Современная многофакторная аутентификация на предприятии при помощи решений Аванпост и Рутокен

Компания «Актив» производит три устройства, использующие три основные технологии многофакторной аутентификации :
Рутокен ЭЦП 3.0 — универсальный аутентификатор на основе технологии инфраструктуры открытых ключей (PKI). Может работать как аутентификатор и одновременно являться средством электронной подписи.
Рутокен OTP — аппаратное средство для генерации криптографически вычисляемых одноразовых паролей (алгоритм TOTP).
Рутокен MFA — первый отечественный USB-токен на базе технологии FIDO2. Технология MFA позволяет полностью отказаться от ненадежных паролей при работе с веб-приложениями, обеспечивая при этом строгую и надежную аутентификацию.

Преимущества аутентификаторов Рутокен
Аутентификаторы Рутокен:

• Обеспечивают высокий уровень безопасности.

Благодаря меньшему количеству возможностей для взлома, они отличаются устойчивостью к клонированию, реверс-инжинирингу, атакам на оперативную память;

• Упрощают понимание и планирование расходов бюджета на ИБ.

Используется стандартная модель — «один пользователь — одно устройство»;

• Снижают зависимость работоспособности аутентификатора от конкретных устройств пользователей и операционных систем;
• Обеспечивают широту и простоту интеграций.

Все отечественные СЗИ в различных сценариях применения поддерживают аутентификаторы Рутокен.

Разберем сценарии, в которых прикладное ПО «из коробки» поддерживает аппаратные аутентификаторы:

• Вход в локальные и доменные учетные записи ОС

Каждый сотрудник получает свой аутентификатор Рутокен ЭЦП (USB-токен или смарт-карту) со своим сертификатом. Вместо ввода пароля от учетной записи пользователь подключает устройство к компьютеру и вводит PIN-код. При отключении USB-токена от порта или смарт-карты от считывателя, активная сессия блокируется.

• Защита удаленного доступа

Для подключения к VPN организации пользователю необходимо подключить USB-токен или смарт-карту и ввести PIN-код. Все ведущие отечественные и зарубежные производители VPN решений рекомендуют использовать аппаратные аутентификаторы для хранения ключей VPN.

• Универсальная карта сотрудника

Карта сотрудника на базе Рутокен ЭЦП объединяет в себе пропуск для входа в помещения через систему СКУД и возможность входа в информационные системы, такие как учетные записи в ОС и корпоративных сервисах.
Такой подход упрощает жизнь пользователя, так как у него одно устройство используется для разных действий. Здесь пользователю очень важно быть дисциплинированным и не терять эту карту.

• Дополнительная аутентификация через одноразовый пароль в корпоративные сервисы

Одноразовый пароль (OTP) является одним из наиболее распространенных вариантов для добавления дополнительного фактора или этапа аутентификации. Одноразовый пароль не заменяет пароль, а вводится вместе сучетными данными пользователя.
Рутокен OTP позволяет безопасно генерировать одноразовый пароль внутри устройства, исключая угрозу утечки ключа из мобильного приложения.

• Защита рабочих станций

Рутокен ЭЦП может выступать в качестве аппаратного идентификатора в самых популярных средствах защиты от несанкционированного доступа и модулях доверенной загрузки. Все производители СЗИ от НСД и МДЗ рекомендуют проводить аутентификацию с помощью аппаратного аутентификатора.

• Защита веб-приложений

Рутокен MFA обеспечивает качественную и простую в использовании аутентификацию в веб-приложения, позволяя полностью отказаться от небезопасных паролей. MFA работает непосредственно в браузерах и операционных системах и поэтому не предъявляет никаких дополнительных требований к настройке клиентского рабочего места.
Подробнее про эти сценарии можно прочитать здесь.

Сложности внедрения многофакторной аутентификации в организациях
Одна из ключевых сложностей массового внедрения многофакторной аутентификации в организациях — ограниченная поддержка средств надежной аутентификации прикладным ПО и в корпоративных сервисах (например, веб-порталы, CRM и ERP-системы, VDI и т. д.).

В результате заказчики используют аутентификаторы в весьма ограниченном количестве сервисов, а именно:

• Токены и смарт-карты используются только для ограниченного числа сервисов (например, вход в ОС и системы ДБО, только там, где есть поддержка аутентификаторов из коробки).
• USB-токен и смарт-карта не полностью используются как единое цифровое удостоверение сотрудника предприятия (то есть, пользователю, помимо своего PIN-кода, нужно помнить еще какие-то логины и пароли к ним).
• Администраторам приходится использовать разные идентификаторы для доступа к разным сервисам в зависимости от поддерживаемых технологий (если какой-то сервис поддерживает PKI-аутентификаторы, а другой OTP, то пользователю приходится носить с собой оба и помнить про них).

Решение
Проблему отсутствия нативной поддержки единого класса пользовательских идентификаторов в корпоративных сервисах позволяют решить системы класса IAM (Identity and Access Management — Управление идентификацией и контролем доступа).

IAM — это инфраструктурные системы, решающие две основных задачи:

• Управление идентификацией. Система может определить, кто запрашивает доступ к сервисам, получает доступ по VPN, входит в учетную запись операционной системы компьютера и т. д.

Система ведет свой каталог пользователей, на основе которого строятся политики разграничения доступа.

• Управление доступом. Система контролирует способы, как и когда пользователь может получить доступ к информационным ресурсам согласно политике.

Также IAM-системы позволяют решить такие задачи, как:

• Авторизация пользователя на основе определения прав доступа к ресурсам на основе ролей и атрибутов.
• Единый вход (Single Sign-On, SSO), который позволяет пользователю последовательно входить в несколько информационных систем после единой аутентификации.
• Мониторинг и аудит действий пользователей и администраторов, что позволяет оперативно управлять событиями аутентификации.
• Администрирование аппаратных аутентификаторов, в том числе привязка к пользователям, управление ключами, секретами, сертификатами, блокировка, отзыв, приостановка и другие операции.

Компоненты комплексного решения по управлению двухфакторной аутентификацией на предприятии
Все компоненты IAM можно разделить на две большие составляющие — серверные и клиентские компоненты.

К серверным компонентам относится сервер IAM-системы, который обеспечивает обработку запросов на аутентификацию, хранение данных системы и интеграцию с прикладными системами организации. К дополнительным серверным компонентам можно отнести сервис для работы мобильного приложения, центр регистрации и другие функциональные модули.

Существуют программные и аппаратные клиентские компоненты. К программным компонентам относятся:

• Агент IAM-системы

Устанавливается на компьютеры или ноутбуки сотрудников предприятия и обеспечивает взаимодействие как с IAM-системой, так и с аппаратным аутентификатором пользователя. Агент отслеживает события, просит пользователя подключить нужный аутентификатор. Это обеспечивает «прозрачный» вход в прикладные системы и обеспечивает для сервера обратную связь о событиях на клиенте.

• Мобильное приложение IAM-системы

Устанавливается на мобильное устройство пользователя и схоже по функциональности с агентом IAM-системы. Дополнительно оно может служить точкой аутентификации для десктопных приложений.

• Пользовательский аутентификатор.

Аппаратное устройство пользователя: Рутокен ЭЦП, Рутокен OTP или Рутокен MFA.

Компоненты Avanpost FAM
Система аутентификации Avanpost FAM:

• Универсальная аутентификация для всех приложений.

Обеспечивает подключение любых корпоративных систем, включая VPN и VDI.

• Быстрый ввод в эксплуатацию.

Обеспечивает онбординг пользователей в режиме самообслуживания с привязкой требуемых для работы средств аутентификации, включая Push, защищенный программный TOTP, ЭП для аутентификации на Рутокен ЭЦП.

• Гибкость аутентификации.

Обеспечивает централизованное управление адаптивной аутентификацией, предоставляя возможность гибкой настройки требуемых сценариев для любых пользователей и групп в любых подключенных приложениях.

• Прозрачность аутентификации.

Обеспечивает централизованное управление сессиями пользователей и Unified SSO в рамках всех пользовательских компонентов.

Пользовательский компонент Avanpost FAM Agent:

• Расширяет спектр средств аутентификации, которые могут быть использованы при подключении к любым приложениям, подключенным к Avanpost FAM.
• Обеспечивает прозрачное получение и передачу сессии от момента входа на АРМ до момента входа в любые приложения, подключенные к Avanpost FAM.

Пользовательский компонент Avanpost Linux/Windows Logon:

• Позволяют использовать те же методы аутентификации, которые доступны в Avanpost FAM Agent.
• Обеспечивает централизованный контроль и управление аутентификацией в различных сценариях на АРМ на основе политик, определенных администратором Avanpost FAM. При этом административная консоль Avanpost FAM позволяет назначить индивидуальный сценарий для каждого пользователя.

Пользовательский компонент Avanpost Authenticator:

• Обеспечивает усиленную аутентификацию тех пользователей, для которых использование строгой аутентификации по ЭП на Рутокен ЭЦП избыточно, а информационные системы допускают такой сценарий аутентификации.
• Обеспечивает усиленную аутентификации без зависимости от интернет-соединения или в ситуациях, когда сотрудник находится без связи, посредством технологии защищенного TOTP.
• Обеспечивает канал оперативного оповещения сотрудника о событиях, происходящих с его учетными записями.

Интеграция Avanpost FAM с прикладным ПО
Интеграция с прикладными сервисами, такими как CRM\ERP-системы, системы VDI, VPN-шлюзы и межсетевые экраны, домены обеспечивается за счет различных, трудно совместимых друг с другом, протоколов и технологий.

Качественная IAM-система решает задачу интеграции этих протоколов и технологий, обеспечивая единообразный опыт аутентификации.

Протоколы и технологии бывают стандартизованные и проприетарные.
К стандартизованным относятся:

• Open ID Connect + OAuth 2.0 (далее — OIDC)

Данная связка технологий обеспечивает наиболее современный способ аутентификации и авторизации. Она отлично подходит для реализации единого входа в различные сервисы и является рекомендуемой практикой.
Прикладное П О, поддерживающее OIDC, делегирует процесс проверки пользователя IAM-системе, выступающей в качестве idP (Identity Provider) — единой точки идентификации и аутентификации пользователей.
В настоящий момент многие популярные зарубежные сервисы и ПО (Jira, Confluence, Git, Grafana) и отечественные (1С-Bitrix, корпоративные сервисы VK/Mail.ru, Яндекса и Т-Банка) работают с OIDC.

• SAML

Предназначен для аутентификации в различных сервисах, в большей степени для веб-приложений. Он является более старым и менее гибким аналогом OIDС, однако, более распространенным среди прикладного ПО.
С SAML могут работать: продукты Atlassian, SAP, сервисы СберБизнес и 1С-Битрикс, офисный пакет Р7-Офис, семейство продуктов Citrix и другие.

• RADIUS

Распространен в сетевом оборудовании и используется для аутентификации администраторов на маршрутизаторах\коммутаторах, удаленных пользователей при подключении по VPN и ряде VDI-систем. Поддерживается в абсолютном большинстве зарубежных (Cisco AnyConnect, Checkpoint Endpoint Security, Fortinet FortiСlient) и большинстве отечественных (Usergate Client, С-Терра Клиент, КриптоПро NGate Клиент) VPN-шлюзов и межсетевых экранов.

• ADFS

Применяется для доменной аутентификации в бизнес-приложениях для Windows за счет службы ADFS (Active Directory Federation Services). Транслирует сквозную доменную аутентификацию Windows в сторонние приложения. Поддерживается в приложениях от Microsoft и их партнеров.

Какой протокол выбрать?
При интеграции с прикладными сервисами рекомендуется использовать стандартные протоколы: OIDC, SAML, ADFS. Они обеспечивают федеративное управление идентификацией и аутентификацией. Это означает, что эти протоколы штатными средствами делегируют данные процессы IAM-системе, выступающей в роли единого провайдера управления доступом, обеспечивая с ним защищенное взаимодействие.
Наиболее распространенные протоколы OIDC, SAML и Radius поддерживаются в продукте Avanpost MFA+, простой в развертывании и настройке IAM-системе, позволяющей быстро настроить многофакторную аутентификацию в основные сервисы.

Есть и другие, менее распространенные или устаревшие протоколы. К таким относятся:

• Reverse Proxy

Устаревший механизм для обеспечения единого входа (SSO) и двухфакторной аутентификации в веб-приложениях. Reverse proxy выступает в роли перехватчика штатных механизмов аутентификации корпоративных веб-сервисов и заменяет их на свои собственные. Подробнее

• Logon Provider (Windows/Linux)

Механизм интеграции, обеспечивающий вход в учетные записи различных операционных систем.
Реализуется через интерфейсы Credential Provider в Windows и PAM-модулей в Linux.
Позволяет обеспечить защиту входа в локальную и доменную учетные записи, а также вход по протоколам удаленного доступа —RDP и SSH.

• Перехват окон приложения (ESSO)

Механизм единой аутентификации, в котором агент отслеживает заголовки окон работающих в операционной системе приложений и подставляет в нужные поля аутентификационные данные. Это, наверное, самый несовершенный ненадежный метод. В том случае, когда необходимо использовать приходится использовать устаревшее программное обеспечение, он может быть единственным возможным выходом.

Таблица 1. Интеграции с различным прикладным ПО и поддерживаемыми аутентификаторами.

Сценарии использования аутентификаторов Рутокен с Avanpost FAM
Как мы писали ранее, далеко не любое программное обеспечение способно работать с аппаратными аутентификаторами «из коробки». Поэтому у службы безопасности не всегда есть возможность поддерживать одинаково высокое качество аутентификации по всем системам. Им приходится делать послабления «по техническим причинам».

Однако, внедрение IAM-систем, таких как Avanpost FAM и MFA+ позволяет забыть об этом ограничении.

Любой способ аутентификации, поддерживаемый IAM-системой, априори распространяется на любой сервис или приложение, подключенное к ней. В итоге, надежная и безопасная двухфакторная аутентификация с помощью аппаратных идентификаторов применима практически в любых сценариях.

Рассмотрим некоторые сценарии реальных заказчиков:

Кейс 1. Многофакторная аутентификация на рабочем месте для офисных и удаленных сотрудников.
Описание задачи:
Обеспечить строгую многофакторную аутентификацию пользователей при помощи аппаратного аутентификатора Рутокен ЭЦП:

• При входе в доменную учетную запись ОС Astra Linux в домене Microsoft Active Directory/Avanpost DS/ALD Pro и т. д.
• При подключении удаленных сотрудников к виртуальному рабочему столу с использованием Termidesk VDI через VPN КриптоПро NGate.
• Для удаленных пользователей нужно иметь возможность использовать резервные механизмы проверки аутентификации.

Состав решения:

• Avanpost FAM с компонентом Avanpost Mobile Services;
• Рутокен ЭЦП у каждого пользователя;
• мобильное приложение Avanpost Authenticator на смартфоне пользователя;
• развернутый центр регистрации для выпуска технологических сертификатов;

Краткое описание

В инфраструктуре Avanpost FAM настраивается на работу с существующими сервисами через различные протоколы в качестве единого провайдера аутентификации:

• Интеграция с ОС Astra Linux и ALD Pro реализуется через компонент Logon Provider.
• Интеграция с Termidesk VDI реализуется через протокол OIDC.
• Интеграция с КриптоПро NGate реализуется через протокол RADIUS.

Каждому пользователю выдается Рутокен ЭЦП с сертификатом.

Независимо от того, находится ли пользователь на рабочем месте или работает удаленно, одно устройство Рутокен ЭЦП позволяет войти во все сервисы.

В случае работы пользователя на своем АРМ-е за процесс аутентификации отвечает компонент Logon Provider, и этого достаточно для дальнейшей работы в инфраструктуре.
А в случае удаленного подключения пользователь проходит следующие дополнительные проверки:

• Для запуска VPN-соединения пользователю нужно подключить Рутокен ЭЦП и ввести PIN-код.
• Для подтверждения личности пользователю необходимо отправить Push-уведомление и ввести одноразовый пароль в VPN-клиент.
• Пользователь получает доступ к своему виртуальному рабочему столу через Avanpost FAM Agent.

Кейс 2. Усиленная аутентификация по одноразовому паролю в корпоративные сервисы.

Описание задачи:
Компания использует Рутокен OTP для доступа к своему частному облаку в Яндекс.Клауд. Положительный опыт использования Рутокен OTP поставил вопрос расширения перечня систем, использующих усиленную аутентификацию. В инфраструктуре имеются: ERP-система 1C: Предприятие, база знаний на базе Atlassian Confluence и платформа UC TrueConf.

Состав решения:

• Avanpost FAM;
• Рутокен OTP у каждого пользователя.

Краткое описание

Avanpost FAM выступает в качестве idP-провайдера во всех сервисах, где реализована поддержка федеративной аутентификации по следующим протоколам:

• Для Яндекс. Клауд настраивается аутентификация по протоколу SAML.
• Для тонкого/web-клиента 1С: Предприятие используется OIDC + oAuth, а для толстого клиентам — модуль Enterprise SSO в Avanpost FAM Agent.
• Для Confluence используется SAML или OIDC+OAuth.
• Для TrueConf используется коннектор ADFS.

Таким образом единый аутентификатор Рутокен OTP используется во всех критически важных сервисах, обеспечивая повышенный уровень защиты через усиленную аутентификацию. Кроме того, Avanpost FAM берет на себя функцию централизованного администрирования и учета аутентификаторов Рутокен OTP.

Кейс 3. Беспарольная аутентификация в веб-сервисы с функцией единого входа (SSO).

Описание задачи:
Требуется обеспечить беспарольную аутентификацию при помощи Рутокен MFA в различные корпоративные сервисы и порталы. При этом, один раз аутентифицировавшись на каком-либо портале, пользователь должен иметь возможность не предъявлять аутентификатор в другие сервисы в течение 8-ми часового рабочего дня.

Состав решения:

• Avanpost FAM;
• Рутокен MFA у каждого пользователя.

Краткое описание

Avanpost FAM позволяет использовать современные FIDO2-аутентификаторы на ресурсах с поддержкой OIDC, SAML и для Legacy веб-приложений через механизм Reverse Proxy. Таким образом, заказчик получает современную беспарольную аутентификацию на веб-порталах, которые не имеют встроенной поддержки FIDO2.

Кроме того, Avanpost FAM имеет в своем составе портал самообслуживания, который позволяет пользователю самостоятельно привязать свой аутентификатор к веб-ресурсам.

Кейс 4. Минимизация количества аутентификаций для пользователя в течение дня за счет технологии Unified SSO.

Технология Unified SSO является уникальной технологией компании Avanpost на российском рынке. Она позволяет:

• Превратить пользовательский аутентификатор Рутокен в единое цифровое удостоверение пользователя в корпоративные сервисы.
• Существенно упростить опыт пользователя по работе с многофакторной аутентификацией в сервисы за счет снижения количества аутентификаций в течение рабочего дня.
• Упростить администрирование пользовательскими аутентификаторами за счет централизованной консоли управления.

Использование Unified SSO позволяет решить проблему, связанную с необходимостью заново аутентифицироваться в каждый новый корпоративный сервис. Администратор системы позволяет определить, в какие сервисы пользователь получает сквозную аутентификацию, а в какие чувствительные системы ему необходимо дополнительно пройти раунд аутентификации.
Кроме того, агент Avanpost FAM позволяет централизованно завершать пользовательские сессии в различные сервисы.

Совместное применение технологии Unified SSO в Avanpost FAM и аутентификаторов Рутокен существенно улучшает опыт использования многофакторной аутентификации рядовыми сотрудниками, делая ее более простой, чем использование небезопасных паролей.

Рассматривая первый кейс из данной статьи по гибридному формату работы получаем следующий сценарий