Avanpost Identity Security Platform: будущее защиты цифровых идентичностей

Современные корпоративные ИТ-инфраструктуры становятся всё более разветвлёнными, масштабными и уязвимыми, особенно в условиях гибридной работы, удалённого доступа и растущего числа киберугроз. В таких условиях одной из ключевых задач является защита цифровой идентичности пользователей и контроль их действий в системах. Для закрытия этого длинного списка в большинстве случаев используется целый комплекс продуктов. Мы в Avanpost для этого предлагаем концепцию платформы Identity Security Platform, которая включает в себя весь необходимый комплекс решений для защиты любой корпоративной ИТ-инфраструктуры.  

Avanpost Identity Security Platform — непрерывная защита личности в цифровом мире. Платформа закрывает широкий спектр областей, от управления учётными записями и доступа к административным и технологическим аккаунтам до защиты от несанкционированного повышения привилегий. Ниже приведены ключевые функциональные области и компоненты, которые за них отвечают. 

Главным компонентом для защиты учётных записей является многофакторная аутентификация. За неё в платформе отвечает продукт Avanpost MFA, который позволяет настроить защиту от несанкционированного доступа ко всем критически важным корпоративным системам, снижая риск использования скомпрометированных учётных данных. С помощью Avanpost MFA можно легко настроить политики аутентификации в соответствии с регламентами компании и требованиями регуляторов.

Модель безопасности Zero Trust применительно к корпоративным приложениям и рабочему месту сотрудника предполагает интеграцию максимально широкого числа информационных систем к системе аутентификации с MFA. При этом в работе сотрудника повседневно, помимо входа на рабочие станции, применяются веб-приложения, различные сетевые инструменты (VPN, VDI), десктопные клиенты ERP-систем, почтовый клиент, ВКС.

Это приводит к тому, что многофакторная аутентификация за рабочий день запрашивается у сотрудника многократно, что в масштабах большой организации создаёт дополнительные сложности для работы сотрудников и увеличивает нагрузку на сервис-деск компании. Помимо этого, современный ИТ-ландшафт любой организации состоит из большого числа разнородных информационных систем, интеграция которых с системами аутентификации выполняется по самому разному набору протоколов.

При следовании концепции Zero Trust для всех систем, с которыми работают сотрудники, требуется подключать VPN / VDI по RADIUS, ERP-системы посредством механизма OIDC / SAML / Enterprise SSO или Reverse Proxy, почтовые клиенты по SAML / WS-Federation и EAS-протоколам. Применение такого обширного набора технологий и протоколов интеграции и аутентификации создаёт сложности для обеспечения пользовательского опыта однократного входа.

Поэтому в платформу ISP включен продукт Avanpost SSO, который использует технологию единого входа для сквозной аутентификации сотрудника в корпоративных ИТ-системах. SSO реализует кросс-протокольную прозрачную аутентификацию между OIDC, SAML, RADIUS и другими механизмами аутентификации, и обеспечивает централизованное завершение сессии пользователя в АРМ. SSO позволяет обеспечить прозрачную однократную аутентификацию между различными протоколами, компонентами с передачей сессии и признаков сессии между входом на рабочую станцию, десктопом и вебом через браузер.

Конечно, многофакторная аутентификация является очень надежным инструментом, но в сегодняшних реалиях его одного недостаточно для полноценной защиты. Поэтому в платформу включена опция Location Control. Традиционные подходы часто игнорируют географический контекст и атрибуты геолокации, что делает их уязвимыми перед подозрительными входами из новых или небезопасных регионов.

При этом жёсткие ограничения на основе локации могут раздражать пользователей и снижать их продуктивность. Location Control — это механизм, который определяет, откуда пользователь пытается получить доступ (страна, IP-диапазон, геокоординаты), и на основе этого разрешает, ограничивает или блокирует доступ к системам и данным.

Функциональность Location Control:

• Защита от несанкционированного доступа: автоматическое выявление подозрительных входов из запрещённых или не использовавшихся ранее регионов.
• Оптимизация процессов входа: упрощение аутентификации для доверенных локаций и динамическое усложнение при изменении локации подключения.
• Предотвращение предполагаемых атак: блокировка доступа из небезопасных регионов и реагирование на резкие перемещения между геолокациями.
• Использование контекста для адаптивной MFA: настройка многофакторной аутентификации с учётом геолокации и поведенческих паттернов, связанных с геолокацией.
• Анализ активности в реальном времени: получение детальной аналитики по зарегистрированным локациям и оперативная корректировка политики безопасности.

Все релевантные события, связанные с доступом, должны быть занесены в журнал. За это в ISP отвечает служба каталогов Avanpost Directory Service, которая решает задачи централизованной аутентификации и авторизации, управления пользователями и компьютерами в иерархической структуре, при этом обеспечивая высокую доступность и катастрофоустойчивость данных каталога и сервисов аутентификации в геораспределенных инфраструктурах.

В основе Avanpost DS лежит высокопроизводительный LDAP-каталог в качестве централизованного хранилища информации о пользователях и ресурсах, а также центр распространения ключей Kerberos, обеспечивающий сквозную аутентификацию в домене. Надежная система мультимастер-репликации гарантирует целостность данных каталога. Доменный клиент Avanpost DS, поддерживающий все российские дистрибутивы Linux, автоматизирует присоединение к домену серверов и рабочих станций и берёт на себя управление аутентификацией и авторизацией.

По части информационной безопасности Avanpost DS предоставляет функциональность журналирования для событий аутентификации, доступа и изменений в каталоге. Посредством гранулярной системы контроля доступа Avanpost DS позволяет делегировать полномочия в доменной иерархии с соблюдением принципа минимальных привилегий.

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.

Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.

Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.

Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.