28 июня состоялось онлайн-мероприятие «Разговоры об импортозамещении: продукты и решения Аладдин Р.Д.». В нем приняли участие эксперты компании «РТК‑Солар» и представители российского разработчика и поставщика решений для информационной безопасности «Аладдин Р.Д.». Модерировал мероприятие Михаил Топкасов, руководитель направления комплексной безопасности «Solar Интеграция» компании «РТК‑Солар». В формате круглого стола участники поделились экспертизой по организации двухфакторной аутентификации и обсудили перспективы импортозамещения продуктов, предназначенных для подобных задач. Если вы пропустили мероприятие, запись можно посмотреть в официальном канале «РТК-Солар» на Rutube, а в этой статье мы собрали основные тезисы, которые обсуждали участники дискуссии.
Что важно учесть при организации двухфакторной аутентификации
Двухфакторная аутентификация предназначена для защиты паролей, используемых для доступа к информационным системам, от компрометации и помогает повысить степень безопасности любой системы. Наиболее часто решения такого класса используют для защиты паролей от учетных записей корпоративных порталов, электронной почты, сервисов удаленного доступа и любых других ресурсов, доступ к которым обеспечивается с применением цифровых сертификатов, рассказал Максим Добровольский, руководитель отдела проектирования «Solar Интеграция» компании «РТК‑Солар».
Решить такие задачи на практике позволяют продукты «Аладдин Р. Д.», отметил Василий Огнев, руководитель направления по развитию бизнеса программных продуктов компании «Аладдин Р.Д.». Сервер аутентификации JaCarta Authentication Server (JAS) служит удобным инструментом для внедрения второго фактора аутентификации в системы корпоративного уровня, а платформа JaCarta Management System (JMS) помогает управлять жизненным циклом аппаратных и программных средств аутентификации и электронной подписи. Эксперт добавил, что эти продукты поддерживают большое количество различных типов аутентификаторов, среди которых OTP, PUSH, SMS, а также ОТР- и U2F-токены.
В первую очередь внедрять двухфакторную аутентификацию эксперты рекомендуют для повышения уровня безопасности удаленного доступа к ресурсам компании. Во вторую очередь их следует встраивать в другие корпоративные ресурсы, где хранится и используется критическая для компании информация. Самое главное при этом — не переусердствовать и грамотно выдержать баланс, считает Василий Огнев. По его мнению, второй фактор аутентификации прежде всего следует рассматривать как инструмент периметровой защиты.
Перед запуском проекта по внедрению решения в инфраструктуру важно оценить готовность команды. Для реализации проекта можно подключить интегратора: это избавит от необходимости искать специалистов, обладающих компетенциями по продукту. Однако и в этом случае для проведения интеграционных работ понадобится привлечь сотрудников, отвечающих за эксплуатацию каждой из систем, в которые планируется встроить второй фактор аутентификации. Заранее необходимо убедиться в совместимости внедряемого продукта с программным обеспечением, которое уже используется в организации. Кроме этого, важно продумать поэтапный переход пользователей на новый способ аутентификации и предусмотреть необходимость технической поддержки на время переходного периода. Такие рекомендации по подготовке к интеграционному проекту в ходе дискуссии озвучил Максим Добровольский.
Одним из главных условий успешного проекта эксперт назвал защиту каналов доставки одноразовых паролей или кодов, выступающих дополнительным фактором аутентификации, до конечных пользователей. Её некорректная реализация может свести на нет всю пользу от решения и поставить под угрозу информационную безопасность организации. Например, при передаче одноразовых паролей по незащищенным протоколам их рано или поздно могут перехватить злоумышленники и воспользоваться ими для проникновения в инфраструктуру компании. Компрометацией ключей дополнительной аутентификации может обернуться и применение повышенного режима логирования: они могут стать доступны операторам SIEM-системы в случае, если в неё поступают абсолютно все события.
Пример из практики: пилотный проект на JMS и JAS
Участники дискуссии отметили, что за последнее время у российских компаний кратно возросла потребность в переходе на отечественные системы аутентификации. В качестве примера эксперты разобрали проект, выполненный специалистами «Solar Интеграция» на базе продуктов JMS и JAS. Это был достаточно масштабный проект для информационной системы на 20 тысяч пользователей, направленный на усиление механизмов безопасности удалённого доступа. В ходе проекта специалисты провели кластеризацию БД, развернули систему управления JMS и сервер аутентификации JAS. В качестве основного типа двухфакторной аутентификации были выбраны одноразовые OTP-пароли через отправку SMS-сообщений. По словам Максима Добровольского, кейс интересен тем, что в ходе проведённых испытаний проектной команде удалось протестировать отказоустойчивость системы и проверить необходимую производительность под реальной нагрузкой.
Рассказывая о проекте, эксперт отметил активное участие в его реализации в том числе и специалистов разработчика. Команда «Аладдин Р.Д.» в короткие сроки обеспечила дополнительную функциональность для работы с используемым шлюзом, а также выполнила ряд других доработок, которые в целом отразились на итоговой скорости и надёжности работы системы. Кроме того, специалисты производителя оказывали инженерам «Solar Интеграция» всю необходимую консультационную поддержку.
Чем заменить привычные решения для аутентификации
Еще одной темой для обсуждения стали планы вендора по развитию продуктовой линейки с учетом резко возросшего спроса на отечественные решения по кибербезопасности. Сергей Шалимов, руководитель департамента по работе с технологическими партнёрами компании «Аладдин Р.Д.», представил концепцию формирования «щита безопасности» для систем на базе Linux. У «Аладдин Р.Д.» есть линейка продуктов SecurLogon для осуществления простого перехода на двухфакторную аутентификацию без PKI и Active Directory. SecurLogon разработан для обеих распространённых платформ – Windows и Linux. Это позволяет эффективно проводить процесс миграции, обеспечивая двухфакторную аутентификацию в гетерогенной инфраструктуре.
Также было представлено новое решение — отечественный центр сертификации доступа Aladdin Enterprise CA (Aladdin eCA) для применения в PKI для обеспечения автоматизации строгой аутентификации в информационных системах, в том числе государственных. Он разработан на базе отечественных операционных систем семейства Linux и сертифицирован ФСТЭК России по УД‑2 и УД‑4.
Кроме того, спикеры обсудили методики обеспечения безопасности информационных систем при миграции с одной платформы на другую. Было отмечено, что в настоящий момент продукты «Аладдин Р.Д.» поддерживают до 90-95% функциональности иностранных систем. В завершение встречи эксперты разобрали порядка 20 вопросов от слушателей.