Soc

Обзор рынка российских инструментов многофакторной аутентификации

Обзор рынка российских инструментов многофакторной аутентификации Обзор рынка российских инструментов многофакторной аутентификации Обзор рынка российских инструментов многофакторной аутентификации
23.08.2022

Многофакторная аутентификация продолжает свой путь от дополнительной меры к статусу обязательного компонента корпоративной системы безопасности. От взлома или подбора пароля сотрудника, который недостаточно внимательно подошел к защите своего аккаунта, не спасут другие инструменты. Чем больше случаев такого доступа к корпоративным системам получают огласку, тем выше интерес компаний к инструментам многофакторной аутентификации.

На мировом рынке представлено множество инструментов этого класса: от крупнейших игроков с мировым именем до малоизвестных решений. Свои решения есть у Thales, Symantec, RSA, Fujitsu, Suprema, Google и других разработчиков. Обзор отечественных инструментов многофакторной аутентификации подготовлен компанией «МУЛЬТИФАКТОР» специально для Cyber Media.

Как работает многофакторная аутентификация

Чтобы лучше понять, как работает многофакторная аутентификация, необходимо вспомнить, в чем заключается стандартная однофакторная. Для входа на требуемый ресурс, пользователю необходимо указать имя (логин) и пароль, заданные при регистрации. Такая схема не лишена целого ряда рисков:

  • Пароль можно подобрать. Сотрудники нередко облегчают злоумышленникам задачу, используя одну комбинацию букв и цифр для нескольких ресурсов, имена и даты рождения детей и других родственников;
  • Аккаунт можно «угнать» через восстановление пароля. Такой способ возможен только в случае, если злоумышленник уже имеет авторизационные данные почты «жертвы». После смены пароля владелец теряет к нему доступ;
  • Пароль может быть случайно раскрыт. Для этого сотруднику достаточно хранить список с данными для входа на несколько разных ресурсов в ненадежном месте, или не защитить от случайных взглядов файл с паролями на компьютере.

Свести к минимуму риски, связанные с раскрытием пароля и попыткой входа на корпоративные ресурсы третьих лиц призвана система многофакторной аутентификации. Чтобы убедиться, что в аккаунт действительно входит сотрудник компании, а не злоумышленник крадет данные учетной записи, используется второй фактор. В качестве таковых могут выступать одноразовые пароли, запрос подтверждения через мобильное приложение или звонок на смартфон. В результате риск компрометации учетной записи если не сводятся к нулю, то точно сокращается в разы.

Где можно применять

Решения многофакторной аутентификации применяются при защите:

  • корпоративных сайтов;
  • почтовых программ;
  • сервисов операционных систем;
  • облачных сервисов;
  • виртуальных рабочих столов;
  • VPN-сервисов;
  • корпоративных приложений.

Таким образом с помощью одного инструмента компания полностью закрывает потребность в защите учетных записей сотрудников где бы то ни было. Такая универсальность является важным преимуществом решений многофакторной аутентификации.

436457658.jpg

Российский рынок инструментов многофакторной аутентификации

В настоящий момент отечественный рынок переживает настоящий бум развития инструментов многофакторной аутентификации. Несмотря на кажущуюся простоту, имеющиеся решения сильно различаются по функционалу, удобству и стоимости использования, поэтому требуют от ИБ-специалиста и собственника компании вдумчивого изучения и взвешенного выбора.

Мы проанализировали четыре инструмента многофакторной аутентификации:

  • Multifactor;
  • Indeed Access Manager (AM);
  • Аладдин Р.Д. JaCarta Authentication Server (JAS);
  • Avanpost FAM и Web SSO.

Все четыре решения входят в единый реестр российских программ для ЭВМ, то есть являются полностью отечественными разработками.

Multifactor

Multifactor – решение, созданное компанией «МУЛЬТИФАКТОР» для любого удаленного подключения: RDP, VPN, SSH и др и контроля доступа. Работает по принципу Zero Trust: не получает доступ и не хранит пароли пользователей на своей стороне. Таким образом решение снижает существующие риски, не создавая новых.

Инструмент отличает большое разнообразие возможностей для аутентификации. Пользователю доступно подтверждение через:

  • мобильное приложение Multifactor; 
  • мессенджер Telegram; 
  • биометрические данные; 
  • одноразовые пароли посредством OTP-токенов; 
  • SMS-сообщения; 
  • звонки на смартфон; 
  • приложение, генерирующее одноразовые коды по TOTP или HOTP алгоритмам.

Инструмент звонит и отправляет SMS через собственный шлюз, а также есть возможность отправлять через шлюзы заказчика. Важным преимуществом является возможность выбора способа аутентификации самим пользователем. Сначала администратор выбирает предпочтительные способы для компании, а затем каждый сотрудник регулирует настройки по своему вкусу. Для новичков в инструменте предусмотрена простая и быстрая регистрация в системе.

Multifactor не требует затрат на внедрение и инфраструктуру – CAPEX 0, а интеграция решения занимает от двух часов. Высокая доступность сервиса – аптайм 99,98%.

Решение может работать по одной из двух моделей развертывания на выбор: SaaS или Hybrid. Сервер аутентификации находится в Москве. Он оснащен резервным источником питания и имеет многоуровневый контроль доступа. Оператором инфраструктуры решения является «Ростелеком», а платформы — сама компания «МУЛЬТИФАКТОР». В сложившейся геополитической ситуации это обеспечивает уверенность в работоспособности решения независимо от внешних обстоятельств.

Решение подходит для установки как на устройства под управлением ОС Linux, так и ОС Windows. У Multifactor есть собственный RADIUS-агент (RADIUS Adapter), который может выступать как самостоятельный RADIUS-сервер и как прокси к другому RADIUS-серверу, например, Microsoft Network Policy Server (NPS).

Важной отличительной особенностью решения является собственная разработка MultiFactor Ldap Adapter, которой нет на рынке ни у одного производителя системы многофакторной аутентификации.

MultiFactor Ldap Adapter - LDAP proxy-сервер, разработанный и поддерживаемый компанией «МУЛЬТИФАКТОР» для двухфакторной аутентификации пользователей в приложениях, использующих LDAP аутентификацию. MultiFactor Ldap Adapter доступен вместе с исходным кодом, распространяется бесплатно для Windows и для Linux.

Основными функциями MultiFactor Ldap Adapter являются:

  • проксирование сетевого трафика по протоколу LDAP;
  • поиск запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя.

Основные возможности MultiFactor Ldap Adapter:

  • работа по протоколам LDAP и LDAPS (шифрованный TLS канал);
  • перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM;
  • пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора;
  • настройка доступа на основе принадлежности пользователя к группе в Active Directory;
  • избирательное включение второго фактора на основе принадлежности пользователя к группе в Active Directory;
  • запись журналов в Syslog сервер или SIEM систему.

К ключевым преимуществам решения Multifactor также относится компонент RADIUS Adapter - Inline enrollment - настройка второго фактора в режиме диалога с пользователем, который позволяет значительно ускорить и упростить проект по внедрению 2FA в организации.

Технология позволяет максимально быстро и без трудозатрат защищать подключения к Cisco, FortiGate, CheckPoint, С-Терра, VMware Horizon, Citrix Gateway, SSH и другим системам для любого количества сотрудников.

Сервер аутентификации может обрабатывать до 2000 аутентификаций в секунду на одного тенанта, а один экземпляр RADIUS-агента в стандартной конфигурации – до 200 аутентификаций в секунду. Таким образом, даже в начале рабочего дня в крупной компании решение успешно справится с увеличенной нагрузкой.

Ключевые преимущества решения Multifactor:

  • Высокая доступность – аптайм сервиса 99,98%; 
  • Круглосуточная техподдержка; 
  • Отказоустойчивость – отказ облака «МУЛЬТИФАКТОР» не скажется на работе вашего бизнеса; 
  • Безопасность инфраструктуры – облако Multifactor находится в дата-центрах DataLine в Москве с многоуровневой физической защитой, резервными интернет-каналами и источниками питания; 
  • Масштабируемость – нет ограничений по количеству пользователей и ресурсов, подходит для компании любого масштаба; 
  • CAPEX 0 – не требует затрат на внедрение и инфраструктуру; 
  • Простая адаптация пользователей – понятный процесс подключения, удобный интерфейс; 
  • Поддержка SSO (Single sign-on, единый вход); 
  • Возможность добавить любую необходимую заказчику бизнес-логику.

Лицензия для инструмента Multifactor приобретается на каждого пользователя как минимум на месяц. Компания «МУЛЬТИФАКТОР» предоставляет корпоративные и партнерские тарифы.

Indeed Access Manager (AM)

Indeed Access Manager (AM) разработан компанией «Индид» для создания систем централизованного управления доступом пользователей к корпоративным информационным ресурсам. По заявлению разработчика, инструментом уже пользуются 999 тысяч человек. Решение подойдет для обеспечения надежного уровня защиты как к внутрикорпоративным ресурсам, так и для электронной почты, VPN, VDI и ряда других внешних ресурсов.

Инструмент устанавливается по модели On-Premise. Политики доступа инструмента позволяют присваивать пользователям три роли: администратор, оператор и инспектор. Делать это можно как во всей системе, так и в ее отдельных составляющих. При необходимости в Indeed AM Windows Logon также можно назначить заместителя для сотрудника на случай его отпуска или командировки. В этом случае заместитель сможет выполнить вход в операционную систему по своим идентификационным данным, но от имени замещаемого.

Интересная опция инструмента — возможность входа через Windows Logon для пользователя без сообщения ему пароля. Последний будет храниться в базе данных Indeed AM, однако осуществляющему вход сотруднику вводить его не потребуется. Это означает, что пароль нельзя никуда записать или кому-то передать. Сведений о возможности использования инструмента для Linux Logon в открытых источниках не найдено.

Пройти аутентификацию пользователь может через:

  • генерацию одноразовых паролей по протоколам OATH TOTP и HOTP;
  • биометрию посредством отпечатка пальцев, рисунка вен ладони или изображения лица;
  • бесконтактные RFID карты форматов EM-Marin, HID iClass, HID Proximity, Mifare;
  • мобильное приложение для iOS и Android с push-уведомлениями на базе Indeed Key;
  • криптографические смарт-карты и USB носители Рутокен, eToken, JaCarta и ряд других;
  • бесконтактные RFID карты для СКУД-систем.

Indeed Access Manager (AM) имеет опцию интеграции со СКУД (системами контроля и управления доступом). Это позволяет задать настройки аутентификации. Например, разрешить процедуру только при нахождении сотрудника внутри здания, из определенного кабинета или со всех компьютеров, установленных на этаже.

Аладдин JAS

Аладдин JAS – еще одно отечественное решение. JAS расшифровывается как JaCarta Authentication Server. Инструмент разработан компанией «Аладдин Р.Д.» и является частью платформы JaCarta Management System 3.7.

Инструмент позволяет пройти аутентификацию следующими способами:

  • одноразовые пароли через PUSH/OTP/SMS;
  • протокол U2F;
  • прикладное ПО для аутентификации по протоколам RADIUS, REST, WCF, ADFS и некоторым другим.

Для мобильных устройств у компании «Аладдин Р.Д.» есть собственное приложение Aladdin 2FA, доступное для скачивания на официальном сайте. Однако инструмент работает и со сторонними приложениями, такими как Google Authenticator и Яндекс.Ключ.

Аладдин JAS способен обеспечить защиту:

  • шлюзов удаленного доступа, которых в перечне не менее десятка (Microsoft, Citrix, Palo Alto, VMware, Ngate и другие);
  • облачных сервисов, корпоративных сайтов, мобильных приложений;
  • внутрикорпоративных систем — CRM, электронной почты и других;
  • Microsoft RDG (шлюзов для рабочих столов);
  • системы дистанционного банковского обслуживания.

Инструмент поставляется в варианте On-Premise. Также возможна работа в формате On-Cloud заказчика или провайдера. В комплект поставки Аладдин JAS входят средства управления токенами и пользователями, а также мониторинга, сервис аутентификации, плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG. Таким образом приобретать дополнительное ПО не требуется — уже есть все необходимое.

Важным преимуществом является высокая производительность Аладдин JAS. Инструмент способен выдерживать до 5000 аутентификаций в секунду, то есть выбрать его может как совсем небольшая компания, так и гигантская корпорация. Решение имеет вертикальную масштабируемость — производительность процессора оказывает прямое влияние на производительность сервера JAS. Если одного сервера окажется недостаточно, то можно подключить несколько в одном кластере.

Avanpost FAM и Web SSO

В этом разделе рассмотрим сразу два продукта компании Avanpost: Avanpost FAM и Avanpost Web SSO. Оба имеют схожий функционал, однако решают диаметрально противоположные задачи. Avanpost FAM защищает внутрикорпоративные ресурсы. Avanpost Web SSO создан для безопасного использования внешних сайтов. Таким образом для максимально эффективной защиты целесообразно приобретать их комплектом.

Avanpost FAM

Avanpost FAM позволяет организовать аутентификацию в современных корпоративных приложениях, поддерживающих протоколы SAML, OpenID Connect, OAuth. Аутентификация возможна с использованием:

  • протоколов RADIUS;
  • технологии Microsoft Credential Provider;
  • PAM Linux.

Решение использует технологию аутентификации Reverse Proxy, а перехват окон осуществляет через Агент (ESSO/Enterprise SSO). Это исключает проблему совместимости SSO и приложений, превращая ее в задачу выбора подходящей технологии подключения.

Аутентификация возможна через:

  • аппаратные факторы в виде токенов, биометрических считывателей, считывателей RFID-меток и других;
  • сертификаты SSL и электронные подписи;
  • одноразовые пароли через SMS, e-mail и мессенджеры;
  • push-уведомления в Telegram;
  • доменную и LDAP-аутентификацию;
  • мобильное приложение для Android/iOS.

Avanpost Web SSO

Avanpost Web SSO обеспечивает безопасную единую аутентификацию клиентов в порталах и внешних приложениях. С помощью решения можно делать до 12000 аутентификаций в минуту, в то время как одиночная процедура займет менее 3 секунд.

Для аутентификации могут быть использованы:

  • одноразовые пароли;
  • биометрические данные;
  • приложения-аутентификаторы (TOTP/HOTP);
  • смарт-карты (FIDO U2F).

Управление персональными данными и другими параметрами аккаунта доступно клиенту в самостоятельном режиме. Также можно настроить опции и для сброса пароля, восстановления доступа к аккаунту.

5436457567.jpg

Выводы

Рассмотренные инструменты во многом идентичны по своим характеристикам. Однако, у них есть несколько ключевых отличий.

Multifactor предлагает SLA 99,98% и круглосуточную техподдержку сервиса с высокой отказоустойчивостью, а также предоставляет MultiFactor Ldap Adapter прокси-сервер собственной разработки, не имеющий аналогов на рынке. Поддержка 24/7 также доступна и клиентам Avanpost. Решение Multifactor также предлагает быструю, простую настройку системы от двух часов без дополнительных затрат.

По производительности лидером является Аладдин JAS, способный выдержать более 5000 аутентификаций в секунду. У Multifactor этот показатель достигает 2000 аутентификаций в секунду. Заявленная производительность Avanpost Web SSO 12 000 аутентификаций в минуту, что в пересчете на общий показатель не более 200 аутентификаций в секунду. Данные показатели мощности не имеют значения при численности компании до 1 млн. сотрудников.

Наибольшее количество методов аутентификации предлагает Multifactor. У Indeed Access Manager (AM) можно настроить аутентификацию с помощью рисунка вен ладони. У Avanpost FAM есть широкие возможности для интеграции со СКУД, в частности, для аутентификации через RFID-метки.


Комментарии 0