Карманные устройства защиты сетей
Сотрудники многих компаний, особенно финансовых организаций и других учреждений с высокими требованиями к информационной безопасности, используют многофакторную аутентификацию. Для доступа к ресурсам компании пользователям требуется, по крайней мере, два элемента — какой-нибудь предмет, например USB-ключ или смарт-карта, и знание определенной информации, например PIN-кода. Если при двухфакторной аутентификации учетные данные пользователя сохраняются в ключе, смарт-карте или в программе на клиентском компьютере, то сотрудники получают удобный доступ к ресурсам предприятия (например, электронной почте, данным и устройствам компании, Web-узлам, требующим регистрации), а специалистам службы поддержки приходится реже восстанавливать забытые пароли.
Предположим, что сотрудник, которому каждый день приходится обращаться ко многим Web-узлам, регистрируется в приложении, принадлежащем компании, и обращается к данным предприятия, хранящимся в различных формах. Или многочисленным сотрудникам предприятия розничной торговли необходим доступ к конфиденциальным сведениям о транзакциях и потребителях в течение всего дня. Таким пользователям удобно подключить USB-ключ или вставить смарт-карты в устройство считывания, чтобы избавиться от хлопот с забытыми паролями.
В таблице приведены решения двухфакторной аутентификации на основе запоминающих устройств USB, смарт-карт и отпечатков пальцев от шести поставщиков. Физические конструкции устройств двухфакторной аутентификации различаются, но всем им свойственны малые размеры и портативность. Рассмотрим имеющиеся виды устройств, требования к применению различных решений и особенности управления устройствами и учетными данными пользователей.
USB-ключи, смарт-карты, устройства чтения биометрических параметров и PIN-генераторы
USB-ключи и смарт-карты используются для хранения такой информации, как пароли и цифровые сертификаты, а в биометрических устройствах чтения хранятся данные, например, об отпечатке пальца. PIN-генератор просто генерирует разовый пропуск. Для доступа к ресурсам компании с использованием двухфакторной аутентификации обычно требуется подключить USB-ключ к USB-порту, вставить смарт-карту в устройство чтения, дотронуться пальцем до датчика и ввести PIN-код или пароль в ответ на запрос системы.
Для выбора оптимальной конструкции необходимо учесть особенности профессиональной деятельности пользователей. Если сотрудники проводят много времени в командировках и нуждаются в удаленном доступе к корпоративным ресурсам со своих ноутбуков, то лучшим решением может быть USB-ключ или PIN-генератор, так как для них не требуется устройство чтения. PIN-генераторы не могут хранить учетные данные и при необходимости автоматически выдавать их, но не зависят от особенностей конкретных компьютеров и информационных систем и обеспечивают регистрацию из общественных мест, например из кафе. Если пользователи всегда обращаются к ресурсам с рабочих станций (локальных или удаленных), то можно задействовать смарт-карты или проверять отпечатки пальцев; соответствующие устройства чтения несложно купить и встроить в компьютер.
Проблемы развертывания
Для успешного функционирования ключей необходимо учесть несколько обстоятельств: развертывание клиентских программ, установку одного или нескольких серверов для управления учетными данными пользователей и процедур аутентификации, а также инициализацию и раздачу ключей.
Клиентское программное обеспечение. Для большинства решений двухфакторной аутентификации необходимо, чтобы клиентские программы (или драйверы) были установлены на каждой рабочей станции. Программа хранит пользовательскую информацию, инициализирует ключи и проверяет личность удаленных пользователей. Серверные и клиентские программы управления могут считывать пользовательскую информацию из контроллера домена (DC) в процессе установки, избавляя сотрудников от необходимости вводить данные вручную. Полезно выяснить, построены ли управляющие программы на основе открытых стандартов (например, X.509, LDAP, ODBC, Remote Authentication Dial-In User Service — RADIUS) или фирменных стандартов поставщиков, что может привести в проблеме взаимной совместимости.
Серверы аутентификации. В зависимости от числа пользователей и предпочтительного способа доступа к ресурсам компании (локально или удаленно) иногда приходится покупать сервер для управления аутентификацией и ключами. Программы управления аутентификацией и ключами проверяют подлинность пользователей при регистрации в сети, доступе в Web и к VPN-соединениям; обслуживают ключи и управляют учетными данными пользователей. Полезно также установить второй сервер на случай отказа основного компьютера.
Инициализация устройств. Большинство ключей должны быть инициализированы на месте эксплуатации или поставщиком. В зависимости от политики безопасности предприятия можно выбрать решение, которое позволит не допускать посторонних лиц к сведениям об инициализации.
Комплексное управление аутентификацией
Учитывая имеющиеся конструктивные варианты, возможные аппаратные и программные требования и меры, необходимые для развертывания решения, нужно выяснить, насколько удачно двухфакторная аутентификация вписывается в архитектуру или политику безопасности и пригодна ли она для ресурсов компании. Решение должно масштабироваться для обслуживания дополнительных пользователей и потребителей. Важно убедиться, что в решении предусмотрен удобный способ управления учетными данными пользователей, выдачи, инициализации, замены и изъятия ключей, а также уточнить, используются ли существующие учетные данные и ключи (если предприятие переходит на новую технологию или выбранное решение отличается от применяемого в настоящее время).
При использовании двухфакторной аутентификации в инфраструктуре предприятия появляется несколько новых компонентов. В частности, требуется управлять гарантиями поставщика и батареями ключей, программными лицензиями и подписками, устройствами чтения отпечатков пальцев и смарт-карт, заменой батарей в ключах.
Еще одна проблема — обучение пользователей и сотрудников службы поддержки. Необходимо убедиться, что документация поставщика содержит полную информацию и будет понятна пользователям. Следует выяснить, как поставщик поможет обучить пользователей, ИТ-специалистов и техников службы поддержки приемам развертывания и эксплуатации решения и будет содействовать решению проблемы забытых PIN-кодов, потерянных или несинхронизированных ключей и блокированных учетных записей.
Другие способы двухфакторной аутентификации
В данной статье рассматриваются способы двухфакторной аутентификации с использованием устройств USB-памяти, смарт-карт и отпечатков пальцев, но на Web-узлах компаний, перечисленных в таблице, приведена информация о других конструктивных решениях, которые больше подойдут для конкретного предприятия. Например, компания Entrust предлагает карты, содержащие вводимый пользователем код аутентификации, в сочетании с проверкой знаний, и доступ предоставляется только лицам, которым известен «общий секрет».
Сюзан Тиббеттс - Заместитель редактора Windows IT Pro и SQL Server Magazine. Автор статей по компьютерной тематике с 15-летним стажем stibbetts@windowsitpro.com