Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Администрирование средств аутентификации должно быть автоматизировано

Администрирование средств аутентификации должно быть автоматизированоСегодня руководители не готовы рисковать своими информационными активами, подчас содержащими сведения критичные для деятельности или репутации компании. При этом, сохранить их конфиденциальность и целостность, параллельно обеспечив доступность, становится всё более нетривиальной задачей. Желаемой безопасности и прозрачности системы доступа к информационным ресурсам можно обеспечить при помощи автоматизации большинства процессов, связанных с администрированием средств аутентификации, используемых в компании.

Такие факторы, как рост числа угроз, связанных с неавторизованным доступом, проблема инсайдера, увеличение числа атак, нацеленных на получение конфиденциальных сведений компаний, а также ряд других «побочных эффектов» насыщенности российского ИТ-рынка привели к тому, что персонализированный доступ и управление правами пользователей стали насущной необходимостью для отечественных компаний.

В 60-ых годах вопрос предоставления персонализированного доступа решался с помощью знакомой нам до сих пор по разным публичным сервисам примитивной системы логин-пароль. Но время не стоит на месте. Очевидная несостоятельность парольной системы аутентификации в наши дни заставила прогрессивных разработчиков искать новые, более надёжные способы защиты доступа к своим информационным рубежам.

Высокотехнологичной альтернативой аутентификации по логину и паролю стало использование аппаратных устройств — токенов или электронных ключей в виде USB-устройства, смарт-карты или различных комбинированных моделей, например, с биометрическим идентификатором. В сочетании с криптографическим шифрованием системных дисков, защитой отдельных файлов и съемных носителей, а также аутентификацией до загрузки операционной системы, токены позволяют обеспечить необходимый уровень безопасности ИС для организаций любого масштаба со сколь угодно высоким уровнем требований к системе информационной безопасности и защиты данных.

Появившись на российском рынке около 6 лет назад, токены постепенно заняли ведущее положение на мировом рынке 3А (аутентификация, авторизация и аудит действий в сети). По прогнозам IDC, более чем двукратное увеличение объемов рынка аппаратных токенов ожидается к концу 2009 г. При этом более чем логичным представляется проблема управления жизненным циклом этих средств в корпоративной информационной системе.

Ключевой элемент безопасности

Итак, токены позволяют «связать» конкретного пользователя с теми данными, которые он представляет для доступа в систему для подтверждения того, что он есть именно тот, за кого себя выдаёт. Это базовое свойство позволяет обеспечивать надёжную основу для защиты компьютеров и данных с помощью электронных ключей. Кроме того, некоторые токены для аутентификации — в частности, реализованные на основе смарт-карт — позволяют генерировать и хранить ключи шифрования, обеспечивая тем самым строгую аутентификацию при доступе к компьютерам, данным и информационным системам.

Развертывание инфраструктуры токенов в рамках информационной системы компании является базовой платформой для дополнительных защитных мер, таких как безопасный доступ к базам данных, порталам, контроль физического доступа и контроль доступа к приложениям. Благодаря своим функциям защиты, электронные ключи составляют базу для развертывания самых различных систем безопасности (в том числе и на основе PKI — инфраструктуры открытых ключей) и обеспечивают максимальную масштабируемость и гибкость внедрения таких решений. В качестве примера можно рассмотреть такой востребованный, в том числе и российским бизнесом, сервис как организация мобильного доступа к корпоративным данным буквально из любой точки мира. Причем не только в том случае, если у пользователя есть возможность подключения USB-устройства, но и тогда, когда её нет.

Таким образом, токен может использоваться для решения целого ряда различных задач, связанных с шифрованием пользовательских данных, электронной цифровой подписью документов и аутентификацией самого пользователя. Одну и ту же смарт-карту сотрудник может использовать для входа в Windows, для защищенного обмена информацией с удаленным офисом (например, с помощью VPN), для работы с онлайновыми сервисами (технология SSL), для подписи документов (ЭЦП), для хранения закрытых ключей и сертификатов и т.д. Таким образом, чем крупнее компания, чем больше у нее филиалов, чем больше в ней используется современных IT-технологий, тем более оправданным становится применение системы аутентификации (особенно при удаленном доступе) на основе аппаратных электронных ключей.

Но при всех плюсах обратной стороной полифункциональности токенов является достаточно трудоёмкая администраторская составляющая. В  организации, парк компьютеров которой насчитывает хотя бы несколько сотен, используется несколько десятков приложений, различные базы данных, различные информационные ресурсы, требующие разного уровня доступа, и т.п. Понятно, что данные, которые может и должен просматривать финансовый директор, совершенно необязательно знать системному администратору и sales-менеджеру. Риск  ошибки администратора при «ручном» управлении несколькими сотнями токенов возрастает в несколько раз, что может привести к ровно противоположному результату: уровень безопасности снизится.

Автоматизация рутинных администраторских операций, на которые обычно тратится значительный процент времени, даёт возможность максимально снизить влияние человеческого фактора на безопасность информационных систем, одновременно освободив администраторские ресурсы. При этом руководству необходимо наличие технологических возможностей по формированию структурированной отчётности для получения моментального «среза» относительно прав доступа и полномочий пользователей в системе. Грамотное перераспределение административной нагрузки в том числе и на самих пользователей (с помощью службы Help Desk) также является весомым преимуществом централизованной системы управления.

Таким образом, желаемой прозрачности, безопасности системы доступа к информационным ресурсам  и корректно работающей технологической базы для основных бизнес-процессов компании можно достичь лишь при помощи автоматизации большинства процессов, связанных с администрированием средств аутентификации, используемых в компании. Именно для этих целей был разработан класс решений под общим названием TMS — Token Management System.

«Няня» для токенов

TMS — это система, предназначенная для внедрения, управления, использования и учета аппаратных средств аутентификации пользователей (USB-ключей и смарт-карт) в масштабах предприятия. С момента инициализации токена и до его отзыва, то есть на протяжении всего времени функционирования в инфраструктуре компании, основным инструментом для управления токеном является TMS. Таким образом, TMS — это важнейшее связующее звено между пользователями, средствами аутентификации, приложениями информационной безопасности и политикой безопасности (организационными правилами и регламентами), в соответствии с которыми пользователю назначаются те или иные права. К базовым функциям TMS относятся: ввод в эксплуатацию токена (смарт-карты, USB-ключа, комбинированного USB-ключа или генератора одноразовых паролей), персонализация токена сотрудником, добавление возможности доступа к новым приложениям, а так же его отзыв, замена  или временная выдача новой карты, разблокирование PIN-кода, обслуживание вышедшей из строя смарт-карты и отзыв её.

При этом поддержка средств аутентификации не зависит от типа самого устройства: TMS является универсальной средой и для смарт-карт и для стандартных USB-ключей и для комбинированных устройств — для ключей совмещенных с генератором одноразовых паролей или имеющих дополнительный независимый модуль flash-памяти. Это важное преимущество, поскольку даже в рамках одной организации (не говоря о разветвлённой филиальной сети) могут использоваться самые разные токены.

Полифункциональность систем управления жизненным циклом средств аутентификации (TMS)

Полифункциональность систем управления жизненным циклом средств аутентификации (TMS)

Источник: Аладдин, 2007

На практике были прецеденты, когда компания-заказчик — розничная торговая сеть — приобретала смарт-карты для сотрудников складских помещений, стандартные USB-токены для основной части сотрудников офиса и комбинированные ключи с генераторами одноразовых паролей для сотрудников, регулярно отправляющихся в командировки, где необходим безопасный мобильный доступ к информационным ресурсам главного офиса.

Итак, основной задачей TMS является полномасштабное централизованное управление жизненным циклом смарт-карт, USB-ключей и используемых с ними приложений безопасности. При этом TMS, как единая целостная система управления, обеспечивает строгое соответствие современным требованиям и в то же время упрощает процесс развертывания, эксплуатации и обслуживания всех типов токенов и смарт-карт.

Синергетический эффект использования TMS заключается в сочетании технологической и экономической составляющих. Уменьшение затрат на сопровождение системы защиты достигается благодаря автоматизации большинства типовых операций с токенами и, соответственно, снижении времени, которое они отнимают у квалифицированного персонала. Благодаря TMS, администратор имеет возможность максимально быстро назначать пользователям смарт-карты и USB-ключи, записывать в их память сертификаты открытого ключа и закрытые ключи, обновлять, отзывать сертификаты, разблокировать устройства, управлять полномочиями пользователей и др.

Технологический эффект заключается в значительном повышении уровня информационной безопасности и управляемости системы защиты компании. Внедрение TMS позволяет руководству осуществлять полный административный контроль над использованием средств аутентификации и доступа к внутренним информационным ресурсам. Новые поколения TMS, в частности недавно анонсированная система eToken TMS 2.0 (фактически единственная, на текущий момент, на российском рынке система, обладающая максимально полным набором функций для USB-ключей), оснащена полным набором средств аудита, а также гибкой системой отчетов со встроенными шаблонами и поддержкой внешних программных средств (Microsoft CA — для приложений, использующих PKI-технологии, включая VPN и SSL, P12 Importing Tool, Check Point Internal CA, eToken Flash Partition Application и др.). Таким образом, она позволяет существенно упростить эксплуатацию корпоративной ИС, как для конечных пользователей, так и для администраторов.

Вопросы выбора — серьёзные вопросы

Определившись с технологической платформой обеспечения безопасного доступа к ресурсам корпоративной информационной системы на основе токенов, важно не ошибиться с выбором среды управления этими средствами на протяжении всего их жизненного цикла. Попробуем консолидировать основные критерии к системам класса TMS.

Во-первых, это открытая архитектура и соответствие современным стандартам, которые обеспечат совместимость средств аутентификации со всем многообразием  приложений в области информационной безопасности и других дополнительных решений.

Во-вторых, интеграция с MS Active Directory и с PKI-приложениями. Наиболее широко распространенная служба каталогов MS AD сама по себе является достаточно надёжной с т.зр. безопасности и функциональной с т.зр. управления данными пользователей. В частности, она поддерживает автоматическую репликацию между сайтами и позволяет импортировать пользователей из других систем. В противном случае администратору придётся «вручную» поддерживать несколько баз пользователей параллельно, что увеличивает не только нагрузку, но и риск возникновения неприятных инцидентов.

В-третьих, полифункциональность и удобство системы для администратора и пользователей. Современная TMS должна предоставлять полный спектр всех инструментов для работы с токенами. В TMS должны быть реализованы средства самообслуживания пользователей, чтобы последние могли легко и быстро выполнять часть функций по управлению своими личными токенами, например, сменить PIN-код, разблокировать устройство (если это согласуется с политикой безопасности компании) и т.п. Такой подход позволяет разгрузить администраторов, сэкономив их рабочее время.

Администратор же со своей консоли должен иметь возможность централизованно управлять жизненным циклом идентификаторов (осуществлять первоначальный ввод в эксплуатацию, персонализацию, смену и разблокировку PIN-кодов и т.д.), работать с учетными записями пользователя, работать с защищенной памятью устройств (загружать и выгружать сертификаты, закрытые ключи и т.д.), управлять полномочиями людей и т.п. При этом, если в компании объединены системы управления физическим и логическим доступом — ТМS должна поддерживать работу с обеими, при этом оставаясь комфортной и для администратора, и  для пользователя.

Информация обо всех действиях, совершаемых сотрудниками с использованием токена, должна должным образом «журналироваться» и учитываться, составляя единую и наглядную базу данных по активности в сети. Поэтому четвертым критерием является наличие механизма аудита и мониторинга. Выбранная система TMS должна «уметь» формировать отчёты об активности пользователей в системе, после подключения токена т.е. получения определенных прав.

Не менее важны возможности масштабируемости и модульная структура. Информационная система любой компании постоянно развивается и наращивается, для чего необходимо иметь возможность быстрой интеграции решений сторонних разработчиков в существующую систему — т.е. возможность "подключения" к системе управления токенами новые приложения, требуемые компании на данном этапе. Таким образом, TMS должна удовлетворять не только текущим, но и будущим потребностям компании в обеспечении информационной безопасности своих рубежей, а значит, она должна быть гибкой и иметь возможности для дальнейшего развития. В противном случае компания рискует однажды оказаться в ситуации, когда система управления сможет выполнять только часть своих функций. Остальные же системному администратору или администратору безопасности придется осуществлять вручную.

Наилучшим вариантом для обеспечения совместимости TMS с различными внешними приложениями является использование специальных программных компонентов. Они позволяют легко дополнять TMS путем приобретения модулей, которые потребуются компании в перспективе. В идеале компания-разработчик системы TMS должна также предоставить клиенту специальный комплект разработчика, дабы заказчик смог самостоятельно «написать» необходимый ему программный код для интеграции какого-либо приложения с системой TMS.

В ответ на растущий интерес к новейшим разработкам в области строгой аутентификации, разработчики стремятся предложить наиболее целостные и многофункциональные решения, которые позволяют решать не только существующие, но и будущие потребности. Организации, правильно оценивающие возможности строгой аутентификации, безусловно, должны с максимальной ответственностью подойти к выбору решения, от которого зависит безопасность конфиденциальной корпоративной информации, а значит стабильность их бизнеса.

Системы управления токенами и смарт-картами позволяют автоматизировать различные административные процессы, снижая, таким образом, нагрузку на отдел технической поддержки и риск потенциальных ошибок и сбоев. Удобство в управлении достигается также с помощью особого функционала, не требующего участия администратора. Одним словом, оценивая то или иное решение для аутентификации, следует обязательно принимать в расчет объем административных функций, которыми оно обладает.

При выборе TMS также важно соблюсти соотношение необходимых технологических возможностей и, собственно, выделяемого бюджета. Если вы рассчитываете, что система информационной безопасности будет являться долгосрочным вложением капитала, следует учитывать, собственно, ее стоимость, периодические издержки, расходы на замену токенов и расходы на масштабирование в будущем. При правильном выборе внедрение TMS позволяет снизить совокупную стоимость владения информационной системой (ТСО) и увеличить возврат на инвестиции (ROI).

Ника Комарова, Антон Крячков

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS