gemalto ключевой компонент безопасной инфраструктуры...
TRANSCRIPT
Безопасная аутентификация в гибридной среде
Владимир Боянжи Директор по развитию бизнеса [email protected]
Построение безопасной аутентификации к сервисам приватных и публичных облаков на базе решений Gemalto – ключевого компонента безопасной инфраструктуры Microsoft
ISSP - Information Systems Security Partners – специализированная компания по обеспечению безопасности информационных систем на основе технологий и комплексных аппаратных и программных решений
ЗАЩИТА СЕТИ И ПЕРИМЕТРА - Шлюзы сетевой безопасности - Предотвращение вторжений - Фильтрация web & email - Мониторинг и управление - Защита беспроводных сетей
ЗАЩИТА РАБОЧИХ СТАНЦИЙ - Комплексная защита - Защита мобильных устройств - Защита виртуальных сред - Антивирусы и антишпионы - Контроль протоколов портов и приложений
ЗАЩИТА ПРИЛОЖЕНИЙ - Защита веб-приложений - Защита серверов баз данных - Управление уязвимостями - Управление приложениями
ЗАЩИТА ДАННЫХ И ДОКУМЕНТОВ - Предотвращение утечек информации - Шифрование и цифровая подпись - Защита мобильных данных - Защита документов - Архивация и резервирование
КОНТРОЛЬ ДОСТУПА - Мультифакторная аутентификация - Удаленный доступ - Управление ролями и учетными данными - Инфраструктура открытых ключей
УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ - Управление событиями и инцидентами - Мониторинг и управление политиками - Управление рисками и соответствием - Управление изменения
Идентификация в «реальном мире»
- Личная подпись - Документ с фото - Биометрия - Друзья или коллеги
Проблема идентификации в «Цифровом» мире
«Мы» - это запись в БД - Простые пароли - Секретные ключи
хранятся в открытом виде
Цифровой идентификатор можно украсть и предъявить “за нас”
Способы решения проблем аутентификации
- Алгоритмы аутентификации
2-х или 3-х факторная аутентификация (OTP, биометрия) - Шифрование
пользовательских данных
Хранение секретных ключей на безопасных носителях (смарт-карты или токены)
Проблемы при «решении проблем аутентификации»
- Необходима инсталляция драйверов поддержки смарт-карт
- Разные технологии – разные серверы аутентификации
- А если нужно и OTP и PKI
Мировой лидер в информационной
безопасности #1
Оборот компании за 2013 год составил
более 2.4 миллиарда
Euro
Инженеров, участвующих в разработках
Более 2000
Исследовательских центров и центров
разработки ПО 25
Новых патентов в за 2013
Более 110
Поставщики услуг, должны быть уверены, что идентификация конечных пользователей действительна и верно управляется
Платформы и услуги Gemalto постоянно контролирует и управляет этими устройствами через сотни сетей, проверяя идентификационные данные и управляя транзакциями
Услуги финансовым и розничным институтам Безопасный путь осуществления платежей Услуги правительству Перевод общественных услуг в электронный (цифровой) формат Идентификация и доступ В любом месте и времени - Безопасная доступность данных Автоматизация Интеллектуализация устройств и средств Услуги в Мобильной связи
Клиентами являются более 80 программ электронного правительства
Клиентами являются более 3000 финансовых институтов по всему миру
Около 80% смартфонов используемых в работе сотрудниками являются их собственностью
К 2017 году будет насчитываться более 4,5 миллиардов машин подключенных в единую сеть
Клиентами являются более 450 операторов связи
Решениями Gemalto пользуются
более 2
миллиардов человек
Встроенное программное обеспечение и продукты Gemalto встраивает программное обеспечение, осуществляющее функцию безопасности данных в такие продукты как СИМ карты, Банковские карты, Электронные паспорта и идентификационные (ID) карточки граждан
Конечные пользователи должны обладать безопасной идентификацией при пользовании различными цифровыми услугами
Миллиарды устройств Gemalto используются ежедневно
Сервис Over-the-air (OTA)
Онлайн аутентификация
Приложения и решения на базе NFC
Чиповые и бесконтактные
платежные карты Сервисы мобильной
подписи
Двухфакторная аутентификация
Услуги по персонализации, управлению безопасностью и данными
Электронные удостоверения
Решения для государственных
программ
Генераторы крипто-паролей
Объем поставок Gemalto в 2012 году составил ~ 2 миллиарда устройств !!!
Квадрат Strong Authentication
Кого и Что мы защищаем?
• Аутентификация для обеспечения безопасности профилей пользователей подверженных угрозам
Привилегированные пользователи
• Защита конфиденциальных данных без ущерба в удобстве пользования
• Безопасное использование устройств на различных платформах
Удаленные пользователи/ Пользователи мобильных устройств • Обеспечение безопасного
соединения • Обеспечение
мобильности при строгой аутентификации
• Возможность применять устройства как аутентификаторы (Mobile OTP)
BYOD/ Подрядчики
• Предоставление временного безопасного доступа для подрядных пользователей
• Использование BYOD в организации без ущерба безопасности
Экосистема Gemalto Strong Authentication
Бесшовная интеграция с Microsoft
• Драйверы смарт-карт Gemalto интегрированы в Microsoft Windows (начиная с XP SP2)
• Для PKI на основе Gemalto достаточно Microsoft CA
• Gemalto поддерживает Microsoft Direct Access
• Поддержка BitLocker
• Решения для инфраструктуры Microsoft:
http://www.gemalto.com/identity/solutions/microsoft.html
• Windows XP, Vista, 7, 8 • Windows Server 2003, 2008,
2012 • Intune • Microsoft Office • Office 365 • Azure • EFS / Bitlocker • SharePoint • Exchange • ISA • IAG / UAG / TMG • AD, CA, DA • ADFS
Криптография по стандарту ГОСТ
Возможности: • генерация ключей для использования в
криптографических алгоритмах по стандартам ГОСТ 28147-89, ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012 в микроконтроллере;
• шифрование/расшифрование данных по ГОСТ 28147-89; • контроль целостности данных посредством вычисления
имитовставки по стандарту ГОСТ 28147-89; • вычисление значения хэш-функции по стандарту ГОСТ Р
34.11-94, ГОСТ Р 34.11-2012; • формирование и проверка электронной подписи по
стандартам ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012; • вычисление ключа согласования Диффи Хеллмана (RFC
4357); • полная интеграция с КриптоПро УЦ; • безопасное хранение и использование ключей внутри
микроконтроллера без возможности извлечения
Применение: Электронной подпись и средство криптографической защиты информации в российских системах PKI использующих электронную подпись, шифрование и аутентификацию, например: • информационные системы органов государственной
власти и местного самоуправления; • системы защищенного юридически значимого
электронного документооборота; • системы клиент-банк; • электронные торговые площадки; • системы сдачи отчетности в электронном виде в
исполнительные органы государственной власти; • информационные системы предоставления
государственных услуг физическим лицам.
• Сертификация • В настоящее время КриптоПро CSP 4.0 ФКН (Gemalto)
находится в процессе сертификации по требованиям ФСБ России.
КриптоПро CSP 4.0 ФКН (Gemalto) Совместное решение КРИПТО-ПРО и Gemalto, представляющее собой программно-аппаратное средство криптографической защиты информации и электронной подписи. Форм-фактор: • Стандартная смарт-карт Gemalto IDCore 30 • USB-токен Gemalto IDBridge K30 со смарт-картой формата SIM
Безопасная инфраструктура Microsoft
Один из примеров интеграции – OTP Ваше мобильное устройство – как средство защиты
Идентификация и доступ
• Market Trends На сегодня пароль не является эффективным средством защиты
BYOD - это возможность обеспечить более усовершенствованную защиту, используя устройство для процедуры строгой аутентификации
Руководители используют в работе свои собственные устройства (BYOD), обладая доступом к конфиденциальной информации
IDProve 300 Mobile - Регистрация
1. Администратор инициирует процесс регистрации IDProve 300 Mobile OTP
1. User Self Service: Пользователь создает запрос на регистрацию
на User Portal
2. Пользователь получает письмо с информацией о
регистрации
2. QRCode отображается на
экране смартфона для активации
IDProve 300 Mobile - Активация
2. User Scan QRCode
3. User choose the PIN (if required)
4. Mobile token activated
1. User Accept EULA
Аутентификация в одно касание
2. Пользователь вводит PIN 3. Пользователь нажимает “Send
Passcode”
1. Пользователь вводит User ID и Password
Сервис ожидает OOB OTP для предоставления доступа
This image cannot currently be displayed.
4. Отсылка OTP 5. OTP отослана, доступ предоставлен
This image cannot currently be displayed.This image cannot currently be displayed.This image cannot currently be displayed.
Управление несколькими учетными записями
- Каждый аккаунт запускает генерацию OTP, базируясь на уникальном ключе аккаунта
- Изменение PIN - Добавление/удаление
и переименование аккаунта
Демонстрация
Гибридная облачная среда Партнерский портал Gemalto:
https://www.esp.gemalto.com OWA портал компании ISSP
https://mail.isspgroup.com/owa Office 365 компании ISSP https://portal.office.com
Complete Corporate Identity Solution
Потребности заказчика • Единое решение для визуального, физического и логического доступа • Бесшовная интеграция с инфраструктурой Microsoft и предоставление бейдж-
сервиса для отдельных сотрудников. Предоставленное решение
• Комплексное глобальное решение идентификации. В тесном сотрудничестве с Microsoft достигнута интеграция с продуктами Forefront Identity manager (FIM), дополнительно включающая и OTP аутентификацию начиная с Windows 7 и выше.
• Предоставлен бейдж-сервиса для всех сотрудников Microsoft
Успех решения • Разработано более 100 тыс корпоративных идентификационных бейджей для
сотрудников Microsoft по всему миру. И на текущий момент Gemalo занимает первое место в номинации “Identity provider”
Замена RSA решения в Amazon Corp
Проблема После того как RSA SecureID продукты были скомпрометированы и стали достоянием общественности, Amazon принял решение, после многих лет использования RSA, найти более гибкое перспективное решение, которое помогло бы им своевременно развиваться с изменениями потребностей в безопасности.
Основные причины перехода: • Высокая стоимость владения RSA
(TCO ) • Забота о безопасности самого
решения • Требовалось решение, которое
поддерживало бы PKI (шифрование email и электронная подпись)
Требование бизнеса (Pain Points)
• Защита бренда • OTP решение для VPN доступа • Решение для растущего кол-ва
BYOD устройств
Конкуренция • ActivIdentity • RSA • SafeNet • Vasco
Описание: Headquarters: Seattle, WA USA Revenue 2012: $61.09B Geographical focus/reach: Global Website: amazon.com Number of employees: 88,400 Noteworthy customers: eCommerce, general public Industry: Catalog & Mail Order Houses Профиль решения: Кол-во пользователей с RSA решением: 22,000 Кол-во пользователей с Gemalto решением : > 60,000 Внедрение: Концепция решения Gemalto приводит к полному внедрению OTP Реализация : 6 Месяцев
Почему Gemalto? • Единое решение при низком
показателе TCO • Универсальность форм-факторов • Готовый путь миграции на PKI
(Перспективность решения) • Существующий успех
сотрудничества с AWS (Amazon Web Service)
Что было внедрено? Полное OTP аутентификационное решение для 60 тыс пользователей на базе:
• IDProve 100 tokens • IDConfirm 1000 (authN server)
Требования интеграции: • OATH (Open Standards) • Active Directory • Cisco VPN
Миграция к смешанному форм-фактору авторизации: корп. бейжд и мобильное приложение
Multi-Function Identity Solution
Потребности заказчика • Совмещение в решении нескольких функций безопасности в одном
идентификационном продукте – “One Card” Project • Добавление в единое решение и функции бесконтактной оплаты внутри организации
Предоставленное решение
• Внедрено решение позволяющее осуществлять физический доступ сотрудников в здания и логический в сеть организации в виде “One Card”
• Внедрено приложение позволяющее сотрудникам использовать смарт-карту для осуществления оплаты услуг автоматов самообслуживания и столовой
Успех решения
• Более 6 тыс смарт-карт “One Cards” было предоставлено сотрудникам в первые 6 месяцев проекта при условии соглашения на дальнейшее развитие проекта для всех сотрудников компании (24 тыс)
Ваш выбор?
125190, г. Москва, ул. Усиевича,, д.20, к.1 Тел. +7 (495) 771-61-30
Email: [email protected] Web: www.isspgroup.com