close

Вход

Забыли?

вход по аккаунту

Совет Черлакского муниципального района;pdf

код для вставкиСкачать
Безопасность, электронная подпись
и аутентификация пользователей в
корпоративных информационных
системах
Горелов Дмитрий
Коммерческий Директор, Управляющий партнер
Афанасьев Алексей
Product manager
Корпоративный пользователь 2FA
Ключевые требования заказчика
Сокращение расходов. Большинство респондентов считают стоимость
останавливающим фактором для внедрения 2FA. Важно учитывать, что стоимость
складывается из цены устройства, системы менеджмента, аудита и т.п.
Максимальная гибкость. Выбирая средства аутентификации, важно учитывать
современные тренды, такие как: облачные сервисы, BYOD, работа с различных
платформ и др.
Эффективная поддержка мобильности. Большинство компаний сегодня
используют или планируют использовать мобильные устройства. Поэтому важно,
чтобы устройства и методы аутентификации были доступны на мобильных
платформах.
Уверенность в масштабируемости. Компании планируют рост и внедрение новых
решений, платформ, устройств. Все это требует от системы аутентификации
возможности соответствовать этим новым требованиям.
Основные методы аутентификации
в корпоративной среде
Пароль
– Троянский конь и словарные атаки
– Угадывание пароля и социальные техники
– Атака на «Золотой пароль»
Биометрия
– Перехват биометрических показателей и
воспроизведение биометрической подписи
– Вмешательство в частную жизнь
– Требуется разворачивать инфраструктуру и дополнительные устройства
Одноразовый пароль
– Имеет ограниченное время действия и может быть использован только один раз
– Требуется разворачивать инфраструктуру и дополнительные устройства
– Трудность обеспечения конфиденциальности данных и построения систем ЭЦП,
невозможна проверка подлинности сервера
Инфраструктура открытых ключей
Процедуры аутентификации
с использованием инфраструктуры открытых ключей
Данный способ аутентификации сегодня является наиболее функциональным
и защищённым, особенно по сравнению с простым паролем
Использование инфраструктуры открытых ключей как правило уже встроено
в приложение или функции ОС
Интеграция Корпоративных порталов с MS AD и настройка сквозной
аутентификации позволяет использовать уже готовую инфраструктуру
открытых ключей для аутентификации в корпоративной сети
Вывод: Большинство атак при корректной реализации становятся не
возможными
НО остаются вопросы:
Где хранить закрытый ключ?
– Незащищенные носители или Смарт-карта, USB-ключ
Аутентификация в унаследованных (не PKI) приложениях
RSA и национальные стандарты
Использование с мобильными устройствами и BYOD
Где хранить закрытый ключ?
Токен, смарт-карта, USB-ключ…
Смарт-карта обеспечивает безопасность закрытых ключей
пользователя на всех этапах жизненного цикла:
– Генерация
– Хранение
– Использование
– Уничтожение
Аппаратное выполнение всех криптографических
операций в доверенной среде
Аппаратная реализация электронной подписи
Поддержка алгоритмов RSA и ГОСТ
Сертифицированные решения
Возможность использования в составе
сертифицированных комплексных решений
Токен, смарт-карта, USB-ключ…
Вопросы остаются?
Стоимость внедрения и самой системы включая поддержку и обслуживание
Согласно проведенному компанией SafeNet в 2013* году опросу, для
перехода всех сотрудников в компании к многофакторной
аутентификации, основными проблемами являются:
63% - стоимость;
38.1% - необходимое время для внедрения;
34% - общая стоимость владения.
По оценкам Gartner** более 60% крупного бизнеса и 15% SMB используют
методы аутентификации отличные от простого пароля для удаленного
доступа к корпоративным ресурсам
Процент респондентов*, которые имеют 90-100% сотрудников
использующих многофакторную аутентификацию, как ожидается,
удвоится в течение ближайших двух лет
* - SafeNet, Multi-factor Authentication Current Usage and Trends
** - Gartner, Magic Quadrant for User Authentication
Токен, смарт-карта, USB-ключ…
…с мобильными устройствами и BYOD
Использование с мобильными устройствами и BYOD(Bring-your-own-device)
Можем ли мы построить доверенную среду в любом месте?
Использование комбинированных устройств подключаемых по USB и
Bluetooth
Корпоративный пользователь 2FA
Портрет: используемые приложения
Согласно опросу SafeNet* только 42% респондентов не используют 2FA,
40% - используют от 1 до 3 приложений, в дополнении к защищенному VPN
доступу
* - SafeNet, Multi-factor Authentication Current Usage and Trends
Корпоративный пользователь 2FA
Портрет: типы приложений (продолжение)
Корпоративные пользователи используют 2FA преимущественно для
удаленного доступа
Согласно опросу SafeNet* распределение по типам приложений:
Приложения связанные с аутентификацией или управлением доступом
(12%)
Приложения Citrix (Citrix Web Interface, Citrix Web Access, Citrix Access
Gateway) (11.5%)
Приложения ДБО и финансовые приложения (11.1%)
Web почта (9,8%)
Бизнес приложения, включая CRM, ERP (7%)
* - SafeNet, Multi-factor Authentication Current Usage and Trends
Что-то еще нужно кроме средств 2FA?
Что происходит в организации,
когда управление средствами
аутентификации осуществляется
децентрализовано, т.е. доступ к
каждому приложению и ресурсу
настраивается сотрудниками ИТотдела вручную?
Путь сотрудника в организации, когда доступ к каждому
ресурсу настраивается ИТ-менеджерами вручную?
Отсутствие системы управления сдерживает
внедрение средств 2FA в корпоративной среде
Чем больше токенов, тем сложнее ими управлять вручную.
Необходимость вести учёт становится остро:
 какой токен был выдан и кому;
 какие функции можно выполнять с помощью этого токена (доступ на базе
двухфакторной аутентификации, электронная подпись, доступ к облачным
сервисам, Web-порталам);
 какие сертификаты, ключи на него были выпущены;
 когда подходит к концу срок действия сертификата на этом токене.
Проблема управления – необходимость обеспечения и поддержания связей
между элементами:
 средства аутентификации и ЭП на предприятии - смарт-карты, USB-ключи;
 системы и сервисы, для доступа к которым эти средства используются;
 политики организации, определяющие порядок доступа к ресурсам предприятия;
 сотрудники компании, её партнёры и клиенты, которые используют данные
средства аутентификации
Жизненный цикл устройства в системе
Выбор решения по управлению доступом
Три наиболее распространённых варианта решения:
 ручное управление;
 управление с помощью IDM-решения;
 управление с помощью системы управления ЖЦ токенов и смарт-карт
на предприятии.
Ручное
управление
Системы управления ЖЦ
ключевых носителей
IDM-решения
Выбор решения по управлению доступом
Системы управления ЖЦ
ключевых носителей
Ручное
управление
IDM-решения
Функциональные требования к системе управления
средств 2FA в корпоративной среде
Система управления 2FA - связующее звено между:
пользователями;
политикой безопасности (организационными правилами);
средствами аутентификации;
приложениями ИБ.
Система управления 2FA решает основные задачи:
Выпуск токена
Персонализация токена сотрудником
Обслуживание карты
Добавление возможности доступа к
новым приложениям
Отзыв предоставленного ранее доступа
Замена / временная выдача нового токена
Разблокирование PIN-кода
Выход токена из строя // отзыв токена
Требования к системе управления средств 2FA:
поддерживаемые типы устройств
Возможность поддержка различных ключевых носителей
Оперативное добавление поддержки новый устройств
Поддержка номеров учета СЗИ/СКЗИ
Требования к системе управления средств 2FA:
российская специфика
Сертификация (ФСБ / ФСТЭК России)
Поддержка отечественных криптоповайдеров и удостоверяющих центров
 КриптоПро УЦ 1.5 / 2.0
Учет СКЗИ согласно 152 приказу ФАПСИ
Поддержка СЗИ (Dallas Lock, Соболь, Верба и т.п., где есть поддержка
идентификаторов)
 Токены часто используются в качестве носителей ключей и идентификаторов в
системах, где применяются другие СКЗИ и СЗИ от НСД. Для них также актуален
учет носителей и СКЗИ.
Критерии сравнения и выбора системы управления
средств 2FA
Работа с каталогом пользователей AD/SQL/LDAP
Интеграция с УЦ Крипто-Про v1.5/v2
Поддержка учета номеров СЗИ/СКЗИ
Сертификация (ФСБ / ФСТЭК России)
Поддержка смарт карт и токенов различных производителей
Поддержка смарт-карт принтеров
Работа с SMS(подтверждение/запрос)
Поддержка OTP/биометрия
Пакетная регистрация/инициализация
Открытость системы, SDK
Миграция из существующий систем TMS/SAM
Лицензирование
Лицензия на пользователя, сервер, коннекторы
Доступность для покупки
Что мы предлагаем: Рутокен KeyBox
Средство администрирования и управления жизненным циклом
ключевых носителей
Архитектура Рутокен KeyBox
Поддерживаемые ЦС и УЦ
Поддерживаемые центры сертификации:
 Microsoft Enterprise CA 2003/2008/2012
 КриптоПро УЦ 1.5
Поддержка отечественных криптоповайдеров и удостоверяющих центров
Поддерживаемые типы токенов
Поддержка различных ключевых носителей:
 Рутокен S,
 Рутокен ЭЦП,
 Рутокен Lite,
 KAZTOKEN,
 ePass, eToken, Avest.
Возможно оперативное добавление поддержки других устройств.
Лицензирование
Лицензия по количеству пользователей
Лицензия не ограничена по сроку
Серверная лицензия отсутствует
Лицензия предусматривает получение бесплатной поддержки в первый год
Техническая поддержка включает следующие базовые элементы:
 внедрение и масштабирование Рутокен KeyBox на согласованном количестве
рабочих мест,
 поставка и обновление до последней версии всех приобретенных компонентов
Рутокен KeyBox на всем сроке действия договора обслуживания,
 оперативная техническая поддержка для администраторов систем.
Консоль администратора
Management Console - консоль администратора, позволяющая конфигурировать
систему, работать с устройствами аутентификации пользователей, просматривать
журнал операций системы.
Доступ к WEB-приложению осуществляется по URL:
https://[адрес сервера Рутокен KeyBox]/keybox/
Работа с приложением доступна для групп:
 Rutoken KeyBox Admins
 Rutoken KeyBox HelpDesk Operators
KeyBox: устройства
Раздел «Устройства»
предназначен
для получения
информации
о токенах,
зарегистрированных
в системе
KeyBox: карточка пользователя
Для каждого
пользователя системы
формируется карточка
пользователя
KeyBox: группа Настройки PKI
Группа «Настройки
PKI» отвечает
за работу системы
с центрами
сертификации,
использование
сертификатов
и их шаблонов
Личный кабинет пользователя
Для управления персональными устройствами аутентификации пользователей
в системе Рутокен KeyBox реализован личный кабинет пользователя - Self Service
Личный кабинет представляет собой Web-приложение
Для доступа к Личному кабинету необходимо использовать браузер
Internet Explorer 8 и выше
Для доступа необходимо ввести:
https://<адрес сервера Рутокен KeyBox>/keyboxservice/
Личный кабинет пользователя: функции
Личный кабинет пользователя используется для решения задач:
 Выпуск устройства
 Выключение устройства
 Включение устройства
 Отзыв устройства
 Изменение/сброс PIN-кода устройства
 Обновление содержимого устройства
 Установка секретных вопросов
 Изменение ответов на секретные вопросы.
Личный кабинет пользователя
В Self Service
содержится:
 Информация
о пользователе: логин
пользователя, e-mail,
номер телефона.
 Информация
об устройствах
пользователя.
 Информация
о возможных
операциях
с устройствами.
Личный кабинет пользователя:
обновление сертификатов
В случае, если срок действия сертификата истек, в личном кабинете будет
отображено сообщение и при определенных настройках их можно обновить.
Удаленный личный кабинет: функции
Приложение Remote Self Service предназначено для выполнения ограниченного
набора операций с устройством с любого компьютера, подключенного к сети
Интернет (за пределами корпоративного домена, из любой локации,
из командировки, дома и т.п.)
В приложении доступны следующие функции:
 Выключение устройства
 Включение устройства
 Отзыв устройства
 Разблокировка устройства
Операции выключения/включения устройства и отзыва производятся
так же как и в личном кабинете пользователя
Доступ к приложению осуществляется по адресу:
https://<адрес сервера Рутокен KeyBox>/keyboxremote/
Удаленный личный кабинет: подключение
Для использовании Remote Self Service от пользователя потребуется ввести
логин и символы с изображения
После ввода логина необходимо пройти аутентификацию по секретным вопросам
В случае верных ответов доступ к Remote Self Service будет предоставлен
Демонстрационный показ
Часть 1
Удаленный доступ пользователя
к рабочему столу (VPN / RDP)
Возможность использования
сертифицированных комплексных
решений ( на примере КриптоАРМ)
Рутокен KeyBox,
кабинет администратора
Рутокен KeyBox,
кабинет пользователя
Преимущества продукта
Для компании в целом
 Высокий уровень безопасности 2FA при низких расходах,
 Возможность интеграции с СКУД
 Гибкость при встраивании, готовность использования в мобильных
платформах, хорошая интеграция с существующими приложениями
 Простота управления и контроля за устройствами, низкие затраты на
техническую поддержку
 Возможность кастомизаций
(ключи - внешний вид, Keybox – отчеты, дополнительный функционал)
 Соответствие требованиям регулятора, при необходимости, можно
использовать для квалифицированной ЭП
Для корпоративного пользователя
 Высокий уровень безопасности 2FA, при необходимости можно
использовать для квалифицированной ЭП
 Простота и удобство использования, готовность к работе с BYOD
Рутокен + KeyBox:
уникальность предлагаемого решения
Компания получает экосистему
(набор продуктов и решений), которая:
легко интегрируется с существующими приложениями и позволяет
перейти к 2FA (значительно повышает уровень корпоративной
защиты)
имеет систему менеджмента (учета, аудита)
токены сертифицированы и могут использоваться в решениях с
квалифицированной ЭП
полностью готова к использованию с мобильными устройствами и
платформами
возможность интеграции с СКУД
Вопросы
Хотите попробовать?
Для ознакомления
может быть предоставлена
полнофункциональная
демо-версия решения
Рутокен KeyBox
Для получения
демо-версии решения
Рутокен KeyBox отправьте
запрос на [email protected]
Спасибо за внимание
Контактная информация
Электронная почта:
Общие вопросы – [email protected]
Тех.поддержка – [email protected]
Отдел продаж – [email protected]
Сайты:
www.rutoken.ru
www.aktiv-company.ru
Телефон:
(495) 925-77-90
1/--страниц
Пожаловаться на содержимое документа