Как внедрить в компании двухфакторную аутентификацию: три основных шага
В последнее время все чаще звучат призывы к переходу на двухфакторную аутентификацию. Многие крупные компании и мировые лидеры в области ИТ вкладывают массу усилий в популяризацию данного тренда. В целом, никто уже не будет спорить, что классическая модель аутентификации, основанная на паре логин/пароль, уже не обеспечивает должный уровень информационной безопасности и нуждается в усилении. В данном материале изложены базовые основные шаги, которые необходимо предпринять для внедрения в компании модели двухфакторной аутентификации.
Основное отличие двухфакторной модели аутентификации от аутентификации на базе логина и пароля заключается в том, что помимо некого секрета, который должен знать пользователь (пароль), он так же должен иметь некий уникальный идентификатор (например, токен или смарт-карту). Т. е. тут работает выражение «я не только знаю секрет, но и владею необходимым идентификатором». Именно из-за этого второго «фактора» и достигается существенное повышение уровня информационной безопасности на предприятии, ведь теперь для компрометации пользователя необходимо не только узнать его пароль, но и завладеть физическим носителем (токеном или смарт-картой).
Классическая современная модель двухфакторной аутентификации на предприятии любого масштаба базируется на инфраструктуре открытых ключей (PKI — Public Key Infrastructure), во главе которой стоит Удостоверяющий Центр (УЦ). Поэтому, первое, о чем необходимо позаботиться — выделить в ИТ-инфраструктуре предприятия сервер, на котором развернуть Удостоверяющий Центр.
Роль Удостоверяющего Центра в данном процессе очень велика, ведь именно он выпускает сертификаты для пользователей, которые в дальнейшем записываются на ключевые носители и используются для аутентификации или других целей. Т.о. важно выбрать именно тот Удостоверяющий Центр, который будет отвечать всем требованиям к последующей эксплуатации. Так, например, если необходимо, чтобы помимо двухфакторной аутентификации обеспечивался еще и юридически значимый документооборот, нужно выбирать УЦ с поддержкой ГОСТ криптоалгоритмов, в противном случае можно обойтись стандартной службой входящей в состав Windows Server и т. п.
Далее, необходимо решить, на базе каких носителей будет осуществляться двухфакторная аутентификация. Это не такой сложный вопрос, как предыдущий, но тем не менее выбор не всегда очевиден. В настоящее время на рынке представлено огромное количество различных ключевых носителей в исполнении USB-токенов или смарт-карт с чипами. Если, как в нашем случае стоит необходимость лишь в обеспечении двухфакторной аутентификации, то вполне можно обойтись каким-либо дешевым вариантом.
Следующим шагом необходимо определиться с системой управления жизненным циклом ключевых носителей и PKI-инфраструктурой. Это крайне важный шаг, т.к. не имея такой системы, дальнейшая эксплуатация модели двухфакторной аутентификации может быть крайне трудозатратной. В России широко распространены две подобные системы — Aladdin TMS (ныне SAM) и Avanpost PKI. Система управления позволит автоматизировать большое кол-во рутинных операций по выдаче новых ключевых носителей пользователям, по ведению регистрационного учета ключей, а так же поможет пользователям в случае необходимости обращаться в консоль самообслуживания, что так же снизит нагрузку на подразделении поддержки. Более того, подобная система позволит так же упростить работу оператора Удостоверяющего Центра, т.к. структурирует и облегчит работу с консолями УЦ. Важнейшим вопросом при выборе системы управления является реализация поддержки различных УЦ и различных ключевых носителей. Так, к примеру, система управления SAM работает исключительно с ключевыми носителями eToken и с ограниченным числом УЦ, тогда как Avanpost PKI такого ограничения не имеет.
Ну, а в заключении необходимо будет настроить все вышеперечисленное программное обеспечение, а так же настроить требования и политики при доступе в корпоративную сеть. Т.о. подводя итоги, хотелось бы отметить, что именно описанные выше три шага, являются важнейшими структурными элементами при внедрении системы двухфакторной аутентификации на предприятии, и именно от этих шагов и решений принимаемых на каждом из них будет зависеть итоговая эффективность всей системы в целом.