного защищенного носителя в любых целевых ресурсах (с помощью соответствующих модулей интеграции). Возможна интеграция со СКУД, тогда используемые пользователями для аутентификации аппаратные носители также можно использовать и для прохода в помещения, защищенные СКУД.

Используя оба продукта, можно реализовать сценарий, когда один ключевой носитель используется для хранения всех цифровых сертификатов, доступных пользователю, более того, этот же ключевой носитель используется в качестве аутентификатора для рабочих мест на базе ОС Windows и для всех целевых приложений и веб-приложений.

Единое устройство для идентификации и аутентификации позволяет, с одной стороны, существенно повысить эффективность авторизации во всех корпоративных ресурсах, повышает степень лояльности рядовых пользователей, не говоря уже о том, что использование такого устройства повышает общий уровень ИБ организации. В т.ч. за счет мониторинга всех событий аутентификации.

Шифрование и электронная подпись

Платформа Indeed Certificate Manager реализует не только задачи управления внутренними цифровыми сертификатами , но позволяет ставить под контроль сертификаты, выпущенные сторонним удостоверяющим центром, в т.ч. аккредитованным.

Соответственно, хранимые на едином носители цифровые сертификаты могут использоваться не только для аутентификации в целевых системах, но и для иных задач:

  • шифрование и подпись сообщений электронной почты
  • шифрование и подпись электронных документов
  • подпись бизнес-транзакций (например, переводы финансовых средств на счет)
  • шифрование файлов и дисков
  • организация VPN-соединения

Применение квалифицированных цифровых сертификатов позволяет получить юридическую значимость формируемой электронной подписи, что может быть использовано для организации юридически значимого электронного документооборота, для участия в государственных закупках и для получения иных государственных электронных услуг.

Корпоративное удостоверение сотрудника

Совместное использование продуктов Indeed Access Manager и Indeed Certificate Manager позволяет реализовать единый защищенный носитель для идентификации, аутентификации и для иных бизнес-задач:

  • аутентификации на рабочих местах с ОС Windows
  • аутентификация в корпоративных приложениях и веб-приложениях
  • аутентификация в публичных веб-сервисах
  • электронная подпись документов и сообщений почты
  • шифрование сообщений, файлов и дисков
  • организация VPN-соединения
  • идентификация в СКУД
  • корпоративная дебетовая карта, привязанная к счету в банке

Безусловно, конечный перечень возможностей, реализуемых единым устройством, зависит от технических особенностей самого устройства (наличие RFID чипа, наличие защищенного хранилища сертификатов, наличие магнитной полосы или микросхемы для привязки к счету, форм-фактор), получившееся устройство может служить корпоративным удостоверением (или карточкой) сотрудника. Данное удостоверение позволяет сотрудникам получать все “услуги” своей компании, а также доступ ко всем корпоративным сервисам.

Нейтрализация угроз утери или поломки устройства

С одной стороны, наличие единого устройства для получения доступа ко всем корпоративным сервисам и для иных бизнес-задач позволяет получить следующие выгоды для пользователей и для компании:

  • существенно повысить эффективность использования корпоративных ресурсов
  • повысить производительность труда в части получения доступа к ресурсам
  • повысить уровень информационной безопасности за счет использования защищенного носителя идентификационной и аутентификационной информации

С другой стороны, существование подобного устройства может быть критично с точки зрения информационной безопасности в случае его утери или целенаправленного кражи. Ситуация может обостриться, если устройство позволяет получать доступ к корпоративным ресурсам удаленно и злоумышленник прибегает к откровенному грабежу для изъятия его у сотрудника.

Продукты компании Индид реализуют инструментарий централизованного мониторинга использования подобных устройств. Более того, в случае выявления факта компрометации устройство может быть оперативно заблокировано, а сертификаты - отозваны, все это - используя инструментарий Indeed Access Manager и Indeed Certificate Manager. Поддержка интеграции с SIEM позволяет оперативно выявлять инциденты и факты компрометации без обращения сотрудника.

Двухфакторная аутентификация

  • Поддерживаемые Удостоверяющие центры: КриптоПро УЦ, Microsoft CA, Валидата УЦ
  • Поддержка моделей съемных аппаратных носителей сертификатов: Рутокен, компании Актив, eToken, компании SafeNet, ESMART, компании ISBC, JaCarta, компании Аладдин Р.Д. Yubikey, компании Yubico, ID Prime, компании Gemalto, ePass, компании Feitian
  • Поддержка протоколов аутентификации: RADIUS, SAML, ADFS, OpenID Connect, Kerberos (Active Directory)
  • Поддержка аутентификации в целевых системах: Microsoft Windows Logon, Microsoft RDS, MS IIS, VPN, Web-Application, Desktop Application
  • Поддержка интеграции с: средства защиты от НСД (Secret Net Studio), принтеры смарт-карт, средства управления аутентификацией (Indeed Access Manager), средства управления полномочиями и учетными записями - IdM (через API)

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по продукту Indeed AM

Владислав Фомичев

Эксперт по продукту Indeed AМ

Денис Павлов

Эксперт по продукту Indeed AМ

другие решения