Построения двухфакторной аутентификации в корпоративной среде – ответственная задача. На что следует обратить внимание, чтобы реализовать адекватное потребностям рынка решение?

Введение

В «Системном Администраторе» а также в других изданиях, посвященных ИТ технологиям и вопросам информационной безопасности, неоднократно упоминалось о принципиальной ненадежности парольной аутентификации, а также крайней нежелательности использования запоминаемых паролей. Это особенно актуально в эпоху облачной эры, на пороге которой мы находимся. Вероятность компрометации конфиденциальной информации будет только возрастать. Разумным решением будет переход к более надежным методам доступа, а именно к двухфакторной аутентификации, причем вариантов технологических решений, как мы имели возможность убедиться в предыдущих материалах, множество. Здесь мы говорим и о технологиях асимметричной криптографии, о биометрическом доступе, использовании одноразовых паролей и т. д. На что же следует обратить внимания при выборе варианта двухфакторной аутентификации при том многообразии вендоров, которые существуют сегодня на рынке ИБ? Разумеется, я не буду рекомендовать конкретного поставщика решений.
Целью этой статьи является сделать обзор необходимых для корпоративного заказчика набора технологий, базируясь на которых можно выбрать конкретное решение для реализации в рамках службы каталога Active Directory. Рассмотрим аутентификацию на основе смарт карт и USB ключей.

Современный подход к работе…

Требования к технологиям для потребителей и бизнеса меняется коренным образом. Каждому человеку хочется иметь несколько устройств для работы и жизни, и у каждого свои предпочтения.
В современных условиях нам часто приходится перемещаться и место работы не должно оказывать влияние на ее эффективность. Наличие возможности работы из любой точки мира, где, есть доступ к сети Интернет, воспринимается как само собой разумеющееся. Не трудно заметить, что основной потребностью пользователей становиться возможность мобильной и безопасной работы, независимо от месторасположения и используемого клиентского устройства. И неважно, что это будет: персональный компьютер на базе ОС Windows или MAC OS, планшет или смартфон. Все это представляет существенные сложности для ИТ служб. Как обеспечить безопасный доступ со всех этих устройств? Разумеется, самым простым способом будет использование обычных паролей, однако это приводит к слишком серьезным рискам с точки зрения информационной безопасности. Парольная аутентификация потенциально уязвима ввиду использования социотехники, внедрения клавиатурных шпионов, возможности перехвата и других подобных методик взлома. Вероятность возникновения подобных событий чрезвычайно высока, особенно в свете консьюмеризации, потребности сотрудников использовать разные типы устройств для доступа к корпоративной сети. Следовательно, этот вариант в зрелых компаниях не рассматривается, и речь может идти только о двухфакторной аутентификации.
Выбирая поставщика оборудования стоит быть особенно внимательным к некоторым важным деталям.
Очевидно, что наиболее «правильным» с точки зрения ИБ будет применение асимметричной криптографии, что собственно говоря, реализовано у любого поставщика. Связка смарт карт, технологии Kerberos PKINIT, доступной нам еще с Windows Server 2000 и инфраструктуры открытых ключей, например Microsoft PKI предоставляет нам, на первый взгляд весь необходимый для реализации безопасной аутентификации функционал. Однако физическое подключение смарт карты или USB ключа не всегда возможно, например, мы используем планшет или смартфон. Тогда реализация безопасной аутентификации посредством асимметричной криптографии становится проблематичной. Конечно, мы можем установить цифровой сертификат открытого ключа непосредственно на устройство, однако такой вариант не является достаточно надежным в связи с понятными рисками. Следовательно, для такой ситуации имеет смысл рассмотреть технологию одноразовых паролей, которая была рассмотрена в статьях см. [1] [2]. При этом весьма желательно обладать возможностью использования не только аппаратного устройства (OTP токена), но и временного использования программного OTP, например, в ситуации утери или кражи. Некоторые производители предлагают комбинированное устройство, сочетающее в себе как функционал смарт карты, так и OTP. Возможность сочетания разных типов аутентификации оказывается довольно удобной, когда мы предполагаем, что доступ может осуществляться как со стационарного или мобильного компьютера, так и с планшета или смартфона. Следует иметь ввиду, что реализация доступа по смарт картам и USB-ключам – встроенная возможность, реализуемая Active Directory и Microsoft PKI, тогда как внедрение OTP может потребовать дополнительных программных модулей.
Итак, выбирая средство для двухфакторной аутентификации (смарт карту, токен и т.д.) стоит обратить внимание на то с какими устройствами будет работать пользователь. Наличие в номенклатуре средств аутентификации комбинированных устройств – немаловажный фактор, который имеет смысл учитывать.

Что требуется администратору безопасности?

Внедрение смарт карт и USB ключей нередко тормозится проблемами, связанными с управляемостью решения. Если вопросы традиционного управления учетными записями пользователей легко решаются встроенными средствами службы каталога, то для аппаратных устройств все оказывается не так просто. В составе MS PKI у нас есть все необходимые средства управления жизненным циклом сертификатов, однако это не может быть потенциальной заменой комплексов управления жизненным циклом устройств хотя бы потому, что не решаются вопросы, связанные с управлением OTP устройствами.
Какие же задачи приходится решать администратору безопасности или другому ответственному сотруднику:

1. При вводе ключей в эксплуатацию необходимо для каждого токена задать пароль администратора, PIN-код пользователя и загрузить в его память все требуемые данные (ключи, сертификаты и т.п.). Кроме того, нужно внести изменения в базу данных пользователей, поставив в соответствие каждому определенное устройство или устройства.
2. В процессе использования токена сотрудниками администратору безопасности придется многократно менять уровни доступа, разрешая или запрещая им те или иные действия.
3. В ситуации кражи или утери токена необходимо иметь возможность его немедленной блокировки с тем, чтобы не позволить злоумышленнику им воспользоваться.
4. В случае рассинхронизации OTP, необходимо иметь возможность исправить ситуацию.
5. Если пользователь забыл свои ПИН код, требуется обеспечить возможность, на основе технологий запрос-ответ, его смены.
6. Если пользователю требуется срочный доступ, а аппаратный токен выдать невозможно, то потребуется сформировать токен программный.

Здесь приведен далеко не полный список задач, которые могут появиться, однако даже этой малой части вполне достаточно, чтобы понять, что работы предстоит немало.
На первый взгляд, может показаться, что все эти задачи могут быть решены в рамках AD и специальный инструментарий не потребуется. Тем не менее, это не так. Если мы говорим о компании среднего размера или крупной, то возникает существенный рост нагрузки на ИБ или ИТ службу, поскольку, ответственному лицу придется «вручную» корректировать записи в Active Directory, системе VPN, правилах доступа к внутреннему порталу, в базе данных каталога каждого отдельного приложения (если таковые имеются), отзывать все выданные сотруднику сертификаты, убирать полномочия по расшифровыванию данных и подписи документов и т. д. Этот список можно продолжать еще долго. Очевидно, что внесение необходимых изменений требует времени и существенного внимания. Стоит только администратору ИБ забыть о каком-то элементе информационной системы и не отключить к ней доступ, как появляется уязвимость, которой может воспользоваться злоумышленник. Следовательно, необходимо внедрение комплекса автоматизации процесса управления жизненным циклом средств аутентификации. Наличие у подобной системы у поставщика средств аутентификации крайне важно и позволит избежать множества проблем.
Что важно для компании?
Еще одним чрезвычайно важным аспектом при выборе поставщика решения – наличие в его оборудовании поддержки российской криптографии. Для большинства компаний, работающих на территории РФ необходимо соблюдать требования регуляторов, с точки зрения использования криптоалгоритмов. Таким образом, мы получаем третий критерий для выбора поставщика.

Итак подведем итоги… При выборе поставщика средств двухфакторной аутентификации следует рассматривать те компании, которые предлагают широкую линейку устройств, позволяющих работать с разным клиентским оборудованием, тесно интегрированы с современными службами каталогов, поддерживают асимметричную криптографию, работают с российскими криптоалгоритмами, и, наконец, предлагают систему управления жизненным циклом всего спектра поставляемых смарт карт и токенов.

Литература

[1] Леонид Шапиро «Аутентификация и одноразовые пароли. Теоретические основы. Часть 1» (Системный Администратор № 9 2012 г.).
[2] Леонид Шапиро «Аутентификация и одноразовые пароли. Часть 2. Внедрение OTP для аутентификации в AD» (Системный Администратор № 9 2012 г.).
[3] Аутентификация, теория и практика обеспечения безопасного доступа к информационным ресурсам. – М., 2009, ISBN 978-5-9912-0110-0.