Многофакторная аутентификация как сервис: как облачные услуги МФА могут расширить предложения российских ИТ-разработчиков?

Дмитрий Соболев

Генеральный директор АО «НИЦ»

Михаил Рожнов

Технический директор MFASOFT (ООО «СИС разработка»)

В пятой статье цикла «Многофакторная аутентификация как сервис» мы обсудили какие у провайдеров облачных услуг могут быть предпосылки для включения сервиса многофакторной аутентификации в портфель своих решений, а также рассмотрели потребности этих компаний, возникающие при развертывании и оказании сервисов 2FA.

Сегодня мы поговорим о том, может ли интеграция с облачными сервисами MFA (в частности, сервисами на базе сертифицированных решений) быть интересна ИТ-разработчикам. Какие это специалисты? Что конкретно им даёт встраивание сервисов MFA? Что именно это дает заказчикам? Давайте попробуем разобраться.

Интеграция ИТ-решений с 2FA

В современных условиях — и мы подробно говорили об этом в первой статье — усиление базовой аутентификации необходимо в любой «правильно построенной» информационной системе или прикладном сервисе. Поэтому практически все ИТ-разработчики, так или иначе, решают в своих продуктах вопросы многофакторной аутентификации. Безусловно, это особенно важно для систем, в которых требуется высокий класс защиты, а также для сертифицированных решений, соответствующих 4 уровню доверия, и которые можно применять в государственных информационных системах 1-го класса. Но реализуют ли ИТ-разработчики функции 2FA самостоятельно? Очевидно, что в той или иной степени, это привело бы к возникновению следующих проблем:

1. Необходимость развития в составе своего ИТ-продукта полноценного и «комплексного» решения 2FA: с возможностью выбора различных типов аутентификаторов, поддержкой различных протоколов внешней аутентификации, функциями автоматизации и поддержки пользователей, синхронизации с корпоративными LDAP-источниками.
2. Необходимость обеспечения высокого качества реализации многофакторной аутентификации — «специфической» области в информационной безопасности.
3. Необходимость отвлекать ресурсы разработчиков на решение «дополнительных», но совершенно необходимых задач развертывания и последующей эксплуатации подсистемы аутентификации — с расчетом нагрузки, отказоустойчивости, регламентом обслуживания, резервного копирования, обновления и других этапов.

Согласитесь, что для решения этих проблем потребовалось бы много «непрофильных» затрат времени, ресурсов разработчиков и, вообще говоря, денег! Может быть поэтому самостоятельную реализацию функций 2FA берут на себя далеко не все ИТ-разработчики. И даже не все производители сертифицированных продуктов! Как правило, они этот вопрос «делегируют» специализированным компаниям, идут по пути интеграции с готовыми продуктами для многофакторной аутентификации, и часто ограничиваются заявлениями, что у них есть API, чтобы «подключить» внешние системы для обеспечения 2FA. И в этом отношении неизбежно возникает следующий вопрос — вопрос «совместимости».

Две «ступени» совместимости ИТ-решений и 2FA

Пожалуй, с самого возникновения ИТ-рынка, появления на нем множества независимых продуктов, существует практика проверки и официального подтверждения совместимости решений и систем друг с другом. Как правило, два заинтересованных производителя или поставщика решений проверяют совместимость своих продуктов между собой, в случае необходимости осуществляют доработки, и после серии успешных проверок оформляют так называемый «сертификат совместимости» продуктов. Это позволяет компаниям-заказчикам быть уверенными, что приобретение и внедрение этих продуктов не приведет к потере времени и средств, что их интеграция не растянется на годы, а пройдет точно по инструкциям и рекомендациям производителей. Инструменты многофакторной аутентификации тоже не исключение, но подтверждение совместимости c 2FA-решениями все же обладает некоторыми особенностями – как для производителей ИТ-инфраструктуры, так и для разработчиков самих систем многофакторной аутентификации.

Совместимость со стороны разработчика решения 2FA. Во второй статье мы уже говорили об аспектах технологического совершенства 2FA-решения: возможности выбора различных типов аутентификаторов, минимально необходимом уровне автоматизации, мультиарендности и поддержке как можно большего числа протоколов внешней аутентификации — RADIUS, ADFS, SAML, OIDC. Тогда мы не упомянули еще об одном аспекте: официально подтвержденной совместимости с как можно большим числом операционных систем, прикладных сервисов, инфраструктурных решений. Это означает, что 2FA-решение «позволяет быстро и просто, без внесения изменений в архитектуру системы, повысить уровень защищенности за счет использования механизма двухфакторной аутентификации и организовать доступ пользователей в соответствии со структурой предприятия, не усложняя при этом работу».

Безусловно, большинство ИТ-производителей основываются на применении стандартных механизмов аутентификации, что в будущем позволяет им гораздо проще обеспечить интеграцию с 2FA. Но практика показывает, что реализация этих «стандартных механизмов» может быть различной и при подтверждении совместимости все же возникает необходимость доработок.

Совместимость со стороны разработчика ИТ-решений. Оговоримся, во-первых, что под «ИТ-решениями», о которых мы сегодня ведем речь, понимаем самый полный список продуктов:

• решения для создания инфраструктуры — операционные системы, серверы и рабочие станции, специализированные программно-аппаратные комплексы;
• информационные системы — прикладные системы и бизнес-приложения, базы данных (как для использования в ОИВ или ГИС, так и вне их);
• решения для обеспечения информационной безопасности.

Во-вторых, по нашему опыту в отношении решений для многофакторной аутентификации встречается две «ступени» совместимости:

1. Собственно совместимость с 2FA-решением — подтвержденная возможность проведения успешной интеграции ИТ-продукта с решением для обеспечения многофакторной аутентификации.
2. Совместимость с готовым облачным 2FA-сервисом — подтвержденная возможность использования сервиса многофакторной аутентификации что называется «из коробки», сразу после установки ИТ-продукта у заказчика, без интеграции, без развертывания дополнительных систем и сервисов в его инфраструктуре.

Необходимость этой второй «ступени» совместимости возникла так же, как и сам облачный 2FA-сервис — из-за специфики области многофакторной аутентификации и требований регуляторов, из-за особенностей инфраструктуры предприятий-заказчиков, особенностей их департаментов ИТ и ИБ. Все эти причины мы подробно обсудили во второй и третьей статье, а представленная вторая «ступень» позволяет обеспечить ряд преимуществ, и для разработчиков, и для пользователей ИТ-решений. Об этих преимуществах мы поговорим чуть ниже.

Готовый «бандл» или зачем ИТ-разработчикам 2FA-сервис?

Итак, на ИТ-рынке представлены многочисленные производители и поставщики: операционных систем, прикладных систем и бизнес-приложений, решений для обеспечения информационной безопасности. Даже те из них, чьи решения сертифицированы и соответствуют 4 уровню доверия, и которые можно применять в государственных информационных системах 1-го класса, сами функции многофакторной аутентификации не реализуют, а совершенно обоснованно рассчитывают на использование заказчиком 2FA-решения или 2FA-сервиса.

А у конечного потребителя есть задача — «закрыть» требования регуляторов к многофакторной аутентификации, и, если у него не будет возможности (или целесообразности) разворачивать 2FA в своей инфраструктуре, то он обязательно будет использовать облачный 2FA-сервис. Поэтому становится очевидным, что облачные услуги МФА могут расширить предложения российских ИТ-разработчиков. В чем для них состоит преимущество поддержки 2FA-сервиса?

Возможность создания востребованного совместного предложения. Формирование так называемого «бандла» (от англ. Bundle) — комплекта, состоящего из нескольких товаров, продаваемых как единое целое — давно стало хорошей практикой на ИТ-рынке. Довольно часто такое совместное предложение становится даже более востребованным, чем отдельные его компоненты, поскольку более удобно для заказчиков. В случае 2FA-сервиса новизна состоит лишь в том, что вторым компонентом является не ИТ-решение как таковое, а облачная услуга на его основе, которую можно «добавить в коробку».

Проще и логичнее всего проиллюстрировать такое совместное предложение на примере сертифицированной операционной системы и годовой или полугодовой подписки на облачный сервис для 2-х или 3-х пользователей (2-3 OTP-токена). Такой комплект, как раз, будет полезен заказчику на тот период времени, в течение которого можно будет аттестовать разворачиваемую информационную систему и получить все необходимые документы. В дальнейшем предприятие-заказчик уже будет решать: выбрать ли развертывание полноценного 2FA-решения или расширять потребление облачного сервиса. Но пока ему нужны лишь 2-3 OTP, выполнить все требования регулятора и создавать собственную полноценную инфраструктуру для обеспечения многофакторной аутентификации, конечно же, нецелесообразно. Логично остановить выбор именно на сервисе. Поэтому такой «бандл» имеет все шансы стать востребованным.

Конкурентные преимущества собственного решения. После ухода с российского ИТ-рынка крупных международных разработчиков и поставщиков, конечно же, возникла потребность «импортозамещения». И у отечественных ИТ-разработчиков появились так называемые «дополнительные возможности»: продажи выросли, число заказчиков увеличилось, возникли новые проекты. Тем не менее, рано или поздно, рынок «насытится», конкуренция увеличится и между ИТ-решениями начнется «перераспределение». Дальше нужно будет конкурировать какими-то дополнительными возможностями, техническими особенностями, какими-то улучшениями. Безусловно, заказчики в первую очередь будут смотреть на функциональные возможности систем и решений, а также на то, как оперативно разработчики будут их добавлять и развивать решения. Поэтому заблаговременная поддержка облачного 2FA-сервиса – развитого, удобного, просто разворачиваемого – как раз и может стать одним из таких необходимых конкурентных преимуществ.

Простота и удобство для заказчика. Самое очевидное преимущество «бандла» ИТ-решения и облачного 2FA-сервиса состоит в том, что заказчику ничего не нужно будет дополнительно предусматривать и разворачивать, все будет «уже на борту»: приобрел, развернул ИТ-решение, открыл инструкцию, настроил и сразу стал использовать 2FA-сервис. А если облачный 2FA-сервис будет еще и аттестован, то существенно упростится и процесс аттестации информационных систем. Кроме того, поддержка облачного 2FA-сервиса позволит ИТ-разработчику «воспользоваться» и представить заказчику все те преимущества, о которых мы говорили в предыдущих публикациях: экономия на непрофильных затратах, снижение общей стоимости владения решением, повышение скорости внедрения, безопасность эксплуатации и высокое качество поддержки.

Дополнительные аргументы, компетенции и сервисы. Поддержка облачного 2FA-сервиса позволит ИТ-производителю предоставить заказчику дополнительные аргументы: «…Мы не вводим вас в заблуждение, говоря, что наши решения соответствуют требованиям регулятора, в то время как они соответствуют этим требованиям только на 20-30%! На «все остальное» вам не нужно будет еще что-то отдельно докупить, встроить, интегрировать, и добавить! Вам, действительно, не придется решать эту проблему самим. Мы предоставляем вам готовое решение с облачным 2FA-сервисом! Из «коробки»? Да, «из коробки»!...». Кроме того, у ИТ-разработчика в ходе обеспечения поддержки облачного сервиса неизбежно расширится экспертиза в такой специфической сфере, как многофакторная аутентификация. Если кроме продажи решений он предоставляет и свои сервисы (интеграция, консалтинг, сертификация, техническая поддержка и прочие), то он сможет представить свои компетенции в самом выгодном свете.

Заключение

Итак, сегодня мы поговорили почему разработчикам операционных систем, прикладных сервисов и инфраструктурных решений может быть интересна интеграция с облачными 2FA-сервисами (в том числе и на базе сертифицированных решений), обсудили что конкретно дает отечественному разработчику встраивание этих сервисов, что именно эти сервисы дают заказчикам.

Напомним, что весь цикл публикаций о сервисах многофакторной аутентификации посвящался ответам на вопросы наших партнеров и заказчиков. Когда сегодняшняя статья была практически готова, мы получили несколько важных, на наш взгляд, вопросов о технологических аспектах интеграции ИТ-систем с сервисами и решениями 2FA.

Эти вопросы связаны и с применением стандартных механизмов аутентификации на базе протоколов RADIUS и ADFS, и с поддержкой систем с открытым исходным кодом, например Keycloak, а также с другими аспектами интеграции и обеспечения совместимости. Обязательно вернемся к этим вопросам в наших следующих публикациях.