Бестокенная аутентификация. Почему это так важно?
DESCRIPTION
Презентация с семинара "Сертифицированные решения для обеспечения безопасного удалённого доступа мобильных сотрудников" 28 мая 2013 года. Докладчик: Евгений Царёв, глава представительства Swivel Secure в СНГ.TRANSCRIPT
Swivel Secure
Power of knowing…
www.swivelsecure.com
Привычные способы аутентификации
• Высокая стоимость инфраструктуры и управления ей. Необходимость замены/обновления токенов)
• Неудобны для пользователей (их забывают, теряют и т.п.)
• Неприменимы для масштабных B2B и B2C приложений
• Сложные правила провоцируют частое использование одинаковых паролей в разных приложениях
• Необходимость наличия системы управления изменениями паролей
• Сложности управления при нерегулярном использовании или использовании третьей стороной
• Непрактичны для приложений более низкой критичности
Токены
• Пароли в социальных сетях и корпоративных приложениях часто идентичны
Пароли
www.swivelsecure.com
UNP1Пара логин\пароль. Данный вид аутентификации не отличается высоким уровнем безопасности. Не является достаточным для систем удаленного доступа и облачных сервисов.
Особый вид аутентификации от Swivel, основанная на использовании изображения, повышает стойкость и безопасность процесса UNP, но без полноценной двухфакторной аутентификации
2FA3Двухфакторая аутентификация. Отличается высоким уровнем безопасности, используется для защиты высококритичных систем и сервисов.
Виды аутентификации
www.swivelsecure.com
Платформа аутентификации Swivel
• Представляет собой серверное решение (физические или виртуальное), которое позволяет использовать различные способы аутентификации к различным системам и приложениям.
• Включает в себя более 50 способов аутентификации к сотням систем.
• В качестве каналов аутентификации используется: классический веб-браузер, смс, мобильное приложение (для всех популярных платформ) и голосовой вызов.
• Имеется интеграция для VPN-систем, веб-приложений, облачных решений и рабочих станций.
www.swivelsecure.com
SMS
• При попытке доступа в систему или приложение, Платформа генерирует смс-сообщение, содержащее OTC (one time code), либо Security string из которой вычисляется OTC по заранее известному пользователю PIN.
• Сообщение отправляется заранее или по запросу• Сообщения могут настраиваться• Возможна работа с или без PINsafe технологии
www.swivelsecure.com
SMS
• Система очень гибко настраивается. В частности возможна отправка нескольких строк в одном SMS (до 5 строк в сообщении)
• Каждая строка имеет метку с номером• Веб-страница, на которой находится пользователь, содержит информацию какую строку использовать
www.swivelsecure.com
Мобильные приложения
• Получать Security string возможно используя мобильное приложение
• Сгенерировав Security string пользователь вычисляет OTC по заранее известному PIN
• Приложения разработаны под все популярные мобильные платформы и доступны для скачивания самим пользователем
• Приложение содержит до 99 Security string
• Пользователь может пополнить число строк в любое время
• PIN никогда не используется
• Нет SMS сообщений
• Номер мобильного телефона не запрашивается
www.swivelsecure.com
Телефония
1 вариант:
• Платформа осуществляет звонок пользователю и в голосовом режиме и запрашивает OTC
• Пользователь вводит OTC через клавиатуру с изображения, находящемся на другом устройстве (веб-браузер, мобильное приложение и т.д.)
2 вариант:
• Платформа совершает звонок пользователю сообщая OTC, чтобы пользователь ввел его на другом устройстве
3 вариант:
• Платформа совершает звонок пользователю и запрашивает подтверждение аутентификации (Например, “Нажмите ‘#’ чтобы подтвердить процесс аутентификации?”)
• Пользователь нажимает клавишу ‘#’ чтобы завершить аутентификацию
• Содержание запроса и набор клавиш для подтверждения может настраиваться.
www.swivelsecure.com
UNP1Пара логин\пароль. Данный вид аутентификации не отличается высоким уровнем безопасности. Не является достаточным для систем удаленного доступа и облачных сервисов.
Особый вид аутентификации от Swivel, основанная на использовании изображения, повышает стойкость и безопасность процесса UNP, но без полноценной двухфакторной аутентификации
2FA3Двухфакторая аутентификация. Отличается высоким уровнем безопасности, используется для защиты высококритичных систем и сервисов.
Виды аутентификации
Помимо двухфакторной аутентификации Swivel развивает направление усиленной аутентификации
www.swivelsecure.com
Технология TURing• При входе в приложение Платформа выдает
10-тизначную Security string, которая отображается в браузере
• На основе своего PIN’а и Security string пользователь вычисляет код для аутентификации (OTC)
• Технология создает защиту от брутфорс-атак и других автоматизированных атак
Технология PINpad• При входе в приложение Платформа выдает
10-тизначную Security string, которая отображается в браузере в виде сот
• Соты могут отображаться в любом дизайне• Пользователь вводит свой PIN с
использованием мыши • На сервер уходит сгенерированный OTC• Технология создает защиту от брутфорс-атак
и других автоматизированных атак
Усиленная аутентификация
www.swivelsecure.com
Применения Swivel: VPN
• SSL VPN
• IPSec
• RADIUS
• XML API
• AD Integration
• База знаний Swivel: http://kb.swivelsecure.com/integrations
www.swivelsecure.com
Применения Swivel: Web-приложения
Web:• Swivel позволяет обеспечить защиту
любого сайта• Работает в любом браузере • Готовые решения для IIS и ISA• OWA
SharePoint:• SharePoint• Гибкое развертывание на SharePoint
Applications• Создает ‘Claims Token’• SharePoint защищается посредством .NET
http фильтра
Domain\user name:
Password:
One-Time Code:
www.swivelsecure.com
Применения Swivel: Облака
• SAML• Возможна усиленная и двухфакторная аутентификация
• Совместимо с ADFS• Одобрено MS
• Microsoft Azure• Identity kept local
www.swivelsecure.com
Одобрение Microsoft
“Двухфакторая аутентификация Microsoft Office 365 использует решения только двух вендоров. RSA и Swivel”
Steve Patrick
www.swivelsecure.com
Применение Swivel: Облака
ADFSProxy
User
InternetSwivelfilter
NB. Swivel не выдает токен, это делает ADFS. Токен может выдаваться только с учетными данными AD Это важно!
ActiveDirectory
ADFSServer
Swivel
Office 365
www.swivelsecure.com
Применение Swivel: Облака
User
Swivel IdP выпускает токен. Cloud App не знает как создается защита
AD
Internet
SAML
ldP Swivel
SSL VPN
AD remains single reference point.
(RADIUS)
www.swivelsecure.com
Применение Swivel: VDI и Desktop
• Terminal Service 2008
• Windows Desktop:• GINA• Credentials Provider
• VDI• Citrix• VM View 5.1
• Windows taskbar application
www.swivelsecure.com
Интегрируется с существующими службами Active Directory
• Доступ только для чтение
• Множественные AD
• Множественные домены
LDAP/SQL Services:
• OpenLDAP
• eDirectory
• Lotus Notes
Интеграция:
• Создание групп в хранилище
• Просмотр хранилища через Swivel выбор соответствующей группы
• Добавление пользователей в хранилище и мгновенное развертывание на Swivel
• Использование информации из AD (email, номер телефона)
• Удаление пользователей из хранилища, чтобы отменить их доступ к Swivel
Ядро Swivel: Управление пользователями
www.swivelsecure.com
Учетные записи:
• Секретные строки отправляются в числовом буквенно-числовом или смешанном виде
• Определяется максимальное число попыток входа
• Неактивные учетные записи могут быть заблокированы после определенного периода времени
• Пользователь имеет возможность самостоятельно изменить или сбросить PIN
Политики PIN:
• Возможность добавить пользователя в группу, которая получает доступ как через PINsafe, так и без использования PIN
• Размер PIN, от 4 до 10 цифр
• Время действия PIN
• Предотвращение очевидных вариантов PIN (1234, 1111, 1966 и т.п.)
• Возможность запроса пользователя изменить PIN при первом входе
Управление рисками:
• Пользователи получают инструмент, настроенный в зависимости от существующих рисков
• Различные точки входа могут иметь разные настройки аутентификации
Ядро Swivel: Управление политиками
www.swivelsecure.com
Swivel аппаратное решение (black box):
• Сервер Dell
• Автономное
• Active / Active (Data Centre redundancy)
• Active / Active & Active / Passive (Data Centre redundancy & Hardware redundancy)
• Active / Active & DR (Data Centre redundancy & DR site)
Виртуальное решение:
• Поддержка:
• VM Ware
• Hyper V
• Xen App Server
• Автономное
• Active / Active (Data Centre redundancy)
• Active / Active & DR (Data Centre redundancy & DR site)
Только ПО:
• Swivel требует Tomcat и JAVA оборудование
Swivel: Варианты развертывания
www.swivelsecure.com
Swivel: ЦенообразованиеЦенообразование
• Единоразовая оплата за ПО Swivel (бессрочная лицензия).
• Лицензирование по количеству пользователей.
• Цена за пользователя зависит от числа пользователей.
• Лицензия включает в себя весь функционал:• SMS (PINsafe и PINless)
• Мобильные приложения (iPhone, Android, BlackBerry, Windows mobile)
• PINpad / TURing
• Credential Provider / GINA
Поддержка• Ежегодная поддержка и плата за продление
Варианты поставки• ПО
• Виртуальная машина
• Физический сервер
www.swivelsecure.com
Техподдержка в России
• Первая линия технической поддержки может осуществляться как специалистами интеграторов, так и специалистами NGS Distribution.
• В России есть сертифицированные специалисты по продукту, прошедшие обучение в Великобритании
• Готовится курс по обучению сертифицированных специалистов интеграторов в России
• На выбор заказчика может предоставляться техподдержка в режиме 24х7 или 8х5
www.swivelsecure.com
Сертификация ФСТЭК
• Имеется положительное решение ФСТЭК на сертификацию продукта
• Готовятся документы на сертификацию по ТУ и НДВ 4 в системе ФСТЭК
• Ориентировочная дата получения сертификатов: сентябрь 2013
www.swivelsecure.com
Swivel Secure• Компания Swivel Secure основана в 2000 году и в настоящий момент
является мировым технологическим лидером бестокенной аутентификации. Платформа аутентификации Swivel, включающая в себя запатентованную технологию PINsafe, является де-факто технологическим стандартом бестокенной аутентификации.
• Решения Swivel используются крупнейшими частными и государственными компаниями, а также представителями малого и среднего бизнеса. Потребители продукции Swivel получают возможность организации безопасного локального и удалённого доступа к корпоративным сетям, виртуальным машинам и облачным приложениям. PINsafe – единственная технология бестокенной аутентификации, используемая в Microsoft Office 365.
• Компания Swivel Secure является членом Marr T&T, входящей в состав международной инвестиционной компании Marr Group.
www.swivelsecure.com
Резюме• Платформа аутентификации Swivel – первое поданное на
сертификацию в системе ФСТЭК России решение бестокенной аутентификации
• Решение уже является де-факто стандартом бестокенной аутентификации в мире
• Решение представляет собой единую платформу аутентификации покрывающую потребности в аутентификации всех сервисов компании
• В России действует собственное представительство Swivel Secure в лице ООО «Свивэл Секьюрити»
Вопросы?
Power of knowing…[email protected]://ngsdistribution.comМосква, 8 Марта, 1, стр.2+7 495 280-1530
[email protected] http://swivelsecure.comМосква, Верейская, 17+7 495 657-8685