О сложностях современных процедур проверки подлинности и о методах их устранения
Автор
Джейсон Харт
Сегодняшняя бизнес-сфера, некогда остававшаяся под защитой изолированного корпоративного ИТ-окружения, испытывает колоссальное давление, обусловленное всеобщим увлечением виртуальными и облачными вычислениями.
Сегодняшняя бизнес-сфера, некогда остававшаяся под защитой изолированного корпоративного ИТ-окружения, испытывает колоссальное давление, обусловленное всеобщим увлечением виртуальными и облачными вычислениями. Как рядовым пользователям, так и ИТ-специалистам всё чаще приходится иметь дело с всё более сложным аутентификационными окружениями. Такая аутентификация предусматривает прежде всего использование множества учетных записей для доступа к различным приложениям с разных устройств.
Согласно результатам опроса о проблемах аутентификации, проведённого компанией SafeNet в 2014 году, только 15% организаций во всём мире обязывают 90%-100% своих сотрудников использовать механизмы многофакторной аутентификации (multi-factor authentication, MFA) – таким образом, компании пытаются справиться с теми трудностями в сфере безопасности, которые появляются в результате постоянного усложнения окружения аутентификации. А учитывая тот факт, что каждый день в мире компрометируется более 2 миллионов учетных записей, остальные 85% компаний ставят под угрозу конфиденциальность и целостность своих сетей, приложений и интеллектуальной собственности, оставляя их на милость фишинг-мошенников, специалистов по взлому баз данных, внутренних злоумышленников, банальных воров и тех, кто распространяет вредоносные программы.
Наличие единообразных политик безопасности, централизованного управления, контролируемости и прозрачности всего окружения аутентификации позволяет сегодняшним директорам по ИТ-безопасности с легкостью внедрять решения для управления идентификационной информацией и доступом (Identity and Access Management, IAM). В задачи системных администраторов входит не только решение возникающих в ИТ-окружении проблем, но и сопровождение, и что не менее важно – модернизация сетевой инфраструктуры, систем и приложений в организациях. Поскольку поставленные задачи весьма внушительны, а времени для их решения, как правило, недостаточно, инструменты для управления учетными записями и доступом (IAM), позволяющие системным администраторам упростить задачу управления и администрирования, а также обеспечивающие возможности для безопасного внедрения новых технологий, безусловно, будут оставаться в зоне повышенного внимания ИТ-директоров.
Каким же образом правильно подобранное решение для аутентификации способно снизить нагрузку на системных администраторов и помочь им внедрять самые новые и интересные приложения и платформы? Ниже приводится основная функциональность, на которую следует обратить внимание.
Автоматизированное предоставление токенов – Процедуры автоматизированного предоставления токенов и автоматизированного изъятия токенов предусматривают периодическую синхронизацию с базами данных существующих пользователей (например, с AD, Oracle, SQL, Lotus, Novel, IBM и т.д.) для осуществления соответствующих операций.
Автоматическая синхронизация и автоматическое выделение ресурсов – Подобная функциональность позволяет в автоматизированном режиме создавать токены для новых пользователей и автоматически запрашивать активацию посредством e-mail оповещения. Аналогичным образом, эти функции отключают права доступа пользователей после удаления учетной записи пользователей из базы данных.
Автоматизированное управление пользователями и решениями – Подобные возможности позволяют автоматически и в режиме реального времени оповещать администраторов посредством SMS-уведомлений или электронной почты о важных событиях безопасности, требующих немедленного реагирования, фактически реализуя таким образом управление по исключениям (management by exception). В качестве примеров подобных оповещений можно привести уведомление пользователей и администраторов в случае блокировки аккаунта, изменения ключевых настроек конфигурации, или уведомления об отсутствии активности пользователей к определённой дате.
Групповые политики – Поддержка групповых политик позволяет упростить процессы выделения ресурсов и аутентификации пользователей. Например, на различные пользовательские группы могут распространяться различные правила, выполнение которых необходимо для осуществления аутентификации, например, ограничения по времени, дню недели или IP адресу, ограничения по доступу к определённым приложениям, или по настройкам предоставления токенов.
Самообслуживание пользователей – В целях дальнейшего снижения нагрузки на службу поддержки пользователей решения могут обеспечивать простейшую поддержку самообслуживания, например, обработку запросов на получение нового токена, запросов на изменение типа резервной аутентификации, запросов на активацию или повторную синхронизацию токенов, или на изменение пользовательских данных, что позволит снизить административную нагрузку на ИТ-службу.
Федеративный вход – Благодаря федерации удостоверений на базе SAML, решения позволяют применять учетные записи пользователей для работы с облаком, позволяя им осуществлять вход в сервисы software-as-a-service (SaaS) и в облачные приложения с теми же учетными записями, что и для доступа к корпоративной сети. Фактически, это позволяет регистрироваться в системе лишь единожды, а затем получать одновременный доступ сразу к нескольким различным SaaS приложениям.
Слаженность методов аутентификации – Отчет, опубликованный Национальным институтом по стандартам и технологиям (NIST), под названием "Исследование технологий аутентификации методом дневника" выявил, что в среднем сотрудники NIST проходят аутентификацию 23 раза в течение 24 часов, при этом необходимость столь частого осуществления аутентификации вызывало у пользователей раздражение и разочарование, они уставали постоянно запоминать и вводить пароли, кроме того, всё это приводило к снижению уровня безопасности, в частности, из-за того, что пользователям приходилось записывать свои пароли. Однако в корпоративном окружении пользователи не могут просто отказаться от аутентификации. Поэтому особо важно обеспечить лёгкость и согласованность аутентификации, в частности, за счет использования таких методов как OTP, OOBA и аутентификация без токенов (например, аутентификация по контексту), что повышает степень удовлетворённости пользователей и уменьшает количество препятствий для внедрения аутентификации.
Доставка в виде сервиса – Строгая аутентификация и управление учетными записями могут быть реализованы в виде сервиса, доставляемого из облака, что позволяет еще больше снизить общую стоимость владения за счет высокой эффективности облачных вычислений.
Каким же образом организации могут снизить раздражение от аутентификации и обеспечить пользователям комфортные впечатления от аутентификации? Вот основные принципы, которых следует придерживаться:
- Обеспечьте защиту системы единого входа (SSO), используя для этого строгую аутентификацию: такая мера позволит с большей уверенностью гарантировать, что пользователь является тем, за кого себя выдаёт, при этом строгую многофакторную аутентификацию можно использовать в ESSO/федеративных SSO сценариях без причинения пользователям каких-либо неудобств.
- Делайте аутентификацию проще и удобнее для своих пользователей: не вынуждайте своих пользователей постоянно носить с собой дополнительные физические аксессуары для аутентификации – механизмы аутентификации по контексту, программные out-of-band токены и использование телефонов в качестве токенов позволяет обеспечить удобный мобильный доступ к корпоративным ресурсам с любого устройства.
- Не полагайтесь на пароли: двухфакторная аутентификация позволяет полностью заменить статические пароли, тем самым помогая избежать недовольства пользователей, уйти от необходимости администрировать пароли и избавиться от уязвимостей, связанных с использованием статических паролей.
- Обеспечьте возможность самообслуживания: сведите к минимуму зависимость от сотрудников службы поддержки и обеспечьте пользователям богатые возможности для самообслуживания, например, возможность редактирования пользовательских данных, обработку запросов на предоставление токенов или на синхронизацию текущего токена.
Продуманная схема аутентификации может быть гибкой и даже прозрачной для пользователей, обеспечивая при этом наращиваемую платформу аутентификации с поддержкой облачных и корпоративных приложений и позволяя ИТ-директорам и системным администраторам не только выполнять свои традиционные обязанности, но повышать эффективность и развивать инновации.
Опубликовано 10.02.2015
Похожие статьи