Многофакторная аутентификация как сервис: как строятся и кому предоставляются облачные услуги MFA

Дмитрий Соболев

Генеральный директор АО «НИЦ»

Михаил Рожнов

Технический директор MFASOFT (ООО «СИС разработка»)

В первой статье цикла «Многофакторная аутентификация как сервис» мы ответили на самые общие вопросы заказчиков. Поговорили о необходимости и видах реализации двухфакторной аутентификации, об альтернативе развертывания решения 2FA в собственной инфраструктуре и использовании его как облачного сервиса. Сегодня мы ответим на более практические и конкретные вопросы: для каких заказчиков сервис действительно будет предпочтительнее развертывания 2FA своими силами, как этот сервис должен быть построен, как его правильно выбрать, на что смотреть и что оценивать прежде всего, что заказчик должен получить и что сервисная компания должна предоставить?

2FA — развернуть нельзя использовать сервис

Итак, для ответа на вопрос разворачивать ли решение 2FA самостоятельно или выбрать сервис необходимо учесть много факторов. Чаще всего заказчики исходят из размеров и возможностей организации: финансовых ограничений, наличия ресурсов в своих ИТ- и ИБ-департаментах, а также необходимого для внедрения оборудования и программного обеспечения. И в каком-то смысле это справедливо. Но мы дополним этот подход и выделим следующие большие группы заказчиков с различным интересом к 2FA-сервисам:

Организации с ограниченными ИТ-ресурсами. Самые активные потребители сервиса 2FA. Это не обязательно только малые компании, это могут быть и средние предприятия, и даже крупные организации, которые минимизируют свои непрофильные затраты на ИТ- и ИБ-направления, а концентрируются на своих ключевых видах деятельности. Поэтому у них вполне может не оказаться необходимой инфраструктуры, подготовленных сотрудников, и поэтому они не смогут развернуть 2FA самостоятельно, не смогут его сопровождать, обслуживать пользователей, решать другие возникающие вопросы.

Организации с достаточными ИТ-ресурсами. Самые редкие потребители сервиса 2FA. Чаще всего это компании большого размера или целые холдинги. Для них стоимость внедрения решений 2FA и его поддержки не являются проблемой. У них есть необходимый персонал, есть оборудование, есть ресурсы. Они даже сами могут являться сервис-провайдерами и оказывать такие услуги для своих дочерних компаний.

Организации со специфическими требованиями к ИТ- и ИБ-инфраструктуре. Эти заказчики могут сделать выбор, как в пользу самостоятельного развертывания 2FA, так и в пользу сервиса, но с учетом их специфики. Более того, при определенных условиях на смену сервису может прийти и полноценное развертывание 2FA, как и наоборот. Чаще всего это не только вопрос размеров компании или наличия у нее ресурсов. Это могут быть следующие дополнительные требования и факторы:

1. Ограничения или жесткий регламент на использование облачных сервисов. Например, организация может представлять собой некий «режимный» объект, на котором нет доступа в Интернет, или принципиально нет возможности аутентифицироваться посредством облачного сервиса, поскольку это запрещено регламентом. В этом случае, независимо ни от каких экономических ограничений и наличия ресурсов, решение 2FA будет развернуто в инфраструктуре организации.
2. Небольшое количество пользователей, для которых в настоящий момент необходимо усиление базовой аутентификации. Например, для 5-10 пользователей даже крупные компании могут выбрать сервис. Но при этом бывает и так, что количество пользователей будет постепенно увеличиваться и со временем 2FA-сервис будет заменен на внедрение 2FA в собственной инфраструктуре компании.
3. Срочная необходимость внедрения 2FA. Если ключевых сотрудников необходимо оснастить двухфакторной аутентификацией «прямо сейчас», не дожидаясь выделения ИТ-ресурсов или набора команды экспертов, то сервис может оказаться как нельзя кстати. Здесь сервис также постепенно может быть заменен на внедрение 2FA.
4. Необходимость протестировать конкретное решение 2FA или убедиться в целесообразности последующего внедрения. По аналогии с предыдущими факторами, полноценное внедрение решения может постепенно заменить тестируемый сервис.
5. Требования регулирующих органов. В ряде компаний или учреждений необходимо, чтобы сервис 2FA оказывался в собственной инфраструктуре. В таких организациях часто используется понятие как «контроль периметра» и для встраивания облачного сервиса 2FA в контролируемый периметр, потребуется настроить VPN-туннель, что будет невозможным или повлечет дополнительные затраты. Поэтому для соблюдения требований регуляторов, например, для последующей аттестации систем, решение 2FA может развертываться в собственной инфраструктуре.
6. Приемлемый уровень риска ИБ при неработоспособности 2FA. Встречаются компании, как правило небольшие, в которых двухфакторная аутентификация не считается критичной для бизнеса, и ее разворачивают на одном хосте. В дальнейшем, если этот хост «падает», то они просто отключают двухфакторную аутентификацию до момента его восстановления. Для таких компаний SLA сервиса аутентификации (англ. Service Level Agreement – соглашение об уровне сервиса) не является критичным.

Проиллюстрируем все рассмотренные факторы принятия решения на следующей схеме.

Сервис 2FA. Особенности и преимущества использования

В чем заключаются преимущества сервиса 2FA? В самом общем смысле можно привести три базовых положения.

Во-первых, это продукт для массового использования, а массовый сервис обладает следующими качествами: простота, скорость, удобство. Разработчики решений 2FA и поставщики сервисов 2FA стремятся, чтобы для пользователей все было просто: пришел, зарегистрировался, развернул ПО, выполнил по инструкции простейшие действия (или просто запустил какой-то скрипт), а на устройстве «все само развернулось». Осталось лишь заполнить какие-то поля, а интеграция информационной системы с сервисом уже произошла!

Во-вторых, это экономическая целесообразность. В этом отношении необходимо учитывать специфические особенности каждой организации. По опыту нашего взаимодействия с заказчиками, сервис 2FA может оказаться экономически оправданным и для компаний с небольшим количеством пользователей — от 5-10, до 50 пользователей (поскольку, если они все будут делать сами, то затраты сильно возрастут), и для средних компаний — сотни и тысячи пользователей (зачастую не содержат большой штат в ИТ- и ИБ-департаментах и не создают собственную масштабную ИТ-инфраструктуру).

Третьим преимуществом и еще одним аргументом в пользу сервиса 2FA является очевидная «специфичность» области многофакторной аутентификации. Даже в крупных ИТ- и ИБ-подразделениях часто бывает недостаточно специалистов, разбирающихся в этой области досконально. А когда пользователей будет не десятки, а сотни и даже тысячи, то квалифицированных сотрудников для их обслуживания совершенно точно не хватит.

Критерии выбора поставщика сервиса 2FA

По нашему мнению, выбирая поставщика облачного сервиса, потенциальный заказчик, должен решить для себя несколько ключевых вопросов.

Вопрос доверия. В случае усиления базовых функций аутентификации заказчик доверяет поставщику сервиса: свою информацию, оказание важных услуг, доступность важнейших ресурсов. И в этом случае очень нужно понимать, что выбранная компания является надежной. Не просто обладает необходимыми ресурсами для оказания сервиса, но и надежная сама по себе. Таким образом, первый критерий выбора поставщика облачного сервиса – это надежность компании как таковой: устойчивые финансовые результаты, ясная и понятная перспектива на рынке.

Опыт работы на рынке сервисов. Когда компания занималась сервисами годами, у нее сформирована команда, накоплена необходимая экспертиза, выстроены бизнес-процессы. Все это позволяет таким компаниям выглядеть в глазах заказчика предпочтительнее. Но, с другой стороны, у компании может быть замечательная «история сервисов», но люди, которые в данное время занимаются их предоставлением, занимаются им по остаточному принципу. Если же сервис предоставляет команда, которая его совершенствует, пестует и развивает, то она может быть более интересна как поставщик.

Удобство сервиса. Клиентоориентированный подход поставщика на этапе подключения и непосредственного обслуживания, удобство самого сервиса — третий критерий выбора. Простота подключения, удобство взаимодействия с технической поддержкой, возможность решения оперативных частных вопросов. Одно дело, когда поставщик скажет, что после размещения заявки «вопрос будет рассмотрен в точности по SLA» (например, за 5 рабочих дней), и совершенно другое дело, когда компания будет готова решить его быстрее, чем предусматривает соглашение об уровне услуг. Например, случается, что поставщик начинает оказывать сервис, не дожидаясь заключения договора, не дожидаясь получения от заказчика оплаты.

Технологическая основа облачного сервиса. «Под капотом» у сервиса 2FA должно быть какое-то решение. Каково оно? Технологическое совершенство решения — четвертый критерий выбора. Чтобы сервис 2FA соответствовал ожиданиям заказчика необходимо, чтобы решение обладало следующими качествами и технологическими особенностями:

1. Возможность выбора различных типов аутентификаторов. Кому-то достаточно SMS, кому-то достаточно сообщений в Telegram, кому-то достаточно сообщений в корпоративную почту, а кому-то окажутся необходимы и некоторые из перечисленных, и поддержка аппаратных генераторов OTP.
2. Минимально необходимая автоматизация. Должны быть процедуры автоматического назначения, автоматического отзыва аутентификатора, автоматизация по работе с отчетами.
3. Синхронизация с LDAP-источниками для хранения информации о пользователях. Чем большее количество источников поддерживает решение, тем лучше.
4. Наличие web-консоли администрирования. Толстый клиент неприемлем, должна быть возможность работы с разных рабочих мест и узлов, оперативные задачи должны решаться со смартфона.
5. Мультиарендность. На одной инсталляции 2FA для конкретных заказчиков создаются свои «виртуальные» серверы — они пользуются сервером вместе, но каждый видит своих конечных пользователей, интегрируется со своими корпоративными ресурсами.
6. Возможности интеграции. Решение 2FA должно реализовать поддержку как можно больше протоколов внешней аутентификации — RADIUS, ADFS, SAML, OIDC. Это упростит процедуру внедрения, увеличит объем сервисов, в которые будет внедрена 2FA.
7. Сервисная инфраструктура должна включать не только само решение для многофакторной аутентификации, но и обеспечивающие компоненты: портал службы технической поддержки, портал самообслуживания.

В сегодняшней статье мы поговорили об особенностях и преимуществах использования сервиса 2FA, перечислили критерии выбора поставщика, обсудили технологическую основу успешного облачного сервиса. В следующий раз мы расскажем про «подводные камни» внедрения и последующего использования сервиса 2FA: как организовать процесс внедрения? Каковы должны быть результаты и оценка успешности использования сервиса 2FA?