Багатофакторна аутентифікація в дата-центрі — якою вона повинна бути?



Продовжуючи розмову на тему інформаційної безпеки, сьогодні пропонуємо обговорити таку важливу тему, як багатофакторна аутентифікація в корпоративній мережі. Минулого разу ми писали про те, що таке «пастка для людини» в дата-центрі. Аутентифікація співробітників у великій компанії, а особливо дата-центрі компанії, де знаходиться все найцінніше — інформація, це найважливіший фактор захисту від витоку інформації.

У компанії, де працює більше десятка людей, необхідно призначати різні рівні доступу користувачам для захисту інформації. Зазвичай використовується кілька рівнів захисту, включаючи аутентифікацію (підтвердження особи), авторизацію (контроль доступу) і облік дій (логування). Доступ до будь критично важливої інформації або обладнання повинен здійснюватися за допомогою багатофакторної захисту. Давайте подивимося, як це може працювати в мережі компанії.

Отже, будь-який пристрій, що дає доступ до загальних ресурсів, які є критично важливими, найчастіше запитує логін і пароль. У найпростішому варіанті ці дані записані в локальній базі даних, звідки береться інформація для звірки даних і підтвердження прав конкретного користувача на доступ до конкретних ресурсів.

Але у великих компаніях використання локальної аутентифікації непрактично. Будь-які зміни (наприклад, якщо користувач переходить на нову посаду або залишає компанію) тоді потрібно вносити під всі локальні бази у кожній з точок доступу. Краще використовувати загальну базу.

Серверна аутентифікація
У корпоративній мережі пристрої доступу краще підключати до загальної бази, яка розміщується в хмарі або віддаленому сервері. Пристрій, як і у випадку локальної аутентифікації, працює зі зв'язкою логін/пароль, але дані для перевірки коректності даних користувача при цьому беруться з сервера. Якщо необхідно вносити зміни про користувача, що це потрібно зробити лише один раз.

Зараз одним з найбільш популярних протоколів дистанційної аутентифицкации користувачів, не залежних від постачальників, є Radius. Він був розроблений корпорацією Livingston Enterprises в якості протоколу аутентифікації та обліку для сервера доступу. У Мережі без праці можна знайти як власні, так і open-source реалізації протоколу. Є й інші варіанти — це, наприклад, LDAP (зазвичай його використовують в оточенні продуктів Microsoft) і TACACS (використовується в оточенні Cisco).

LDAP (англ. Lightweight Directory Access Protocol — «полегшений протокол доступу до каталогів») — протокол прикладного рівня для доступу до служби каталогів X. 500, розроблений IETF як полегшений варіант розробленого ITU-T протоколу DAP.

TACACS (англ. Terminal Access Controller Access Control System) — сеансовий протокол, який використовувався на серверах доступу ARPANET. Центральний сервер, який приймає рішення, дозволити чи не дозволити користувачу підключитися до мережі.

Фактори аутентифікації: те, що ви знаєте, те, що у вас є і те, чим ви є
Більшість простих систем безпеки використовує для захисту інформацію, яка відома певної категорії користувачів. Це зазвичай пароль і логін. Для того, щоб отримати несанкціонований доступ до ресурсів або обладнання, зловмисникові необхідно отримати ці дані.

У дата-центрів переважної більшості компаній не один, а декілька рівнів захисту.

Другий рівень захисту зазвичай використовує щось, що належить користувачу. Це, наприклад, одноразовий пароль, сгенерированый картою-токеном, або ж той самий пароль надіслано на смартфон користувача по SMS. Для отримання доступу до закритих ресурсів зловмиснику тепер потрібно не тільки знати зв'язку логін і пароль, але і отримати якесь обладнання у авторизованого користувача, що вже складніше. Захист такого типу вже є дворівневою.

І, нарешті, третій рівень захисту — це біометрія. Відбиток пальця, малюнок райдужної оболонки ока, аналіз голосу — все це біометрія. Додавання третього шару захисту значно ускладнює доступ зловмисників до критично важливим для компанії ресурсів.



Мультифакторная аутентифікація для управління інфраструктурою
Системні інженери та адміністратори зазвичай мають привілейований статус у системі. Для доступу до ресурсів компанії вони проходять всі три рівня доступу. Звичайним же користувачам зазвичай видають лише в'язку логін/пароль, що забезпечують доступ до найменш критичним ресурсів, необхідним для роботи.

Двофакторні системи аутентифікації зазвичай працюють вже з протоколу Radius. Два приклади реалізації такої системи — це RSA SecurID та Duo Security. Користувач отримує карту-токен (виглядає як невеликий калькулятор) або мобільний додаток. І пристрій, і програма роблять одне і те ж — видають одноразовий пароль для доступу до ресурсів. Цей пароль має певний термін дії.

Зараз простежується два тренда в питанні мультифакторной аутентифікації:
  • ІТ-інфраструктура компаній втрачає географічну прив'язку. Співробітники компанії, включаючи адміністраторів і системних інженерів, не знаходяться в одному приміщенні. Більш того, співробітники однієї і тієї ж компанії можуть перебувати в різних регіонах однієї країни або в різних країнах на різних континентах. Але всі вони повинні мати доступ до загальних ресурсів компанії. У цьому випадку виставлення системи пріоритетів, рівнів доступу та формування мультифакторной системи аутентифікації дуже важлива.
  • Мультифакторная система аутентифікації поступово еволюціонує. Навіть соціальні мережі та інші веб-сервіси давно вже почали впровадження двофакторної аутентифікації, не кажучи вже про корпораціях і внутрішньокорпоративних сервісах. Зараз помітний ще один тренд — поступова відмова від карт-токенів на користь мобільних додатків або веб-сервісів. Паролі доступу відправляються SMS на телефон користувача, що знімає необхідність у використанні карт-токенів, які можуть і загубитися.
Деякі компанії поступово відходять від Radius, починаючи використовувати PAM-модулі, які у деяких випадках легше встановити і настроїти. Правда, в цьому випадку необхідна спільна робота розробників ПЗ та обладнання, або ж потрібно впроваджувати open-source рішення зразок Google Authenticator.

У найближчі роки ми побачимо бурхливий розвиток технологій мультифакторной аутентифікації, поступове спрощення рішень з їх одночасним здешевленням. Ці рішення будуть поступово переходити в «хмара», забезпечуючи можливість роботи з ними з будь-якої точки світу. Власне, це вже відбувається.

Ділимося досвідом:

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.