Журнал "Information Security/ Информационная безопасность" #2, 2023

Единый вход (SSO) Single Sign-On (SSO) – это метод аутен- тификации, который позволяет пользо- вателям получать доступ к нескольким приложениям и ресурсам, используя один набор учетных данных (например, из Active Directory). SSO значительно упро- щает процесс аутентификации, поскольку пользователь может войти в систему только один раз и получить доступ ко всем приложениям и ресурсам. Одним из главных преимуществ SSO является повышение удобства исполь- зования и уменьшение количества паро- лей, которые пользователь должен запомнить или сохранить в безопасно- сти. Кроме того, SSO также повышает безопасность, так как пользователь не должен вводить учетные данные для каждого приложения или ресурса, и, следовательно, риск ошибки или непра- вильного ввода пароля снижается. SSO также может помочь упростить управление учетными записями и пра- вами доступа. Администраторы могут легко управлять доступом пользователей ко всем приложениям и ресурсам, используя централизованную систему управления доступом. В целом SSO является удобным и без- опасным методом аутентификации, кото- рый упрощает процесс доступа к прило- жениям и ресурсам, повышает безопас- ность и упрощает управление учетными записями и правами доступа. Портал самообслуживания (SSP) Портал самообслуживания (Self-Ser- vice Portal, SSP) позволяет пользовате- лям самостоятельно управлять своими учетными записями, профилями и досту- пом к ресурсам. Он удобен для пользо- вателей, так как позволяет им выполнять ряд задач без необходимости обра- щаться к администратору системы, например: l позволяет пользователю самостоя- тельно настраивать и подтверждать вла- дение вторым фактором доступа, менять текущий или истекший пароль после полной аутентификации; l самостоятельный онбординг для поль- зователей; l самостоятельная конфигурация MFA; l решение проблем с доступом без уча- стия ИТ-поддержки. В апреле 2023 г. на портале само- обслуживания MULTIFACTOR добави- лась возможность самостоятельного вос- становления забытого пароля для поль- зователей Active Directory 2 , что снизит затраты на ИТ-поддержку пользователей заказчика. Ранее для замены утерянного или забытого пароля пользователь обра- щался в службу технической поддержки или к администратору системы органи- зации. Временный пароль часто является стандартным значением, который знают все сотрудники организации, либо может передаваться по незащищенным кана- лам связи. Теперь, при использовании в организации портала MULTIFACTOR, пользователь сможет самостоятельно сменить забытый пароль при условии прохождения предварительной аутен- тификации в мобильном приложении Multifactor. Из последних обновлений также было опубликовано обновление мобильного приложения Multifactor, в которое была добавлена поддержка OTP-кодов 3 в качестве метода подтверждения запро- сов доступа. Аудит-лог и уведомления Все транзакции аутентификации запи- сываются в журнал, доступный через личный кабинет администратора. Дан- ные в журнале незаменимы при рассле- довании инцидентов и форензике. В личном кабинете администратора Multifactor можно управлять пользовате- лями, группами пользователей, ресур- сами и объектами доступа, способами аутентификации. В MULTIFACTOR настраиваются груп- повые политики доступа по набору кри- териев: l способы аутентификации; l информационные ресурсы и объекты доступа; l IP-адрес или диапазон адресов; l время и дни недели. Инструменты разработчика: REST API Двухфакторная аутентификация MULTIFACTOR может быть интегриро- вана с проприетарными приложениями и серверной инфраструктурой, она поз- воляет: l проводить аутентификацию в системе MULTIFACTOR; l создавать запросы доступа на двух- факторную аутентификацию; l управлять пользователями: регистри- ровать, удалять пользователей, изменять их данные; l генерировать ссылки на интерфейс для самостоятельной регистрации вто- рого фактора пользователем; l отправлять ссылки для самостоятель- ной регистрации на e-mail пользователя. MULTIFACTOR: легко настроить Пользователи для себя могут само- стоятельно настроить аутентификацию при первом входе. Все работает в брау- зере без установки плагинов, драйверов и каких-либо сторонних приложений или в нативном клиенте используемого тол- стого клиента. Для подключения после регистрации в системе управления MULTIFACTOR необходимо проанализировать все про- цессы вашего приложения, которое тре- буется защитить от несанкционирован- ного доступа. Как минимум это вход (логин) и восстановление пароля. Хорошей мыслью будет добавить вто- рой фактор аутентификации для дей- ствий, требующих особого контроля и аудита, например выгрузки отчета по продажам со всеми контрагентами. После несложной интеграции с MULTIFACTOR обязательно протестируй- те работу приложения перед запуском. MULTIFACTOR готов для работы в таком окружении: l инфраструктура Linux: OpenVPN, Linux SSH, Linux SUDO; l инфраструктура Windows: Windows Logon, Windows VPN, Windows Remote, Desktop Gateway, OWA, ADFS; l межсетевые экраны: Cisco VPN, Check- Point VPN, Fortigate VPN, Huawei VPN, OpenVPN Access Server, pfSense OpenVPN, UserGate VPN, С-Терра VPN; l облака и системы виртуализации: VMware vCloud, VMware Horizon, VMware Horizon View, VMware vCenter, Citrix Gate- way, SberCloud, Yandex.Cloud, Nextcloud; l приложения: Zabbix, Ansible AWX, 1с-Bitrix24, Redmine; l Прочее: точки доступа Wi-Fi, СКДПУ АйТи-Бастион. Вычислительные мощности и сетевая инфраструктура, необходимые для рабо- ты системы, размещены в Москве в дата- центрах "Даталайн" и Selectel и сертифи- цированы по стандартам PCI DSS Level 1 и ISO/IEC 27001:2005. Для повышения доступности и защи- щенности MULTIFACTOR, а также защиты от возможных DDoS-атак все запросы, отправляемые в сторону критичных серви- сов системы, проходят очистку от вредо- носного трафика на оборудовании Ngenix. Заключение Система мультифакторной аутенти- фикации (MFA) является одним из ключевых элементов реализации кон- цепции иммунитета среды идентифи- кации и доступа (IAC). Российская система MULTIFACTOR позволяет повысить уровень безопас- ности при аутентификации пользовате- лей, используя несколько факторов под- тверждения личности, таких как пароль, биометрические данные и одноразовые коды. Это уменьшает вероятность несанкционированного доступа к систе- ме и защищает учетные записи пользо- вателей от кражи паролей или других методов атаки. l • 27 Безопасный удаленный доступ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ООО "МУЛЬТИФАКТОР" см. стр. 52 NM Реклама 2 https://multifactor.ru/news/kompaniya-multifactor-opublikovala- funkcional-samostoyatelnogo-vosstanovleniya-zabytyh-parolej 3 https://multifactor.ru/news/v-mobilnom-prilozhenii-multifactor-poy- avilas-podderzhka-otp-kodov-dlya-podtverzhdeniya-zaprosov-dostupa