О программном комплексе Secure Authentication Server

Компания MFASOFT является российской компанией-разработчиком средств защиты информации по направлению двухфакторной аутентификации. Основу компании составляют сотрудники, которые ранее более 10 лет занимались направлением двухфакторной аутентификации вместе с компанией Thales — лидером по направлению двухфакторной аутентификации в части как контактных, так и бесконтактных аутентификаторов. Она хорошо известна на мировом рынке.

На сегодняшний день у нас уже есть решение, которое входит в реестр отечественного ПО, проходит процедуру сертификации. И уже многие заказчики смотрят на этот продукт как на основное решение по двухфакторной аутентификации. Решение адаптировано как для локальной инсталляции, так и для сервис-провайдеров. Поэтому все те, кто заинтересован в решении по двухфакторной аутентификации, могут найти оптимальный вариант развертывания продукта в своей инфраструктуре.

Толчком для создания данного продукта послужил опыт, приобретённый в работе с иностранными вендорами. Мы видим, что необходимо российскому рынку, что требуется для прохождения процедуры сертификации, соответствия требованиям регулятора и, вообще, что требуется для российского пользователя.

Двухфакторная аутентификация на российском рынке сейчас делится на два направления: контактные и бесконтактные аутентификаторы. Мы считаем, что направление бесконтактных аутентификаторов — это будущее: вы достигаете необходимого уровня безопасности, в основе которого лежит простота эксплуатации самого решения. Поэтому команда, которая работала по направлению двухфакторной аутентификации, решила создать свой продукт для реализации механизма двухфакторной аутентификации на базе бесконтактных аутентификаторов.

Мы знаем, какие функции должно выполнять решение. Теперь мы можем вносить правки в решение, потому что это наш продукт, это наш код. Мы сами эксплуатируем данное решение и видим, чего в нем не хватает, а что можно улучшить. Когда вы работаете с западным решением, то убедить иностранного вендора в том, что для российского рынка нужно исправить некоторые нюансы, просто невозможно. У нас с ними разный взгляд на рынок решений, у нас разное понимание требований законодательства. Поэтому сейчас мы имеем возможность делать то, что считаем нужным, но при этом основываться на той экспертизе, которая была получена.

Это наше детище!

Программный комплекс Secure Authentication Server является решением по двухфакторной аутентификации на основе бесконтактных аутентификаторов. Бесконтактные аутентификаторы — это различные генераторы одноразовых паролей. На сегодняшний день все уже привыкли к тому, что связка логин-пароль является небезопасной, необходимо использовать некий дополнительный фактор аутентификации. Мы это видим в банковских клиентах, в социальных сетях. Практически все предложения, которые предоставляют доступ извне через интернет, предоставляют механизм двухфакторной аутентификации.

Выбор правильного подхода к реализации механизма двухфакторной аутентификации определяет и успех его внедрения на предприятии. Недавний период пандемии показал, что наиболее востребованный ранее вариант второго фактора – аппаратный ключ с цифровым сертификатом на борту, не является оптимальным вариантом по нескольким причинам. Во-первых – это логистика. Когда все ушли на «удаленку», то встала проблема по доставке каждому аппаратного ключа. Второй немаловажной проблемой стала проблема интеграции решения как в инфраструктуру рабочего места сотрудника, так и в инфраструктуру предприятия: «зоопарк» устройств у сотрудников требовал установку драйверов и дополнительного ПО, которое не всегда могло быть установлено. А интеграция второго фактора в корпоративные сервисы требовало от ИТ департамента изменений и самой инфраструктуры.

Если же рассмотреть интеграцию через стандартные протоколы внешней аутентификации (RADIUS, SAML и др.), то здесь проблема решается за счет интеграции самого протокола с конечным сервисом. То есть нет привязки к той инфраструктуре, где работает человек. Поэтому, в принципе, он может работать абсолютно в любом месте, на любом устройстве. Тем самым это становится удобным для сотрудника, удобным для технической поддержки, которая предоставляет ему это рабочее место. И тем самым мы заботимся о безопасности, которая становится удобной, привычной для сотрудника, потому что он ежедневно использует те же самые одноразовые пароли при входе в банк-клиент, в социальные сети и так далее.

Поэтому мы считаем, что наравне с решениями PKI, решения по двухфакторной аутентификации на базе бесконтактных аутентификаторов имеют место быть и становятся всё более популярными.

Ключевой функцией данного продукта является возможность создавать множество автономных виртуальных серверов аутентификации на одной инсталляции (многоуровневая мультиарендность).

Это очень удобно. Когда заказчик понимает преимущество данного решения, оно становится, наверное, ключевым для него. Потому что, во-первых, заказчик может легко масштабироваться. Например, у него есть группа компаний, и для каждой не надо разворачивать новый продукт. Вы создаёте виртуальный сервер за несколько секунд — и уже дочерняя компания готова к эксплуатации решения. Аналогичная ситуация с различными филиалами, подразделениями, которые подключаются к головному офису, тем самым получая второй фактор в виде некоторого сервиса. Данная архитектура позволяет использовать продукт и для тестирования в момент эксплуатации самого решения в корпоративной среде. То есть у вас есть некий виртуальный сервер, который отвечает за работу с корпоративными сервисами, люди входят удалённо через этот сервис и аутентифицируются. Допустим, вы решили что-то протестировать. Вам не надо создавать новую площадку, новую инфраструктуру: вы можете воспользоваться новым виртуальным сервером, который будет автономен, и никому не мешать.

Решение очень хорошо подойдет для сервис-провайдеров: как показала практика, тренд облаков (SaaS-решений) всё больше и больше становится популярным в России. Поэтому направление аутентификации как сервис, скорее всего, через несколько лет будет флагманским. Во-первых, это понятно любому человеку: двухфакторная аутентификация нужна, потому что она обеспечивает необходимый уровень безопасности. Во-вторых, это облако: легко внедряется, легко эксплуатируется без каких-либо дополнительных затрат на собственную инфраструктуру. В-третьих, простота и понимание того, что вообще делает пользователь. То есть те элементы, которые повышают уровень безопасности, становятся для пользователя прозрачными, простыми, удобными.

Когда заказчик выбирает тип аутентификатора для пользователя, он должен исходить из того, что необходимо обеспечить необходимый уровень безопасности при качественном уровне удобства. Как правило, считают, что аппаратные аутентификаторы (это различные брелоки, которые генерируют значение одноразового пароля) являются самыми безопасными. Они генерируют значение автономно вне зависимости от среды функционирования, поэтому перехватить значение каким-то вредоносным ПО будет просто невозможно.

Но здесь возникает другая проблема: аппаратный генератор необходимо постоянно носить с собой. Аппаратный генератор — это всё-таки некое устройство, которое имеет батарейку, что может приводить к рассинхронизации устройства с сервером. Это тоже некое неудобство. Поэтому пока оптимальным вариантом, наверное, будет являться применение мобильных приложений, которые стоят у каждого на мобильном телефоне.

Также стоит отметить, что одно и то же мобильное приложение может быть использовано как в личных интересах, так и в корпоративных. Мы видим частую проблему: каждое решение по безопасности предлагает механизм двухфакторной аутентификации, но каждое решение по безопасности предлагает установить своё мобильное приложение. В результате, когда мы видим на телефоне 5-6 мобильных приложений, у нас возникает вопрос: а как пользователю не запутаться в этих мобильных приложениях?

Мы исходим из того, что аутентификация должна быть централизованной: все сервисы должны замыкаться на этот механизм аутентификации, и пользователь должен пользоваться одним-двумя аутентификаторами, которые будут наиболее удобными для него. Например, сейчас я использую мобильный аутентификатор с телефона, потому что телефон под рукой. Допустим, я не могу использовать мобильный телефон по каким-либо причинам, например, по причинам безопасности, но я могу использовать какое-то программное решение. Это может быть расширение для браузера, просто Windows-приложение либо приложение для каких-то других платформ, которое будет генерировать значение одноразового пароля. То есть я должен иметь возможность войти в систему вне зависимости от того, где сейчас нахожусь и какие ограничения у меня есть.

Наша задача при построении решения состоит в том, чтобы сделать механизм аутентификации простым и в то же время непрерывным. То есть не будет такого момента, когда человек скажет: «Я не могу войти в систему». Если у вас что-то случается с аутентификатором, вы всегда можете попросить администратора выдать второй аутентификатор. Если у вас есть какие-то технические ограничения, вы всегда можете выбрать тот аутентификатор, который будет под рукой и соответствует тому уровню безопасности, который требуется в окружении.

Опять же многие считают, что SMS — это небезопасно. Да, это небезопасно. Но здесь всё сводится к тому, какой уровень безопасности вам нужен. Если нужен максимальный уровень, говорить о мобильных телефонах не имеет смысла, потому что само устройство является недоверенным. Есть решения MDM, которые могут повысить уровень безопасности мобильного телефона и тем самым позволить вам использовать мобильные приложения в корпоративном сегменте. Чаты, SMS, отправка одноразового пароля по почте — всё это те варианты, которые человек может использовать, исходя из того уровня безопасности, который ему представляет сотрудник службы информационной безопасности.

Наше решение адаптировано для различных сегментов, в том числе для сервис-провайдера. Как я уже отмечал, архитектура, которая позволяет создавать виртуальные серверы на одной инсталляции, может быть применима для модели SaaS. То есть, сервис-провайдер инсталлирует себе наше решение. Дальше каждому заказчику предоставляется уникальный автономный сервер аутентификации. Он может использовать его для своих нужд: создавать на нём дочерние виртуальные серверы, которые могут быть эксплуатированы его компанией. Он может выступать в роли сервис-провайдера. То есть архитектура такова, что сервис-провайдер делает решение для сервис-провайдера.

Аналогично можно поступить и для локальной инсталляции: вы можете установить это решение в компании, например, в головном офисе, а дальше предлагать сервис по аутентификации каким-то дочерним подразделениям, филиалам, где может не быть ИТ-департамента. Тем самым вы легко масштабируетесь и обеспечиваете необходимый уровень безопасности, потому что всё находится под вашим контролем.

Мы долго наблюдали за тем, как пользователи эксплуатируют решение от компании Thales, с какими трудностями они сталкивались. И сейчас мы понимаем, что нужно связать опыт, безопасность и тренд.

Наше решение поставляется в виде Docker-контейнеров. Docker-контейнер позволяет развернуть продукт всего за несколько минут. Оптимальная инсталляция решений в виде Docker-контейнеров также позволит обеспечить необходимый уровень безопасности. Это современная технология, не какой-то эксклюзив для элиты, а повседневный элемент, который позволяет быстро сопровождать продукт в течение всего жизненного цикла решения.

Нет. Для развёртывания нашего решения необходимо просто иметь Docker-инфраструктуру. Вы используете Docker-образ, разворачиваете Docker-контейнер — и всё готово к эксплуатации. За счёт применения Docker-образов вы можете легко масштабироваться, тем самым добиваясь отказоустойчивости и балансировки нагрузки. Мы выполнили решение таким образом, что продукт включает в себя все необходимые элементы на основе opensource компонент, которые позволят без дополнительных затрат на лицензии развернуть полномасштабное решение по двухфакторной аутентификации.

Услуга очень востребована. Потому что после ухода иностранных вендоров с российского рынка возникает вопрос с окружением: многие решения по той же аутентификации эксплуатировались только в среде Microsoft. Многие компании уже отказываются от Microsoft и ищут решения на другой платформе. За счёт того, что мы применяем Docker, вы можете развернуть продукт абсолютно в любой инфраструктуре. Это может быть старая инфраструктура Microsoft.

Допустим, вы сделали какую-то изоляцию, и понимаете, что этого достаточно для того, чтобы обеспечить нужный уровень безопасности. Классика для российского рынка — Linux. Пожалуйста, вы можете развернуть наш продукт в Linux-инфраструктуре, и он будет гибким и удобным: системa масштабирования, балансировки и прочее. Вы даже можете развернуть всё это на ноутбуке с установленной операционной системой Mac. То есть абсолютно любая инфраструктура готова для того, чтобы принять наши решения как продукт по двухфакторной аутентификации.

Как я уже отмечал, на текущий момент мы попали в реестр отечественного ПО: мы проходим процедуру сертификации по 4-му уровню доверия в системе сертификации ФСТЭК России. Очень надеемся, что в ближайшее время мы получим сертификат и заказчики, которым требуется наличие сертификата регулятора, смогут его эксплуатировать без каких-либо дополнительных ограничений.

Мы решили не усложнять данный механизм. Продукт лицензируется очень просто — по количеству пользователей, которым можно назначить аутентификаторы. То есть, сколько у вас пользователей будет использовать двухфакторную аутентификацию, столько вы и покупаете лицензий. В стоимость лицензии включён полный функционал продукта, программные, аппаратные аутентификаторы, возможность отправки одноразового пароля по SMS, в Telegram, на почту. Включена также техническая поддержка, неограниченное количество нод для построения отказоустойчивого кластера и неограниченное количество агентов для интеграции.