Stonesoft Authentication Server | Новые технологии безопасности

Stonesoft Authentication Server

Единая система аутентификации пользователей

В любой современной компании различного рода и размера информация хранится в базах данных. К такой информации относятся персональные данные как сотрудников так и клиентов, данные о паролях, счетах, кредитных картах и другие конфиденциальные данные, которые не предназначены для просмотра и тем более изменения лицами, не имеющими на это доступа. Но, если не обеспечена необходимая защита, любые данные могут быть скомпрометированы.
Базовые устройства обеспечения безопасности компаний, такие как межсетевые экраны и системы обнаружения и предотвращения вторжений, недостаточно эффективны против подобных злоупотреблений, а также борьбы с атаками на сами данные, хранящимися в приложениях и базах данных.
Выход – использовать строгие механизмы разграничения доступа. Но им для работы необходима информация о данных аутентификации. И тут возникает другая проблема: если данные аутентификации легко получить, то и система разграничения доступа будет бесполезна.
Существуют и применяются множество методов незаконного получения аутентификационной информации: от банального “подсматривания” паролей пользователей до использования троянов, кей логгеров, фишинговых сайтов и методов социальной инженерии.
Необходимую и достаточную защиту от подобного рода атак и безопасное хранение данных аутентификации как сотрудников компании, так и клиентов или партнеров на сегодняшний день могут обеспечить только системы многофакторной аутентификации. Система аутентификации должна в себе сочетать такие характеристики, как:

  • удобство управления;
  • простая интеграция с существующими решениями в компании;
  • безопасное хранение данных и наличие возможностей по резервированию и масштабированию решения в соответствии с требованиями и запросами бизнеса.

Предлагаемое решение задачи

Stonesoft Authentication Solution предоставляет возможность организациям любого размера реализовать различные методы аутентификации, а также обеспечить конфиденциальность операций, защищенный удаленный доступ, повысить безопасность и снизить накладные расходы. Решение компании StoneSoft поддерживает различные методы аутентификации: на базе одноразовых паролей (OTP, one-time password) с использованием как программных так и аппаратных токенов или смарт-карт, статические паролей, система вопрос-ответ, аутентификация по сертификатам. Входящий в состав решения сервер Stonesoft Authentication Server обладает высоким уровнем масштабируемости, безопасности, централизованного администрирования, мониторинга и сбора событий (аудита). интегрируется с единой системой управления встроенными или внешними аутентификационными данными пользователей.Интеграция с центром управления Stonesoft Management Center позволяет уменьшить совокупную стоимость владения системой защиты и не требует дополнительного обучения персонала.

Высокая доступность решения может обеспечиваться не только средствами инфраструктуры (как у классических решений – средствами балансировщика, «разбрасывающего» запросы по группе серверов), но и благодаря интегрированным сервисам кластеризации и горячего резервирования самой платформы StoneSoft.

Stonesoft Authentication Server можно использовать в качестве корпоративного RADIUS-сервера с функциями строгой аутентификации как по классическим паролям, так и одноразовым (ОТР), в том числе передаваемым через SMS. Тем самым можно унифицировать инфраструктуру на уровне протокола доступа, который заведомо поддерживается большинством производителей оборудования и программного обеспечения. А единая точка принятия решения о допуске пользователя к ресурсам упростить задачи администрирования.

Более того, интегрированная в состав решения технология «Federated Identity» (FedID), которая базируется на открытом стандарте SAML, позволяет осуществлять кросс-аутентификацию пользователей при одновременной работе с разными информационными системами, используя при этом единые учетные данные и процедуру входа, с целью безопасной обработки учетных данных сотрудников, клиентов и партнеров.

Еще одной отличительной особенностью Stonesoft Authentication Server является поддержка множества сервисов каталогов и легкая интеграция с ними. В перечень «поддерживаемых из коробки» входят такие службы каталогов, как:

  • Microsoft Active Directory 2003/2008;
  • LDAP/LDAPS;
  • Novell eDirectory;
  • OpenLDAP;
  • Sun Java System Directory Server;
  • Oracle Internet Directory;
  • IBM Tivoli Directory Server;
  • IBM RACF LDAP.

Встроенные методы многофакторной аутентификации позволяют свести к минимуму риски «подсматривания» или перехвата аутентификационной информации при её передаче по незащищённым каналам связи. Программное обеспечение, так называемый «программный токен» (software token), Mobile ID, в отличие от классических аппаратных токенов (например, RSA SecurID), не требует приобретения, ношения и обслуживания брелков или каких-либо других носителей аутентификационной информации. Программный токен устанавливается непосредственно на стационарное или мобильное устройство путем загрузки инсталляционного пакета и используется для выработки одноразовых паролей, обеспечивающих безопасный доступ к ресурсам. В части операционной системы для MobileID поддерживаются все современные мобильные платформы, даже простые телефоны с поддержкой Java.

Базовый сценарий строгой двухфакторной аутентификации, основанный на генерации одноразового пароля с помощью программного обеспечения Mobile ID, выглядит следующим образом:

  • Пользователь попадает на портал, где выбирает соответствующий метод аутентификации;
  • После получения запроса на ввод данных он запускает на своем мобильном устройстве приложение MobileID и вводит только PIN код (или PIN код с «кодом сервера» в режиме «запрос-ответ» (challendge));
  • В ответ получает пароль на доступ.

Сценарий с использованием метода строгой трехфакторной аутентификации, основанный на создании одноразового пароля после получения данных запроса от сервера, выглядит аналогичным образом, только для получения сессионного пароля пользователь вводит значение, полученное от сервера. Кстати, удобной альтернативой является распространение паролей через мобильный телефон в виде SMS сообщений.В этом случае пользователь вводит в веб-форму портала свои учетные данные, после чего сервер отправляет пользователю на указанный в параметрых профиля номер мобильного телефона сессионный пароль.
Использование перечисленных методов аутентификации позволяет зачастую не просто поднять стойкость процесса аутентификации, но и сделать его более удобным и простым в использовании, что немаловажно для пользователей. В результате растет и защищенность самих ресурсов, пользователи привыкают использовать не только технологичные, надежные, но и легкие в использовании технологии (и записывать пароли на лист бумаги под клавиатурой больше не нужно).
Следует отметить, что технология Mobile ID в составе решения StoneSoft Authentication Solution не требует покупки отдельных лицензий, позволяет использовать мобильное устройство в качестве удостоверения личности при получении доступа к корпоративным ресурсам и данным. При этом реализуется двухфакторная или трехфакторная аутентификация пользователей и минимизируется вероятность несанкционированного доступа к ресурсам.
Stonesoft Authentication Solution сочетает в себе несколько компонент: сервер аутентификации Stonesoft Authentication Server, шлюз удаленного доступа Stonesoft SSL VPN, а также систему централизованного управления StoneSoft Management Center. Данное решение сочетает в себе различные методы аутентификации пользователей, обеспечивает безопасный удаленный доступ к ресурсам, расположенным в вычислительных центрах не только в корпоративной сети организации, но и в сетях общего пользования, а также предоставляет удобные инструменты контроля и мониторинга всех компонент. При организации защищенного доступа пользователей их рабочие места могут дополнительно проверяться на соответствие корпоративной политике безопасности, а защита доступа обеспечиваться применением в том числе персонального межсетевого экрана и автоматизацией процесса подключения и аутентификации.

В решении Stonesoft Authentication Solution, в состав которого входит Stonesoft SSL VPN, реализована богатая поддержка Single Sign-On(SSO), когда пользователю не требуется повторно вводить учетные данные для доступа к запрошенному ресурсу. Причем поддерживается не только статический ввод данных для заполнения форм, но также и динамический, а также адаптивный, когда администратору не нужно ничего вводить вручную, данные будут подставлены автоматически. Также поддерживается интеграция с различными Web-службами через стандартный механизм «ticket SSO». Аналогично работают механизмы автоматической подстановки паролей не только для сервисов на базе Web, но и для таких прикладных приложений, как RDP, Citrix, SSH, SMB, Microsoft Outlook и других.
Сфера применения решения StoneSoft Authentication Solution достаточно обширна: от «простого» RADIUS-сервера для сторонних систем до управляемого решения в составе концепции MSSP оператора услуг связи с такими дополнительными сервисами, как SSO, OTP, FedID и др.

Заключение

Stonesoft Authentication Solution позволяет закрыть широкий класс задач по аутентификации пользователей и обеспечению их безопасного удаленного доступа. Входящие в состав решения компоненты позволяют уверенно определять пользователей прежде, чем они смогут взаимодействовать с критически важными данными и приложениями, а также обладают широкими возможностями мониторинга и журналирования действий, что в свою очередь обеспечивает легкое расследование компьютерных инцидентов.