15 Апреля, 2012

СОИБ. Проектирование. Управление строгой аутентификацией

Сергей Борисов

В продолжение одной изпредыдущих заметок об актуальных решениях ИБ , как сертифицированный специалистхочу поддержать решение компании SafeNet (и входящей в неё Aladdin) – система управления строгой аутентификацией SafeNetAuthenticationManager,SAM (ранее известнаякак TMS). Дополнительныйповод – это выход новой версии SAM,привнесшей много дополнительных возможностей. Сейчас система находится нафинальных стадиях сертификации в системе ФСТЭК России.

Система SafeNet Authentication Managerпредназначено для построения инфраструктуры строгой аутентификации, как частисистемы обеспечения безопасного доступа к информационным ресурсам предприятия.

Наиболее востребованнымиобластями применения инфраструктуры строгой аутентификации являются:
·        обеспечение удаленного доступа сотрудников,партнеров к информационным ресурсам предприятия;
·        обеспечение мобильного доступа к информационнымресурсам предприятия с любого мобильного устройства из любой точки сетиИнтернет;
·        обеспечение доступа к информационным ресурсам,подлежащим защите в соответствии с требованиями законодательства РФ, отраслевыхи международных стандартов, других регулирующих документов;
·        обеспечения доступа сотрудников к наиболеекритическим информационным ресурсам предприятия;
·        обеспечение доступа клиентов к критическимприложениям;
·        обеспечения доступа к системам сотрудников,обладающих максимальными полномочиями (администраторы).

Система SafeNet Authentication Managerподдерживает следующие варианты строгой аутентификации:
·        аутентификация по сертификатам – в данномварианте аутентификации пользователь предъявляет персональный цифровойсертификат открытого ключа; закрытый ключ хранится в защищенной части ключевогоносителя eToken;
·        аутентификация по сложному паролю – в данномварианте аутентификации сложный персональный пароль пользователя хранится взащищенной части ключевого носителя eToken; для доступа к нему пользовательподключает eToken и вводит короткий пин-код;
·        аутентификация по одноразовым паролям – в данномварианте аутентификации пользователь каждый раз вводит новый одноразовыйпароль; одноразовые пароли для пользователя генерируются средством усиленнойаутентификации.
Система SafeNet Authentication Managerподдерживает средства строгой аутентификации в виде электронных ключевыхносителей eToken, OTP-токенов eToken, программных (виртуальных)токенов eTokenVirtual,программных средств MobilePASSи др.   
Аналогов по возможностям просто нет. Есть решения которые могут дополнить SAM но о них в следующих заметках.

Приводить типовую схемуподключения SAMне имеет смысла. В классическом варианте это один серверподключаемый в любую точку локальной сети.
Вместо этого привожу типовуюсхему взаимодействия компонентов SAM. Надеюсь кому-то окажется полезной.



или введите имя

CAPTCHA
16 Апреля, 2012
В ФСТЭК вы такую же бумажку отправили?
0 |
  • Поделиться
  • Ссылка
16 Апреля, 2012
В ФСТЭК сертифицирует сам производитель - сразу на серийное производство SAM 8.0 Естественно что де-факто стандарт отрисовки схем при взаимодействии регулятор-разработчик-интегратор-заказчик - это visio. Только в блоге или на какомнибудь совещании можно позволить себе порисовать на бумаге от руки.
0 |
17 Апреля, 2012
комментарии
Интересная дисскусия развернулась тут http://sborisov.blogspot.com/2012/04/blog-post.html по поводу заметки: [IMG] Артем Агеев комментирует... а в чем отличие между SAM и eToken TMS? [IMG] Сергей Борисов комментирует... 1. Полноценная поддержка OTP технологии (можно управлять OTP в AD, Citrix и некоторых других внешних системах) 2. Поддержка технологии и токенов для подписи транзакций (для банков) 3. Новые вариант аутентификации для мобильных устройств (virtual etoken и MobilePASS). Поддерживаются фактически все мобильные ОС. 4. Поддержка строгой аутентификации в облачных приложениях (например Google Apps) [IMG] Артем Агеев комментирует... А у TMS не полноценная поддержка что ли? Транзакции подписывает софт ДБО. Причем тут SAM? Google Apps прекрасно поддерживает строгую аутентификацию сам, без стороннего софта. [IMG] Сергей Борисов комментирует... SAM - это не система аутентификации, а система управления аутентификацией. Для того чтобы управлять, необходимо иметь возможность взаимодействия с внешними системами. (Чтобы при одним нажатием кнопки создавалась учетная запись, настройки и базовые права для неё) Вот собственно добавляются новые коннекторы, появляются новые возможности по настройке. [IMG] Артем Агеев комментирует... т.е. в SAM есть коннекторы для отечественных систем ДБО? [IMG] Сергей Борисов комментирует... В случае с возможностями проверки транзакций - появился новый портал Transaction Signing Portal. Он позволяет проверить транзакцию независимо от системы ДБО. Но для того чтобы данные о результате проверки попали в ДБО необходима дополнительная интеграция. Есть SafeNet Webportal API, через который (по заверениям производителя) легко можно интегрироваться с ДБО. [IMG] Артем Агеев комментирует... интересно, как реализована "поддержка строгой аутентификации в Google Apps". там ведь СМС либо генерация 6ти значного цифрового кода на телефоне. "легко можно интегрироваться в ДБО" - это они серьезно? Т.е. производитель ДБО должен по просьбе банка изучить API SafeNet и выпустить специальную версию своего клиента? [IMG] Сергей Борисов комментирует... "Легко интегрироваться" это замечание для интегратора или для разработчика ДБО. Естественно что такие решения по усиленной защите транзакций не коробочные. Но разработка собственного модуля проверки транзакций в связке с токенами проверки транзакций будет на порядок сложнее чем интегрировать одну функцию SAM и ДБО. Как же без интегратора в таких комплексных системах? [IMG] Сергей Борисов комментирует... На счет SAM и Google apps. В SAM настраиваем SAM Remote Portals (как раз новый сервис). В google настраивается раздел SSO в котором прописываются URL нашего SAM Remote Portal. Далее google редиректит на SAM когда пользователь хочет зайти на Google Apps. Соответственно кому настроены сертификаты - ходит по сертификатам. Кому настроено ОTP - ходит по OTP. [IMG] Артем Агеев комментирует... да, только вот двух факторная аутентификация от самого гугла в таком случае пропадает. а ведь SMS и генератор OTP под мобильные ОС намного удобней, чем сертификат (который еще нужно поставить на мобильные устройства) и етокен (для которого нужен USB порт и который нужно носить с собой). а правильный ответ на мой первоначальный вопрос видимо такой: SafeNet полностью заменить eToken TMS после получения сертификата. [IMG] Сергей Борисов комментирует... На счет TMS, я видимо не расслышал вопроса. Да, как только будет сертификат - сразу можно перестать продавать TMS и начать продавать SAM. Артем, на счет двухфакторной аутентификации ты внимательно читал всё что написано выше? SAM поддерживает OTP (через генератор и через SMS). Так что в удобстве абсолютно ничего не теряем. 16 апреля 2012 г. 7:49[IMG] [IMG] Артем Агеев комментирует... Ссылку на Андроид маркет и аппстор с генератором OTP можно? 16 апреля 2012 г. 9:04[IMG] [IMG] Сергей Борисов комментирует... Android https://play.google.com/store/apps/details?id=securecomputing.devices.android.controller&hl=ru Apple http://itunes.apple.com/us/app/safenet-mobilepass/id364682261?mt=8 16 апреля 2012 г. 9:22[IMG] [IMG] Артем Агеев комментирует... и про "Аналогов по возможностям просто нет." из статьи... На самом деле аналогов множество, и те, кто в этой теме давно, наоборот не видят ничего нового в том, что предложил Аладдин. посмотри продукты Интел http://software.intel.com/en-us/articles/intel-application-security-and-identity-products-cloud-access-360/ и Микрософт http://www.microsoft.com/en-us/server-cloud/forefront/identity-manager.aspx не всегда стоит верить только рекламным брошюрам. 16 апреля 2012 г. 10:58[IMG] [IMG] Сергей Борисов комментирует... На счет "Аналогов" я писал не про мнение Gartner (хотя оно есть), а свое мнение с учетом некоторого анализа рынка. Если рассматривать именно системы управления усиленной аутентификацией с такой поддержкой вариантов аутентификации и средств аутентификации - близких конкурентов нет. В смежных областях много интересных решений: это и Microsoft FIM (Oracle IM) - управление учетными записями (но не токенами) это и Cisco ISE - управление сетевым доступом это и Stonesoft Authentication Server - сервер аутентификации это и Indeed-ID - система однократной аутентификации. С приведенными выше системами SAM пересекается на 30%, но остальные 70% уникальны. Поэтому принято рассматривать как системы друг друга дополняют. Например SAM + Indeed-id.
0 |
  • Поделиться
  • Ссылка