Внедряем двухфакторную аутентификацию в среде Linux, не забываем о Windows
Импортонезависимость – сейчас самая "горячая" тема в российской экономике. В области информационных технологий она появилась под названием импортозамещение и с переменным успехом развивалась на протяжении последних 7 с лишним лет. Однако сейчас, в связи с увеличением количества кибератак на государственные структуры и крупные организации (яркие примеры тому – взлом сети Росавиации, атаки на информационные системы Сбербанка) и прецедентов утечки персональных данных потребность в переходе на безопасные российские продукты вышла на новый виток.
По интенсивному потоку запросов от ИТ-служб и специалистов ИБ мы можем констатировать, что как крупные корпорации, так и средние предприятия и организации планируют в ближайшее время провести перевод своих информационных систем на отечественные решения, если этого еще не сделано, и в том числе большое внимание уделяется вопросам обеспечения безопасности.
Почему к нашему мнению об импортозамещении в сфере ИБ стоит прислушаться
Напомним, что "Аладдин Р.Д." работает на рынке ИБ уже 27 лет. Все ключевые продукты и решения нашей компании проходят необходимую сертификацию во ФСТЭК России и ФСБ России, программные продукты зарегистрированы в Едином реестре российского ПО.
Занимаясь развитием отечественного рынка ИБ, "Аладдин Р.Д." также ведет и активную общественную деятельность – участвует в разработке национальных и межгосударственных стандартов. В рамках Технического комитета по стандартизации «Защита информации» ТК 362 и Технического комитета по стандартизации «Информационные технологии» ТК 022, специалисты компании участвуют в разработке стандартов в области идентификации, аутентификации и управления доступом.
На сегодня при нашем непосредственном участии подготовлено, утверждено и введено в действие пять национальных стандартов и один межгосударственный стандарт, которые регламентируют порядок и правила идентификации и аутентификации.
Подобная работа ведется и в смежной области "защита персональных данных". При участии экспертов ведены в действие один национальный и один межгосударственный стандарт.
Все основные продукты от Аладдин вошли в Каталог совместимости российского программного обеспечения, который ведет АРПП с 2020 г., а также наши решения представлены и в каталоге на насущную тему –"Импортозамещение".
Опираясь на прочную платформу знаний и обширного экспертного опыта, мы предлагаем обсудить тему миграции на отечественные продукты в сфере информационной безопасности (ИБ).
Задача: обеспечить безопасность подключения пользователей на Linux и доступа к приложениям ИС на базе 2ФА
Во многих организациях, офисное и инфраструктурное ПО, как правило, замещается или уже замещено решениями на ядре Linux. При этом, переход к инфраструктуре на базе Линукс сопровождается необходимостью создавать новые механизмы защиты.
При организации домена безопасности стандартным вариантом является применение протокола аутентификации Kerberos, который позволяет пользователям, приложениям и сервисам безопасно аутентифицировать друг друга при взаимодействии внутри домена безопасности. Он применим в различных вариантах, например «один к одному» или «один ко многим», то есть в нескольких приложениях и сайтах сразу, используя один набор учетных данных. При этом важно уделить внимание технологиям аутентификации, применяемым в связке с Kerberos.
Если в Windows есть встроенные средства аутентификации (хотя они не сертифицированы, то есть, потенциально опасны в нынешних условиях), то в Линукс-системах такого готового решения еще совсем недавно не было, и приходилось все настраивать вручную. Именно поэтому мы создали Aladdin SecurLogon – средство для простого и быстрого перехода к двухфакторной аутентификации (2ФА) в среде Linux при входе в операционную систему на автоматизированных рабочих местах (АРМ) пользователей и доступе к сетевым ресурсам по USB-токенам и смарт-картам JaCarta.
Решение: Aladdin SecurLogon – минимальное необходимое приобретение для безопасного входа в информационные системы, реализованные на Linux
При переводе пользователей на ОС семейства Linux администраторы сталкиваются с кропотливым процессом настройки необходимых механизмов и сервисов. Aladdin SecurLogon – это стартовое необходимое решение, которое автоматизирует процедуры настройки безопасного входа в информационные системы (ИС). Оно позволяет обеспечить:
- Повышение общего уровня безопасности ИС за счёт перехода от простых паролей, для которые характерна максимальная уязвимостью, к 2ФА с использованием USB-токенов и смарт-карт.
- Двухфакторную аутентификацию при входе в ОС на локальном АРМ или АРМ домена, а также подключение к удалённому рабочему столу (RDP) и поддерживает варианты как c использованием инфраструктуры открытых ключей (PKI), так и без PKI.
- Безопасную работу в сложных гетерогенных сетях на базе Windows, Linux и др., популярных доменах Microsoft AD, Samba DC или FreeIPA и удостоверяющих центрах (УЦ) MSCA, EJBCA, DogTAG.
- Упрощает прохождение аттестационных процедур, связанных с аутентификацией в ГИС, КИИ, АСУ ТП, ИСПДн по мерам защиты информации в части ИАФ и УПД. В настоящее время продукт для Linux находится на сертификации по требованиям УД-2 ФCТЭК России.
Администратору ИБ на заметку
Применяя Aladdin SecurLogon, администратор значительно облегчает и автоматизирует свою деятельность при миграции на отечественные ОС, потому что этот продукт
- Решает проблему "слабых" паролей пользователей и регулярности их смены на компьютерах сотрудников, что снижает уровень личной ответственности за компьютеры персонала
- Облегчает построение и настройку сложных гетерогенных сетей за счёт проработанной архитектуры и реализованной поддержки наиболее популярных технологий аутентификации. Это применимо, в том числе и в процессе плавной миграции на импортонезависимые решения без прерывания работы всей системы
- Обеспечивает переход на отечественные операционные системы в архитектуре с использованием PKI. Aladdin SecurLogon поддерживает как локальный, так и сетевой вариант реализации 2ФА в связке с УЦ; работает с MSCA, EJBCA, DogTAG.
- Удобный и простой в использовании. Обеспечивает гибкие настройки политик входа, быструю установку и настройку в Linux через понятный графический интерфейс, максимально упрощает процесс конфигурации АРМ в системе.
Для больших инсталляций остро стоит задача автоматической централизованной конфигурации клиентских АРМ, так как привычных групповых политик в Linux пока еще нет. Для этого в Aladdin SecurLogon создан отдельный мастер групповой настройки, который способен оперативно настроить тысячи автоматизированных рабочих мест: установить ПО, сконфигурировать ОС, добавить корневые сертификаты в список доверенных, распространить информацию о CRL, настроить SSH и т. д.
Проведённые полевые испытания показали, что за 20 минут можно настроить систему на 1000 пользователей.
Проверена совместимость Aladdin SecurLogon с РЕД ОС (7.2, 7.3), Astra Linux (1.6 SE, 1.7 SE, CE), Альт 8 СП, Альт 9, Альт 10.
А если работаем на Windows и переходим на отечественное ПО?
У Аладдин также есть решение для Windows. В каталоге "Импортозамещение" оно приводится как пример замены для импортных продуктов eToken Network Logon, SafeNet Authentication Service.
Для 2ФА в доменах безопасности на базе MS Windows традиционно использовалось встроенное средство Smartcard Logon. Стоит отметить, что в этом случае весь механизм проведения аутентификации, включая криптографические протоколы и криптографические ключи, закрыт, и не является сертифицированным ПО.
Если стоит задача изолировать корпоративную сеть на базе Windows от возможных "сюрпризов" недружественного ПО, а также соблюсти требования о наличии сертификата на решения для 2ФА, Аладдин предлагает использовать сертифицированный ФСТЭК России продукт JaCarta SecurLogon.
Однако, вернемся к теме миграции на российское ПО. На современном этапе важно, что Aladdin SecurLogon подходит для обеспечения усиленной аутентификации в гетерогенных сетях, которые могут включать как уже существующие информационные системы 2ФА c развернутой PKI, так и новые сегменты на базе отечественных ОС.
Вас заинтересовали средства автоматизации при настройках безопасности в Linux?
Тогда мы готовы в дальнейшем подробнее рассмотреть схемы работы Aladdin SecurLogon для аутентификации в разных сценариях применения, а также другие, более мощные и масштабируемые решения.
Продолжим рассказ о процесс перехода на "импортонезависимые рельсы" в следующих выпусках Аладдин Дзен. До встречи!