Многофакторная аутентификация — норма жизни в «цифровой» среде. И MULTIFACTOR как инструмент для обустройства нормальной жизни в киберпространстве

Многофакторная аутентификация — норма жизни в «цифровой» среде. И MULTIFACTOR как инструмент для обустройства нормальной жизни в киберпространстве

Тема этого материала — оптимальное внедрение многофакторности в процессы идентификации, аутентификации и авторизации — была подсказана самой жизнью.

В сентябре новым аспектом цифровой реальности стала попытка сервиса популярной электронной почты дополнить введение «статичного» логина ещё и последующим введением сиюминутно формируемого набора букв.

В переводе на язык информационной безопасности это, скорее всего, означает, что где-то кого-то «припекло» в связи с фактической реализацией угроз несанкционированного доступа в информационную инфраструктуру, вход в которую ранее прикрывался лишь парой логин-пароль. И это уже без всяких «скорее всего», а в очередной раз обращает внимание приверженцев идей цифровой трансформации на необходимость тщательной проработки вопросов идентификации, аутентификации и авторизации (ИАА) доступа к цифровым ресурсам информации и рабочих инструментов.

Тщательной и с точки зрения сути технологии ИАА, и с точки зрения удобства реализации технологии, и с точки зрения удобства её использования.

В упомянутом выше «кейсе» предлагаемые для воспроизведения буквы представляли собой не только бессмысленный их набор, но и имели начертание, беспощадно внешне искажённое бурной фантазией цифровых каллиграфов. В результате пользователи довольно часто терпели фиаско при первом входе в приложение и были вынуждены делать ещё одну-две попытки, пока не предлагался более или менее распознаваемый аналоговым обывателем набор букв.

И уж скоро миссией журнала является помощь в безопасном внедрении идей цифровой трансформации, мы не смогли не заметить и не отреагировать на возможный «сигнал тревоги». Тревоги и за ИБ, и за тех, кто обязан использовать технологии ИБ, и за тех, кого эти технологии призваны защитить.

Мы это о чём

Для тех из наших читателей, кто в построении корпоративной системы ИБ опирается на собственную команду разработчиков, этот материал может явиться триггером для запуска обречённого на успех проекта по усилению защиты входа в корпоративные информационные системы и указанием на то, какие идеи могут быть положены в основу этого проекта. Тем более, что решение MULTIFACTOR, о котором мы расскажем, открыто на основе принципов СПО.

Для тех же организаций, что используют при создании корпоративной системы ИБ сторонние ресурсы, включая и SaaS-решения, знакомство с решением MULTIFACTOR для организации многофакторной аутентификации (МФА/MFA) возможно окажется той «волшебной палочкой» (или «серебряной пулей»), которая позволит с нулевыми капитальными затратами (пресловутый CAPEX, которые некоторые предпочитают поменьше) и довольно быстро (может статься, что через пару часов после начала проекта) начать обучение персонала работе с системой и её последующую эксплуатацию.

Что удалось найти в открытой печати

Внедрённое решение MULTIFACTOR — это единый поставщик учётных записей для доступа к приложениям, что позволяет избежать мультипликации учётных записей.

При этом пользовательская эксплуатация (конфигурирование двухфакторной аутентификации (2FA) и решение проблем с доступом (включая смену просроченного пароля) может обеспечиваться без участия ИТ-поддержки, самостоятельно пользователями через портал самообслуживания.

В числе решаемых с помощью MULTIFACTOR задач (в общем контексте обеспечения безопасности доступа к инфраструктуре за счёт предотвращения «угонов» учётных записей и последующих утечек информации и сетевых атак) — защита VPN и VDI-подключений, защита инфраструктур Windows и Linux, web-приложений, как облачных, так и размещённых во внутренней инфраструктуре.

Почему нулевой CAPEX

MULTIFACTOR — это облачный сервис предоставления услуги аутентификации по второму фактору из преднастроенного списка (SMS, звонок, чат-бот Telegram, приложение Multifactor, аппаратные или программные OTP-токены в случае защиты VPN и VDI соединений) (рис.1).

Высокоуровневая схема решения MULTIFACTOR представлена на рис. 2.

В «облаке» расположены сервис подтверждения и подписи запросов на аутентификацию пользователей вторым фактором; личный кабинет ИТ-службы организации для управления и контроля доступа сотрудников к ресурсам с 2FA; журнал событий; API и инструменты разработчика. При этом «облачная» часть решения спроектирована таким образом, чтобы локальные катаклизмы естественного или антропогенного характера не повлияли на работу сервиса в целом. Если отказ «облака» MULTIFACTOR всё же случится, инфраструктура возвращается на предыдущий уровень защиты доступа, без использования второго фактора. При необходимости режим ByPass позволяет группам или отдельным пользователям входить в ИС без второго фактора.

Система работает «поверх» основного метода аутентификации, и никогда не обрабатывает и не хранит пароли пользователей.

Вопросы к разработчикам MULTIFACTOR

К сожалению, обращённая в открытый доступ информация о MULTIFACTOR грешит шаблонностью некоторых формулировок и не всегда учитывает отличие степени информированности читателей «открытого доступа» от осведомлённости погружённых в разработку сотрудников ООО «МУЛЬТИФАКТОР». В связи с этим редакция задала компании ряд уточняющих вопросов, на которые ответил Виктор Чащин, операционный директор (COO), совладелец компании «МУЛЬТИФАКТОР».

Вопрос BIS Journal (BJ): Что означает «открытый код решения» — открыты только клиентская часть для инфраструктуры пользователя или и облачная компонента решения? Какова практика открытости разработки?

Ответ Виктора Чащина (ВЧ): Полностью открыта для ознакомления и возможного внесения изменений клиентская часть решения MULTIFACTOR. «Облачная» компонента решения закрыта от стороннего вмешательства в код разработки.

Мы сталкивались с практикой доработки нашим заказчиком клиентского компонента решения. В этом случае ответственность за информационную безопасность доработанного компонента несёт заказчик.

BJ: Что такое второй фактор «на основе Telegram», «на основе Приложения Multifactor»?

ВЧ: Для работы системы используется личный телефон пользователя. В случае использования смартфона «второй фактор», дополняющий пароль может формироваться, помимо SMS-сообщения и телефонного звонка, реализуемых и на кнопочных телефонах, и с использованием чат-бота Telegram (если сотрудник использует это приложение), а также с использованием специального написанного компанией для своей 2FA-системы мобильного приложения, устанавливаемого на смартфон сотрудника.

BJ: Стандарты/технологии RADIUS, Active Directory известны и на слуху. Но сейчас речь может пойти о переходе на новые стандарты. Компания считает это возможным?

ВЧ: Окончания жизненного цикла открытой технологии протокола RADIUS не видно ИМХО. Что же касается Active Directory, то этот термин, введённый Microsoft для своей системы, сегодня стал именем нарицательным для Провайдера Учётных Записей.

BJ: В презентации сказано, что Портал Самообслуживания поставляется с открытым кодом для Windows, а компоненты RADIUS, LDAP, ADFS, IIS Адаптер — с открытым кодом для Windows и Linux. О каком Linux идёт речь? А Портал Самообслуживания на Linux есть? Что можно сказать о внедрении MULTIFACTOR в организациях, работающих на отечественных или открытых офисных системах?

ВЧ: Сегодня наряду с тем, что решение МУЛЬТИФАКТОР входит в Реестр отечественного ПО, система прошла испытания на совместимость со всеми отечественными ОС на базе ядра Linux, также внесёнными в этот Реестр.

Разумеется, есть портал самообслуживания в Linux реализации. Среди наших заказчиков еще нет компаний, целиком перешедших на отечественное ПО, но те, кто начал этот процесс, отмечают бесшовность и простоту переноса МФА в нашей реализации на отечественные операционные системы.

BJ: Исследовалась ли работа MULTIFACTOR на отечественных аппаратных платформах (по крайней мере, для компонента On-Premise)?

ВЧ: Эти работы в ближайших планах компании. Они будут проводиться по мере поступления упомянутых аппаратных платформ нашим заказчикам.