Импортозамещение многофакторной аутентификации

Последствия ухода иностранных вендоров ПО для двух- и многофакторной аутентификации неодинаковы для разных категорий заказчиков.

К примеру, наиболее известные зарубежные вендоры, предоставлявшие IAM-решения и услуги, на неопределенный срок прекратили работать с такими российскими контрагентами, как: Microsoft с SaaS IAM-решением Azure MFA (в составе сервиса Azure AD); Cisco с облачным IAM-решением Duo Security; Thales с продуктом Gemalto; Fortinet с продуктом FortiAuthenticator; IBM с рядом продуктов линейки IAM; Cisco с продуктами IAM и CIAM; Okta с SaaS-продуктами Workforce и CIAM; Auth0 с одноименным облачным сервисом.
В наиболее сложной ситуации, которая требует немедленной реакции, оказались те компании, которые предпочитали использовать облачные продукты. Часть из них уже неработоспособна — как правило, в тех случаях, когда заказчики выбирали помесячную оплату подписки и не имели технической возможности продления лицензии. К ним же относятся пользователи сервисов, чьи провайдеры просто перестали обслуживать клиентов, принадлежащих к российской юрисдикции. Таким компаниям приходится заниматься поисками альтернативы уже сегодня.

Для других организаций, успевших оплатить сервисы на год, «время X» наступит несколько позже, после истечения срока подписки. В любом случае это короткий отрезок, за который необходимо успеть выбрать альтернативное решение и перевести на него свои системы.

В несколько иной ситуации находятся предприятия, которые предпочитали решения on-premise, размещенные на собственных серверах. В зависимости от вендора, они сохраняют полную или частичную работоспособность, но в большинстве случаев уже лишены обновлений и вендорской поддержки. Однако у заказчиков, как правило, сохраняется возможность пользоваться поддержкой, которую предлагают российские интеграторы. К слову, у нас в стране достаточно компаний, обладающих необходимыми компетенциями, чтобы такую поддержку оказывать на самом высоком уровне.

Такие решения тоже требуют замены на импортонезависимое ПО, но предприятия-пользователи имеют значительно больше времени на выбор и внедрение альтернативного софта.

Импортозамещение IAM-решений для 2FA или MFA, увы, не отличается простотой. Связано это прежде всего с широким разнообразием задач, решаемых в сфере корпоративных IAM-решений, различием подходов к их решению и тем, что не все IAM-продукты взаимозаменяемы. Поэтому отправной точкой при замене решения должен быть не поиск полного аналога, а определение перечня решаемых задач из всего пула задач, предъявляемых к корпоративному IAM. А он весьма и весьма разнообразен:

• Защита корпоративных систем, публикуемых в Интернете, в том числе VPN и VDI, при помощи 2FA/MFA (технологии RADIUS, SAML, OpenID Connect).
• Прозрачная аутентификация при переходе между приложениями при помощи SSO/SLO (технологии SAML, OpenID Connect, Reverse Proxy).
• 2FA для серверов и компьютеров под управлением Windows и Linux (Logon Provider’ы — компонент Credential Provider, PAM Linux/OpenPAM-модуль).
• Кросс-доступ к приложениям для холдинговых организаций с поддержкой мультидоменности (поддержка SAML и OpenID Connect Federation в режиме RP).
• Унификация процесса аутентификации в корпоративных приложениях различных типов (целый пул технологий — RADIUS, SAML, OpenID Connect, Reverse Proxy, Enterprise SSO).
• Защита унаследованных (legacy) корпоративных информационных систем при помощи 2FA/MFA (Enterprise SSO, Reverse Proxy).
• Аутентификация для API и M2M (OpenID Connect).

Как видим, за каждой из задач скрыт целый пласт обычно применяемых технологий. Так как корпоративные IAM-решения требуют глубокой интеграции с другими используемыми организацией системами, одним из основных критериев выбора импортонезависимой альтернативы становится определение всего пула используемых технологий интеграции и сопоставление их с технологиями, необходимыми для решения выбранных задач.
Необходимость интеграции 2FA/MFA-решения с другими заменяемыми системами формирует и другой критерий — возможность поэтапного ввода в эксплуатацию по отделам и подключаемым системам. Это позволит и внедрить 2FA/MFA уже на начальном этапе эксплуатации новой инфраструктуры, и обеспечить планомерность всего процесса импортозамещения. Поэтому простота подключения дополнительных информационных систем без остановки сервиса выступает важным критерием при ограниченных сроках на выполнение этих работ.
Еще одним качеством, которое станет важным конкурентным преимуществом решения-кандидата, — его «всеядность»: совместимость с системами, которые уже используются предприятием, а следовательно, возможность обеспечить защиту унаследованных (legacy) систем.

Еще один критерий диктуется сжатыми сроками, в которые приходится проводить импортозамещение. Речь идет о возможности минимизации в ходе выполнения проекта нагрузки на ИТ- и ИБ-службы предприятия, быстрое и безболезненное обучение пользователей и даже возможность их самообслуживания в тех случаях, когда им требуется техническая поддержка.

В каждой организации могут быть свои, оригинальные особенности использования 2FA/MFA-решений. Но в любом случае при выборе импортонезависимой альтернативы необходимо принимать во внимание требуемую функциональность.

Важное условие — наличие у IAM-решения мобильного приложения для аутентификации. Оно стало обязательной опцией для этого класса решений, что во многом связано с его «универсальностью» — совместимостью с различными приложениями и поддержкой разнообразных сценариев использования.
Приложения-аутентификаторы из состава отечественных IAM-решений, в обязательном порядке использующие любые облачные или зарубежные сервисы от компании-вендора для взаимодействия с мобильными приложениями, также находятся под угрозой. Частным случаем этого может являться механизм push-уведомлений, который встроен в операционные системы Android и iOS и требует использования сервисов производителя ОС (Google Cloud Messaging, Apple Push Notifications). Поэтому возможность сохранения работоспособности мобильного приложения без доступа к сервисам Google и Apple является также важным критерием.

Здесь в первую очередь важно упомянуть возможность работы с одноразовыми паролями с использованием различных каналов коммуникаций, будь то СМС, электронная почта или применяемые в организации мессенджеры. Кроме того, непременным требованием сегодня стала поддержка TOTP — одноразовых паролей с ограниченным временем действия.

Импортозамещение — в силу его неизбежности — можно (и даже необходимо) использовать как еще одну возможность для развития ИТ организации. Ведь в подавляющем большинстве случаев заказчики сталкиваются с необходимостью не просто замены иностранной системы на отечественную, а разработки нового ИТ-ландшафта. В этом случае стоит учитывать перспективы развития и при выборе 2FA/MFA. Это ПО должно давать предприятию возможность дальнейшего масштабирования и расширения сферы его применения.

Здесь в первую очередь следует упомянуть усиленную аутентификацию для рабочих станций пользователей и серверов, которая особенно актуальна в свете постоянно возрастающей интенсивности кибератак, многие из которых нацелены на получение контроля за пользовательскими аккаунтами.

Для различных бизнес-приложений, применяемых в организации, будет актуально использование механизмов прозрачной аутентификации при помощи SSO и SLO (технология единого входа, когда пользователь при переходе из одной системы в другую не проходит повторную аутентификацию). Для крупных компаний холдингового типа, где используются общие для всех структур системы, будет актуальна такая возможность, как кросс-доступ к приложениям с поддержкой мультидоменности.

Наконец, стоит предусмотреть и такую функциональность будущего решения, как унификация аутентификации пользователей в корпоративных приложениях различных типов. В этом случае — вне зависимости от особенностей применяемых политик доступа и реализации процесса аутентификации — пользователи получат единую «точку входа» для всех необходимых систем.

Дмитрий Грудинин, системный архитектор Аванпост

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации; универсален для различных доменов, включая MS),
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра),
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO,  Device Control.

Экосистема программного обеспечения по управлению доступом построена на базе полностью собственного программного обеспечения, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.