Безопасная аутентификация в гибридной среде

Владимир Боянжи Директор по развитию бизнеса vboianji@isspgroup.com

Построение безопасной аутентификации к сервисам приватных и публичных облаков на базе решений Gemalto – ключевого компонента безопасной инфраструктуры Microsoft

ISSP - Information Systems Security Partners – специализированная компания по обеспечению безопасности информационных систем на основе технологий и комплексных аппаратных и программных решений

ЗАЩИТА СЕТИ И ПЕРИМЕТРА - Шлюзы сетевой безопасности - Предотвращение вторжений - Фильтрация web & email - Мониторинг и управление - Защита беспроводных сетей

ЗАЩИТА РАБОЧИХ СТАНЦИЙ - Комплексная защита - Защита мобильных устройств - Защита виртуальных сред - Антивирусы и антишпионы - Контроль протоколов портов и приложений

ЗАЩИТА ПРИЛОЖЕНИЙ - Защита веб-приложений - Защита серверов баз данных - Управление уязвимостями - Управление приложениями

ЗАЩИТА ДАННЫХ И ДОКУМЕНТОВ - Предотвращение утечек информации - Шифрование и цифровая подпись - Защита мобильных данных - Защита документов - Архивация и резервирование

КОНТРОЛЬ ДОСТУПА - Мультифакторная аутентификация - Удаленный доступ - Управление ролями и учетными данными - Инфраструктура открытых ключей

УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ - Управление событиями и инцидентами - Мониторинг и управление политиками - Управление рисками и соответствием - Управление изменения

Идентификация в «реальном мире»

- Личная подпись - Документ с фото - Биометрия - Друзья или коллеги

Проблема идентификации в «Цифровом» мире

«Мы» - это запись в БД - Простые пароли - Секретные ключи

хранятся в открытом виде

Цифровой идентификатор можно украсть и предъявить “за нас”

Способы решения проблем аутентификации

- Алгоритмы аутентификации

2-х или 3-х факторная аутентификация (OTP, биометрия) - Шифрование

пользовательских данных

Хранение секретных ключей на безопасных носителях (смарт-карты или токены)

Проблемы при «решении проблем аутентификации»

- Необходима инсталляция драйверов поддержки смарт-карт

- Разные технологии – разные серверы аутентификации

- А если нужно и OTP и PKI

Мировой лидер в информационной

безопасности #1

Оборот компании за 2013 год составил

более 2.4 миллиарда

Euro

Инженеров, участвующих в разработках

Более 2000

Исследовательских центров и центров

разработки ПО 25

Новых патентов в за 2013

Более 110

Поставщики услуг, должны быть уверены, что идентификация конечных пользователей действительна и верно управляется

Платформы и услуги Gemalto постоянно контролирует и управляет этими устройствами через сотни сетей, проверяя идентификационные данные и управляя транзакциями

Услуги финансовым и розничным институтам Безопасный путь осуществления платежей Услуги правительству Перевод общественных услуг в электронный (цифровой) формат Идентификация и доступ В любом месте и времени - Безопасная доступность данных Автоматизация Интеллектуализация устройств и средств Услуги в Мобильной связи

Клиентами являются более 80 программ электронного правительства

Клиентами являются более 3000 финансовых институтов по всему миру

Около 80% смартфонов используемых в работе сотрудниками являются их собственностью

К 2017 году будет насчитываться более 4,5 миллиардов машин подключенных в единую сеть

Клиентами являются более 450 операторов связи

Решениями Gemalto пользуются

более 2

миллиардов человек

Встроенное программное обеспечение и продукты Gemalto встраивает программное обеспечение, осуществляющее функцию безопасности данных в такие продукты как СИМ карты, Банковские карты, Электронные паспорта и идентификационные (ID) карточки граждан

Конечные пользователи должны обладать безопасной идентификацией при пользовании различными цифровыми услугами

Миллиарды устройств Gemalto используются ежедневно

Сервис Over-the-air (OTA)

Онлайн аутентификация

Приложения и решения на базе NFC

Чиповые и бесконтактные

платежные карты Сервисы мобильной

подписи

Двухфакторная аутентификация

Услуги по персонализации, управлению безопасностью и данными

Электронные удостоверения

Решения для государственных

программ

Генераторы крипто-паролей

Объем поставок Gemalto в 2012 году составил ~ 2 миллиарда устройств !!!

Квадрат Strong Authentication

Кого и Что мы защищаем?

• Аутентификация для обеспечения безопасности профилей пользователей подверженных угрозам

Привилегированные пользователи

• Защита конфиденциальных данных без ущерба в удобстве пользования

• Безопасное использование устройств на различных платформах

Удаленные пользователи/ Пользователи мобильных устройств • Обеспечение безопасного

соединения • Обеспечение

мобильности при строгой аутентификации

• Возможность применять устройства как аутентификаторы (Mobile OTP)

BYOD/ Подрядчики

• Предоставление временного безопасного доступа для подрядных пользователей

• Использование BYOD в организации без ущерба безопасности

Экосистема Gemalto Strong Authentication

Бесшовная интеграция с Microsoft

• Драйверы смарт-карт Gemalto интегрированы в Microsoft Windows (начиная с XP SP2)

• Для PKI на основе Gemalto достаточно Microsoft CA

• Gemalto поддерживает Microsoft Direct Access

• Поддержка BitLocker

• Решения для инфраструктуры Microsoft:

http://www.gemalto.com/identity/solutions/microsoft.html

• Windows XP, Vista, 7, 8 • Windows Server 2003, 2008,

2012 • Intune • Microsoft Office • Office 365 • Azure • EFS / Bitlocker • SharePoint • Exchange • ISA • IAG / UAG / TMG • AD, CA, DA • ADFS

Криптография по стандарту ГОСТ

Возможности: • генерация ключей для использования в

криптографических алгоритмах по стандартам ГОСТ 28147-89, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 в микроконтроллере;

• шифрование/расшифрование данных по ГОСТ 28147-89; • контроль целостности данных посредством вычисления

имитовставки по стандарту ГОСТ 28147-89; • вычисление значения хэш-функции по стандарту ГОСТ Р

34.11-94, ГОСТ Р 34.11-2012; • формирование и проверка электронной подписи по

стандартам ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012; • вычисление ключа согласования Диффи Хеллмана (RFC

4357); • полная интеграция с КриптоПро УЦ; • безопасное хранение и использование ключей внутри

микроконтроллера без возможности извлечения

Применение: Электронной подпись и средство криптографической защиты информации в российских системах PKI использующих электронную подпись, шифрование и аутентификацию, например: • информационные системы органов государственной

власти и местного самоуправления; • системы защищенного юридически значимого

электронного документооборота; • системы клиент-банк; • электронные торговые площадки; • системы сдачи отчетности в электронном виде в

исполнительные органы государственной власти; • информационные системы предоставления

государственных услуг физическим лицам.

• Сертификация • В настоящее время КриптоПро CSP 4.0 ФКН (Gemalto)

находится в процессе сертификации по требованиям ФСБ России.

КриптоПро CSP 4.0 ФКН (Gemalto) Совместное решение КРИПТО-ПРО и Gemalto, представляющее собой программно-аппаратное средство криптографической защиты информации и электронной подписи. Форм-фактор: • Стандартная смарт-карт Gemalto IDCore 30 • USB-токен Gemalto IDBridge K30 со смарт-картой формата SIM

Безопасная инфраструктура Microsoft

Один из примеров интеграции – OTP Ваше мобильное устройство – как средство защиты

Идентификация и доступ

• Market Trends На сегодня пароль не является эффективным средством защиты

BYOD - это возможность обеспечить более усовершенствованную защиту, используя устройство для процедуры строгой аутентификации

Руководители используют в работе свои собственные устройства (BYOD), обладая доступом к конфиденциальной информации

IDProve 300 Mobile - Регистрация

1. Администратор инициирует процесс регистрации IDProve 300 Mobile OTP

1. User Self Service: Пользователь создает запрос на регистрацию

на User Portal

2. Пользователь получает письмо с информацией о

регистрации

2. QRCode отображается на

экране смартфона для активации

IDProve 300 Mobile - Активация

2. User Scan QRCode

3. User choose the PIN (if required)

4. Mobile token activated

1. User Accept EULA

Аутентификация в одно касание

2. Пользователь вводит PIN 3. Пользователь нажимает “Send

Passcode”

1. Пользователь вводит User ID и Password

Сервис ожидает OOB OTP для предоставления доступа

This image cannot currently be displayed.

4. Отсылка OTP 5. OTP отослана, доступ предоставлен

This image cannot currently be displayed.This image cannot currently be displayed.This image cannot currently be displayed.

Управление несколькими учетными записями

- Каждый аккаунт запускает генерацию OTP, базируясь на уникальном ключе аккаунта

- Изменение PIN - Добавление/удаление

и переименование аккаунта

Демонстрация

Гибридная облачная среда Партнерский портал Gemalto:

https://www.esp.gemalto.com OWA портал компании ISSP

https://mail.isspgroup.com/owa Office 365 компании ISSP https://portal.office.com

Complete Corporate Identity Solution

Потребности заказчика • Единое решение для визуального, физического и логического доступа • Бесшовная интеграция с инфраструктурой Microsoft и предоставление бейдж-

сервиса для отдельных сотрудников. Предоставленное решение

• Комплексное глобальное решение идентификации. В тесном сотрудничестве с Microsoft достигнута интеграция с продуктами Forefront Identity manager (FIM), дополнительно включающая и OTP аутентификацию начиная с Windows 7 и выше.

• Предоставлен бейдж-сервиса для всех сотрудников Microsoft

Успех решения • Разработано более 100 тыс корпоративных идентификационных бейджей для

сотрудников Microsoft по всему миру. И на текущий момент Gemalo занимает первое место в номинации “Identity provider”

Замена RSA решения в Amazon Corp

Проблема После того как RSA SecureID продукты были скомпрометированы и стали достоянием общественности, Amazon принял решение, после многих лет использования RSA, найти более гибкое перспективное решение, которое помогло бы им своевременно развиваться с изменениями потребностей в безопасности.

Основные причины перехода: • Высокая стоимость владения RSA

(TCO ) • Забота о безопасности самого

решения • Требовалось решение, которое

поддерживало бы PKI (шифрование email и электронная подпись)

Требование бизнеса (Pain Points)

• Защита бренда • OTP решение для VPN доступа • Решение для растущего кол-ва

BYOD устройств

Конкуренция • ActivIdentity • RSA • SafeNet • Vasco

Описание: Headquarters: Seattle, WA USA Revenue 2012: $61.09B Geographical focus/reach: Global Website: amazon.com Number of employees: 88,400 Noteworthy customers: eCommerce, general public Industry: Catalog & Mail Order Houses Профиль решения: Кол-во пользователей с RSA решением: 22,000 Кол-во пользователей с Gemalto решением : > 60,000 Внедрение: Концепция решения Gemalto приводит к полному внедрению OTP Реализация : 6 Месяцев

Почему Gemalto? • Единое решение при низком

показателе TCO • Универсальность форм-факторов • Готовый путь миграции на PKI

(Перспективность решения) • Существующий успех

сотрудничества с AWS (Amazon Web Service)

Что было внедрено? Полное OTP аутентификационное решение для 60 тыс пользователей на базе:

• IDProve 100 tokens • IDConfirm 1000 (authN server)

Требования интеграции: • OATH (Open Standards) • Active Directory • Cisco VPN

Миграция к смешанному форм-фактору авторизации: корп. бейжд и мобильное приложение

Multi-Function Identity Solution

Потребности заказчика • Совмещение в решении нескольких функций безопасности в одном

идентификационном продукте – “One Card” Project • Добавление в единое решение и функции бесконтактной оплаты внутри организации

Предоставленное решение

• Внедрено решение позволяющее осуществлять физический доступ сотрудников в здания и логический в сеть организации в виде “One Card”

• Внедрено приложение позволяющее сотрудникам использовать смарт-карту для осуществления оплаты услуг автоматов самообслуживания и столовой

Успех решения

• Более 6 тыс смарт-карт “One Cards” было предоставлено сотрудникам в первые 6 месяцев проекта при условии соглашения на дальнейшее развитие проекта для всех сотрудников компании (24 тыс)

Ваш выбор?

125190, г. Москва, ул. Усиевича,, д.20, к.1 Тел. +7 (495) 771-61-30

Email: ru@isspgroup.com Web: www.isspgroup.com