***** 1 - Aercom.by

Семинар компании «Информзащита»
“Информационная безопасность
2010: работа на опережение ”
Решения по
аутентификации
от компании
ActivIdentity
АЛЕКСЕЙ СОВА
Ведущий специалист
Содержание
• Три линейки продуктов компании ActivIdentity
• Решение по сквозной однократной аутентификации
• Система управления жизненным циклом смарткарт
• Сервер 4TRESS – обеспечение удаленного доступа
• Общий принцип лицензирования
Три линейки продуктов
ActivIdentity является одним из мировых лидеров в области программноаппаратных решений для обеспечения цифровой идентификации.
25 лет работы и более 10 миллионов пользователей в коммерческих
организациях, правительственных и финансовых учреждениях во всем мире.
• Сквозная однократная аутентификация
• SecureLogin SSO
• Инфраструктура смарт-карт
• CMS – система управления жизненным циклом смарт-карт
• ActivClient – клиентское ПО
• Смарт-карты, usb-ключи (JAVA)
• Аутентификация удаленных пользователей
• 4TRESS AAA – сервер аутентификация на базе OTP
• Генераторы одноразовых паролей (OTP)
• 4TRESS SDK – комплект разработчика
Enterprise SecureLogin SSO
“ESSO это возможность для пользователей получать
доступ ко всем своим приложениям, находящимся в
разных системах и работающим на разных
платформах после однократной аутентификации
вначале […] и это работает без модификации этих
приложений.”
“Пользователям становится удобнее и поэтому
становится меньше звонков в help desk – это и есть
основные преимущества корпоративного решения
сквозной однократной аутентификации.”
“Предприятия с успехом интегрируют 100% своих
приложений”
По материалам исследований компании Gartner, Inc в 2007 году
Enterprise SecureLogin SSO
Как живут пользователи без SSO?
Проблемы паролей:
•
•
•
Слишком много паролей для запоминания
В среднем от 5 до15 паролей у пользователя в
компании с численностью 10.000 сотрудников
Правила и ограничения на пароли - “строгие
политики” приводят к частой смене пароля и делают
его очень сложным для пользователя.
****
Ослабление безопасности:
mmartin077
marky_171
mark794 *****
****
mmartin077
******markman_02
the_markster
markster_812
• Пользователям больше нравится
записывать пароли на стикеры или
хранить другим подобным образом
• Пользователи создают для себя очень
простые пароли для запоминания
5
Enterprise SecureLogin SSO
Как живут пользователи без SSO?
Снижение продуктивности:
•
Процедура аутентификации - 15 минут в день (по
исследованиям PwC)
• Больше процедур обновления пароля = больше задержек и
выше
вероятность забыть
• Забытые пароли могут занять до 20 минут времени
пользователя и Helpdesk
6
Enterprise SecureLogin SSO
Аутентификация в приложения используя SL SSO
Сервер
приложений
5) SecureLogin SSO извлекает ПДА из
LDAP и использует их для
аутентификации в приложение
Служба каталогов
4) SecureLogin
запрашивает
данные ПДА из Dir
3) Запрос ПДА
1) Аутентификация
2) Запуск приложения
Рабочее место
7
Преимущества технологии SSO
• Меньше паролей  Меньше сложностей и проблем
• Меньше пауз  Увеличение продуктивности
• Службе технической поддержки становится
проще, а компании дешевле
• Усиление безопасности
Преимущества ActivIdentity SSO
• Легкое внедрение и эксплуатация
•
•
•
•
Основан на интеграции с корпоративным каталогом;
Стандартный для Microsoft метод инсталляции (msi файл -> SMS сервер)
Не требует дополнительных серверных компонент;
Подходит для всех – от 10 до 10 млн. пользователей.
• Легкая интеграция со всеми приложениями компании
•
•
•
•
>80 готовых описаний приложений;
Графический мастер настройки;
Доступный скриптовый язык для сложных случаев;
Распространение правил через групповые политики GPO.
• Поддержка полного цикла аутентификации
• Login, периодическая смена пароля, повторная аутентификация,
генерация случайных паролей.
• Тесная интеграция со строгой аутентификацией
• в том числе от других вендоров.
ActivIdentity Card Management System
Web-приложение, позволяющее управлять смарткартами и USB токенами
в течении всего их жизненного цикла
Выпуск и
персонализация
Разблокировка
PIN-кода
Обновление карт
после выпуска
Замена временная
и постоянная
Приостановление
и отзыв
Управление смарткартами –
выпуск карты
Без CMS
•
Для каждой смарт-карты:
• Ручная инициализация карты
• Ввод данных в таблицу
- имя пользователя
- серийный номер карты
- первичный PIN
- код разблокировки
•
Для каждого сертификата
• Использование консоли управления УЦ
• Выпуск сертификата
• Импорт сертификата в карту
Управление смарткартами –
выпуск карты
С использованием CMS
•
Выбор из множества возможных вариантов выпуска
• Личный, с утверждением, самообслуживание
• Конвейерный, сторонний выпуск
•
Автоматизированная персонализация карт
• Инициализация карты и PIN
• Автоматическое управление данными аутентификации
• Выпуск и импорт сертификата(ов)
• Выпуск и запись OTP-ключей и настройка других данных аутентификации
•
Политики определяют функционал карт и параметры данных аутентификации
• Набор предопределенных профилей
• Настройка параметров апплетов
• Назначение политики группе пользователей
Управление смарткартами –
разблокировка
Без CMS
•
•
Для каждой смарт-карты:
• Где-то найти информацию о серийном номере карты и коде разблокировки
• Использовать специальное приложение для разблокировки и определения нового
PIN кода
Если код разблокировки утерян:
• Форматирование карты
• PKI ключи и сертификаты теряются
• Теряются другие данные (OTP ключи)
Управление смарткартами –
разблокировка
С использованием CMS
•
•
Выбор из множества возможных вариантов разблокировки
• Локальная
• Самообслуживание
• Служба поддержки on-line
• Служба поддержки off-line
Удовлетворяет политике безопасности организации
Без CMS
•
•
•
Управление смарткартами –
замена карты
Определить, какие данные были на «старой» карте
Приостановить все данные аутентификации
• Цифровые сертификаты
• OTP ключи ….
Выпуск временной карты
• Инициализация
• Получение временного сертификата из УЦ
• Восстановление сертификатов шифрования из УЦ
• Запись сертификатов во временную карту
Управление смарткартами –
замена карты
С использованием CMS
•
•
•
•
Выбор варианта замены
• Личная
• С утверждением
• Самообслуживание
Данные аутентификации постоянной карты автоматически приостанавливаются
Временная карта выпускается с автоматическим восстановлением сертификатов
шифрования
Когда действие временной карты прекращается, происходит
возобновление действия данных с постоянной карты
IT среда для ActivIdentity
Card Management System
Службы каталогов
•
•
•
•
•
•
•
Microsoft Active Directory
Novell eDirectory
Sun Java System Directory
IBM Tivoli Directory
CA eTrust Directory
Siemens DirX
Critical Path Directory
Identity Management Systems (IDM)
•
•
•
•
•
Sun Java System Identity Manager
Novell Identity Manager
IBM Tivoli Identity Manager
CA eTrust Admin
Oracle Identity Manager
CКУД
•
•
•
•
•
•
Lenel OnGuard
Honeywell
GE Security
Tyco / SoftwareHouse
Hirsch Electronics
AMAG
Удостоверяющие центры
•
•
•
•
•
•
•
•
Microsoft Certificate Services
Entrust Authority
VeriSign ManagedPKI
Verizon UniCERT
US Dep’t of Defense (DISA)
Exostar
CryptoVision
OpenTrust
Проверено временем
ActivIdentity имеет огромный опыт в разработке систем управления
жизненным циклом карт, начиная с 1998 г.
С помощью CMS было выпущено более 12 000 000 карт по всему миру
• Действующие пользователи ActivID CMS
• US Department of Defense – 3,000,000 пользователей
• Zaba Bank – 100,000 пользователей
• HP – 100,000 пользователей
• Saudi Aramco – 45,000 пользователей
• Sun Microsystems – 30,000 пользователей
• МТС Украина – 20,000
Задачи и требования клиентов
• Экономический климат и конкуренция на рынке требуют более
эффективных способов ведения бизнеса что приводит компанию к:
• Организации деловых взаимоотношений на расстоянии;
• Расширение корпоративной информационной системы за границы предприятия
для обеспечения доступа сотрудников, клиентов, партнеров и поставщиков.
• Получая в итоге:
• Сложную IT среду, потенциально более уязвимую к неавторизованному
доступу;
• Задача приведения информационной системы к соответствию к новым
регулирующим требованиям становится трудновыполнимой.
• Что заставляет задуматься :
• Как исключить риски и расходы, связанные с использованием статических
паролей ?
• Как соблюсти баланс между комфортом пользователей и необходимым
уровнем безопасности.
19
Задачи и требования клиентов
IT менеджеры предприятий часто сталкиваются с задачами:
• Защита удаленного доступа к сетевым ресурсам для сотрудников.
• Обеспечение защищенного доступа к ресурсам для партнеров,
поставщиков, наемных работников.
• Обеспечение временного удаленного доступа для сотрудников в
нештатных ситуациях.
• Устранение внешних и внутренних угроз со стороны
привилегированных пользователей
20
ActivIdentity 4TRESS AAA
Server for Remote Access
ActivIdentity 4TRESS AAA Server for Remote Access – это
корпоративное решение для исполнения аутентификационных
запросов пользователей и мгновенного применения политик
безопасности на различных объектах.
ActivIdentity 4TRESS AAA Server for Remote Access решает
задачи безопасного доступа для все увеличивающегося штата
«мобильных» сотрудников.
21
ActivIdentity 4TRESS AAA
Server for Remote Access
•
Сервер Аутентификации, Авторизации, Аудита (AAA) использует
открытые стандартные:
• Протоколы ( RADIUS, TACACS+, and 802.1x)
• Хранилища (LDAP и SQL)
• Методы аутентификации (OATH и PKI)
22
•
Возможность использовать комбинацию аппаратных токенов,
программных токенов, сервис SMS, одноразовые пароли OTP, USB
токены и смарткарты;
•
Web интерфейс управления системой и WEB портал
«самообслуживания» для пользователей.
•
Полноценная система регистрации событий и отчетности.
ActivIdentity 4TRESS AAA
Server for Remote Access
email Сервер
VPN
Удаленный
сотрудник
Удаленный
компьютер
Интернет
firewall
WEB
сервисы
4TRESS
AAA Server
for Remote
Access
Сервер
Приложений
Файловый
сервер
Решение ActivIdentity
23
ActivIdentity 4TRESS AAA
Server for Remote Access
24
ActivIdentity 4TRESS AAA
Server for Remote Access
Mini Token
DisplayCard
DisplaySmartCard
KeyChain Token
DisplayKey
Desktop Token
Pocket Token
25
ActivIdentity 4TRESS AAA
Server for Remote Access
•
Удаленный доступ через Virtual Private Network или шлюз
• Мобильные и надомные сотрудники
• Временный доступ в нештатной ситуации
•
Доступ в локальной сети
• Доступ к компьютеру с использованием смарткарты
• или USB токена
• Беспроводной доступ
•
Доступ к WEB порталу
• Временные сотрудники, бизнес партнеры и поставщики
• Доступ сотрудников к email когда VPN доступ нельзя
• или не нужно организовывать (Outlook Web Access)
26
ActivIdentity 4TRESS AAA
Server for Remote Access
• Простое внедрение в существующее IT окружение, включая каталоги,
удостоверяющие центры, VPN, брандмауэры и шлюзы удаленного
доступа.
• Возможность постепенной миграции с унаследованных систем
аутентификации без перерыва в работе пользователей.
• Эффективное точки зрения затрат функционирование, основанное на
открытых стандартных протоколах аутентификации, хранилищ данных и
OTP алгоритмах
• Низкая стоимость обслуживания; нет необходимости в дублировании
данных пользователей
• Ведение журнала событий для аутентификации, авторизации и
управления сервером
27
ActivIdentity 4TRESS AAA
Server for Remote Access
• Финансовый сектор
Один из крупнейших мировых банков (Top 20) 100,000+ пользователей локальной сети и удаленный доступ
• Автомобильная промышленность
Nissan Europe 7,000 пользователей локальной сети и удаленный доступ
• Авиационная промышленность
Крупнейшая мировая авиастроительная корпорация 15,000 пользователей удаленного доступа
• Энергетика
Крупнейшая нефтегазовая компания (Top 4) 9,000 пользователей удаленного доступа
28
ActivIdentity 4TRESS AAA
Server for Remote Access
• Корпоративные каталоги
• Microsoft Active Directory
• Novell eDirectory
• LDAP v3 compliant directories
• Базы данных
• Microsoft SQL Sever
• Oracle
• VPN
• Cisco
• Juniper
• Check Point
• WatchGuard и многие другие решения
• Виртуальный рабочий стол, терминальный доступ
• Citrix
• Microsoft
29
Лицензирование
• По количеству пользователей
• Корпоративные лицензии
• Нет ограничений на:
• количество устанавливаемых серверов
• количество доменов, удостоверяющих центров
• время использования (лицензии постоянные и не требуют
пролонгации)
30
Семинар компании «Информзащита»
“Информационная безопасность
2010: работа на опережение ”
ВОПРОСЫ ?
АЛЕКСЕЙ СОВА
ведущий специалист
• (495) 980 23 45 #327
• a.sova@infosec.ru