Как защитить удалённое подключение к ресурсам организации с помощью MFA-решения NetIQ Advanced Authentication

Библиотека безопасника / Руководство

90 просмотры
0 Лайки
0 0

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это document по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

15. С помощью NetIQ Advanced Authentication от Micro Focus можно организовать многофакторную аутентификацию в организации, задейс твовав разнообразные методы и совокупности факторов для различных ситуаций и сценариев применения. Масштабируемая архитектура с отказоустойчивостью позволит развернуть решение и на малой, и на крупной инфраструктуре, а возможности интеграции и индивидуализ ации (в том числе — через REST API и мобильный SDK) помогут приспособиться к уже внедрённым информационным системам.

5. Методы и цепочки методов дополнительной аутентификации Продукт NetIQ Advanced Authentication изначально разр абатывался как универсальное решение по многофакторной аутентификации, которым легко можно охватить самые сложные и нестандартные требования по безопасности. Поэтому в него была заложена поддержка разнообразных методов дополнительной проверки подлинности

9. Вышеописанный способ относится к предсессионной аутентификации, т. е. удалённая сессия открывается после прохождения проверки подлинности. Однако кроме такого варианта в NetIQ Advanced Authentication поддерживается и постсессионная аутентификация — наприме р, если необходимо защитить не всю сессию, а только вход в определённые опубликованные приложения внутри неё. В этом случае компонент NetIQ Advanced Authentication под названием Device Service позволяет «пробросить» устройство дополнительной аутентификации (скажем, считыватель смарт - карты или сканер отпечатка

6. п ользователей. В настоящее время «из коробки» продукт поддерживает 23 метода аутентификации. Рисунок 4. Поддерживаемые методы аутентификации в NetIQ Advanced Authentication Любой из этих методов можно использовать как по отдельности, так и совместно с дру гими. При совместном применении методы аутентификации образуют т. н. «цепочки» (chains). Для обеспечения максимальной гибкости можно создавать различные комбинации для конкретных сценариев доступа и групп пользователей; в последнем случае настройка будет а втоматически распространяться на всех новых участников этой группы. Такой подход позволяет сократить административные затраты в крупных организациях, а также снизить уровень риска, связанного с потенциальным отсутствием обязательной проверки подлинности дл я новых сотрудников. Рисунок 5. Настройка цепочек методов аутентификации в NetIQ Advanced Authentication

14. через аппаратный токен или даже биометрические данные). Это позволит соблюсти баланс между удобством доступа для пользователя и обеспечением должного уровня безопасности. Рисунок 14. Схема работы NetIQ Advanced Authenticatio n с риск - сервисом от Micro Focus Выводы Актуальные тенденции в области цифровизации ведут к наращиванию объёмов удалённой работы и к размыванию традиционных корпоративных периметров. Пандемия нового коронавирусного заболевания в 2020 году дополнительно ускорила эти процессы. В таких условиях осо бенно важно обеспечить надёжную аутентификацию сотрудников, подключающихся к информационным ресурсам компании или ведомства извне.

8. Есть также возможность создать индивидуализированное событие аутентификации для интеграции NetIQ Advanced Authentication с нестандартными системами и приложениями. Далее рассмотр им применение NetIQ Advanced Authentication для реализации типовых сценариев защищённого удалённого доступа в организациях. Защита подключения к виртуальным рабочим местам NetIQ Advanced Authentication позволяет защитить подключение к инфраструктуре виртуальных рабочих столов (VDI). Для этого используется компонент Virtual Desktop Authentication Agent (VDA), который устанавливается на компьютер пользователя. В качестве платф орм виртуализации поддерживаются Citrix, VMware Horizon (ранее известный как VMware View) и Microsoft RDS. Работа агента VDA с тем или иным VDI - решением настраивается через профиль VDA. После того как всё будет настроено, при попытке подключиться к виртуал ьной рабочей станции пользователь сначала должен будет ввести дополнительные аутентификационные данные, запрашиваемые NetIQ Advanced Authentication. Примеры интерфейса показаны на рисунках. Рисунки 6 - 9. Интерфейс NetIQ Advanced Authentication при подключ ении к виртуальной рабочей станции

11. Аналогичным образом решение можно настроить если в организации уже реализована поддержка каких - либо аппаратных токенов (таких, например, как RSA или Vasco). NetIQ Advanced Authentication в данной схеме может выступать в качестве RADIUS - клиента, перенаправляя запросы на проверку подлинности соответствующему RADIUS - серверу, предоставляемому производителем токенов. Такое применение позволяет, с одной стороны, пользоваться преимуществами универсальности решения от Micro Focus, а с другой стороны, защитить инвестиции в существующую инфраструктуру токенов. Использование многофакторной аутентификации для тонкой настройки доступа к ресурсам NetIQ Advanced Authentication содержит ряд возможностей для детального разграни чения доступа к ресурсам организации. Одним из примеров является компонент Logon Filter, устанавливаемый на контроллер домена Microsoft Active Directory и используемый для поддержки динамических групп. Суть его работы состоит в использовании факта успешной аутентификации через NetIQ Advanced Authentication в качестве обязательного условия предоставления доступа к файлам, папкам, веб - приложениям и прочим ресурсам. После проверки подлинности пользователя Logon Filter добавляет в его токен группу, указывающую на упомянутый факт; затем эту группу можно использовать для настройки правил доступа к ресурсам. В качестве примера приведём ситуацию, когда пользователь должен обязательно аутентифицироваться на своей рабочей станции посредством методов NetIQ Advanced Aut hentication, чтобы получить возможность

7. События аутентификации Как говорилось выше, в NetIQ Advanced Authentication можно гибко настроить одну или несколько цепочек методов для различных сц енариев доступа. Это делается через т. н. «события аутентификации» (events), в момент наступления которых пользователь видит окно с запросом дополнительных факторов аутентификации. В качестве примеров подобных событий в NetIQ Advanced Authentication можно привести следующие: - вход в операционную систему (Windows, Linux, macOS); - вход в мейнфрейм; - подключение к VPN; - доступ к приложениям и облачным сервисам через протоколы OAuth 2.0 и SAML 2.0; - доступ к порталу самообслуживания для пользователей; - до ступ к веб - ресурсам через интеграцию с NetIQ Access Manager; - доступ в ADFS.

10. пальца) внутрь удалённой сессии. Таким образом достигается существенная гибкость при настройке защищённого удалённого подключения. Защита подключения к VPN Для обеспечения проверки подлинности пользова теля при VPN - подключении используется RADIUS - сервер, встроенный в NetIQ Advanced Authentication. Сервер VPN в этом случае будет являться клиентом RADIUS и транслировать запросы VPN - клиента на сервер NetIQ Advanced Authentication. Далее MFA - решение будет пр оводить аутентификацию в соответствии с настроенными для данного события цепочками методов, а затем через сервер VPN взаимодействовать с пользователем для получения дополнительных аутентификационных данных. Рисунки 10 - 13. Пример применения NetIQ Advanced Authentication для защиты VPN - доступа

3. В реальных инсталляциях требования к отказоустойчивости сервиса предполагают дублирование компонентов на различных серве рах, в том числе на различных площадках. В этом случае серверные компоненты NetIQ Advanced Authentication получают различные роли: - Global Master . Роль главного сервера на весь кластер, содержащий базу данных NetIQ Advanced Authentication. Также сервер с этой ролью является регистратором новых серверов и площадок NetIQ Advanced Authentication. - DB Master . Роль сервера БД, являющегося главным на данной площадке. На этот сервер осуществляется репликация БД с Global Master при инсталляции NetIQ Advanced Authentication на нескольких площадках. - DB Server . Роль « рядового » сервера БД NetIQ Advanced Authenticat ion. Используется как резервный на случай временной недоступности Global Master. После восстановления доступа информация синхронизируется и Global Master снова становится главным объектом взаимодействия с конечными точками NetIQ Advanced Authentication. Кр оме того, DB Server удобно использовать для регулярного резервного копирования БД, освободив от этой нагрузки основной сервер. Рисунок 2. Схема отказоустойчивой архитектуры NetIQ Advanced Authentication

4. Для высоконагруженных сред NetIQ Advanced Authentic ation предлагает архитектуру с дополнительными компонентами: веб - серверами и балансировщиками нагрузки. Веб - сервер не содержит БД NetIQ Advanced Authentication. Он используется для обработки запросов на аутентификацию и взаимодействует с базой данных Globa l Master (или DB Master). Есть возможность устанавливать дополнительные веб - серверы по мере роста количества одновременных запросов на аутентификацию в организации. Балансировщик нагрузки используется для распределения запросов на аутентификацию со стороны внешних конечных устройств. Рисунок 3. Схема отказоустойчивой архитектуры NetIQ Advanced Authentication с использованием балансировщика нагрузки

2. компанией Micro Focus). Мы хотим рассказать об одном из наиболее актуальных сегодня представителей этой линейки — программном средстве многофакторной аутентификации NetIQ Advanced Authentication. Актуальност ь данного продукта многократно возросла именно сейчас в связи с ужесточением карантинных мер по всему миру и вызванным ими повсеместным переводом работы в удалённый режим. Раньше, во времена «офисной жизни», при доступе пользователя к ресурсам в основном б ыло достаточно удостоверить его личность обычной парой «логин - пароль». Сегодня же, когда доступ запрашивается не изнутри периметра организации, а кем - то извне, кто знает упомянутую пару, доверие к этому фактору как единственному становится очень рискованны м. Решения по многофакторной аутентификации призваны устранить данный риск за счёт дополнительной проверки подлинности пользователя. Чтобы подтвердить, что он действительно является тем, за кого себя выдаёт, сотрудник должен будет задействовать — в зависим ости от решения и его настроек — дополнительные знания (ответы на контрольные вопросы, PIN - код), принадлежащее только ему оборудование (например, смартфон для отправки одноразового пароля, персональный аппаратный токен) или биометрические данные (отпечаток пальца, лицо и прочее). Архитектура решения Важной отличительной особенностью NetIQ Advanced Authentication является его высокий уровень масштабируемости, который опирается на встроенные средства обеспечения бесперебойной работы. Решение состоит из ряда а рхитектурных компонентов, которые можно распределить по разным серверам в зависимости от размера внедрения и требований к отказоустойчивости. В простейшем случае NetIQ Advanced Authentication может быть развёрнут на единственном сервере, подключённом к LDA P - совместимому каталогу (например, Active Directory или eDirectory) и так называемому конечному устройству (Endpoint). Под последним подразумевается физическое или виртуальное устройство, на котором у пользователя будет запрашиваться дополнительная аутенти фикация. В качестве конечного устройства могут выступать рабочая станция под управлением Windows, macOS или Linux, сервер, окно аутентификации приложения, определённый URL, открытый в веб - браузере, и другие сущности. Схема этой архитектуры показана на рис. 1 и по очевидным причинам используется только для тестовых целей. Рисунок 1. Схема простой архитектуры NetIQ Advanced Authentication

12. взаимодействовать с сетевой папкой, содержащей конфиденциальную информацию. Если этот пользователь зайдёт под своей учётной записью (и попытается открыть указанную папку) с другого компьютера, то ему будет отказано в доступе. Ещё одним показателем того, что NetIQ Advanced Authentication может применяться для ограничения доступа к ресурсам, является поддержка им различных стандартов бесконтактных смарт - карт (например, Mifare, EM - Marine, HID). Это будет удобно организац иям, использующим такие смарт - карты для доступа в офисные помещения. С помощью NetIQ Advanced Authentication можно настроить те же самые смарт - карты для доступа к рабочим станциям. Поскольку сотрудники в офисе всегда носят корпоративные бейджи с собой (ина че они не смогут выйти из комнаты), можно существенно повысить безопасность, настроив автоматическую блокировку сессии на рабочей станции при снятии смарт - карты со считывателя. Индивидуализация решения посредством API и SDK Несмотря на наличие большого кол ичества функциональности «из коробки», NetIQ Advanced Authentication предоставляет разработчикам технический инструментарий для расширения имеющихся возможностей. Во - первых, документация продукта содержит опубликованный REST API, с помощью которого получит ся, например, индивидуализировать портал настройки аутентификаторов для пользователей. Кроме того, в NetIQ Advanced Authentication имеется мобильный SDK. Его можно использовать для разработки собственного мобильного приложения, в котором будут показываться одноразовые пароли или пуш - уведомления. Готовые интеграции с IAM - продуктами NetIQ от Micro Focus Важной особенностью решений NetIQ является полнота портфеля IAM и наличие многочисленных готовых механизмов взаимодействия между его составляющими. Вот некот орые примеры «коробочных» интеграций NetIQ Advanced Authentication: - Интеграция с решением по контролю привилегированных пользователей NetIQ Privileged Account Manager. Подтверждает личность пользователя прежде предоставления ему привилегированного доступ а к серверам или приложениям, даёт дополнительную защиту в случае компрометации учётных данных.

13. - Интеграция с решением по управлению доступом к веб - ресурсам NetIQ Access Manager. Обеспечивает должный уровень безопасности при единой аутентификации и сквозн ом доступе к локальным и облачным веб - сервисам. - Интеграция с решением по сквозной аутентификации NetIQ SecureLogin. Дополнительные методы проверки подлинности NetIQ Advanced Authentication могут быть использованы при получении доступа к традиционным прил ожениям через «толстый клиент». - Интеграция с решением по автоматизации самостоятельной смены паролей NetIQ Self - Service Password Reset. Позволяет при запросе на сброс пароля удостовериться в подлинности пользователя за счёт дополнительных факторов аутент ификации. Таким образом, хотя каждый из перечисленных продуктов можно применять по отдельности, их совместное использование несёт очевидные выгоды: простота интеграции (не нужно ничего самостоятельно писать), минимизация «стыковочных» рисков, наличие техни ческой поддержки всего интеграционного решения от одного вендора. Интеграция с риск - сервисом от Micro Focus Одним из нововведений в линейке решений NetIQ IAM от Micro Focus является т. н. «риск - сервис». Суть его заключается в следующем. При поступлении зап роса из приложения NetIQ (среди прочих поддерживается и NetIQ Advanced Authentication) система на основе сопутствующей контекстной информации вычисляет уровень риска, связанный именно с этим запросом на доступ. Примеры контекстных параметров для вычисления уровня риска: - IP - адрес, с которого поступил запрос; - пользовательские файлы идентификации (cookies); - содержимое HTTP - заголовка запроса; - история предыдущих запросов пользователя; - внешние параметры (дост уп через REST API, вызовы во внешние системы и т. п.). В зависимости от заданных пороговых значений сервис относит риск, связанный с данным запросом, к одной из трёх категорий: низкий, средний или высокий уровень риска. В случае NetIQ Advanced Authenticati on для каждой такой категории у пользователя запрашивается та или иная цепочка методов аутентификации. Например, для доступа к одной и той же системе можно настроить как простые цепочки (скажем, с отправкой одноразовых паролей на смартфон), так и более стр огие (с подтверждением личности

1. Как защитить удалённое подключение к ресурсам организации с помощью MFA - решения NetIQ Advanced Authentication Многофакторная аутентификация (MFA, МФА) — один из надёжнейших способов проверки личности сотрудников, подключающихся к ресурсам организации. Проанализируем, как с помощью решения NetIQ Advanced Authentication реализовать дополнительные факторы аутентифика ции и устранить риски использования банальной связки «логин - пароль». Оглавление Введение 1 Архитектура решения 2 Методы и цепочки ме тодов дополнительной аутентификации 5 События аутентификации 7 Защита подключения к виртуальным рабочим местам 8 Защита подключения к VPN 10 Использование многофакторной аутентификации для тонкой настройки доступа к ресурсам 11 Индивидуализация решения посредством API и SDK 12 Готовые интеграции с IAM - продуктами NetIQ от Micro Focus 12 Интеграция с риск - сервисом от Micro Focus 13 Выводы 14 Введ ение Корпорация Micro Focus, являясь известным и значимым разработчиком программного обеспечения, имеет в своём портфеле множество разнообразных продуктов. Активно прогрессируют, в частности, решения по информационной безопасности, объединённые под названи ем «Security, Risk and Governance». Внутри этого подразделения существует относительно обособленная линейка решений по управлению учётными записями и доступом — Identity and Access Management (IAM), выступающая под общим брендом «NetIQ» (по названию компан ии, которая развивала эти продукты до поглощения

Просмотры

  • 90 Всего просмотров
  • 64 Просмотров Веб-сайта
  • 26 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+