Периметр ИТ-безопасности постоянно меняется и деформируется под влиянием облачных вычислений, проникновения ИТ в жизнь пользователей и интенсификации рабочего времени. Лицам, принимающим решения в сфере информационных технологий и информационной безопасности, приходится находить тонкий баланс между соблюдением безопасности корпоративных данных и сохранением простоты, доступности и удобства в эксплуатации, которого ожидают пользователи. Потребность в том, чтобы закрыть пробел между идентификацией пользователя и обеспечением мобильного доступа, привела к развитию инновационных решений для управления идентификационными данными и управления доступом (IAM), обзор которых мы и предлагаем ниже.



Итак, в чем же заключается фундаментальная проблема безопасности при реализации корпоративных инициатив по расширению мобильного доступа?

В первую очередь, и это самая главная проблема, по умолчанию доступ к большинству корпоративных приложений защищен всего лишь статичным паролем, который может быть скомпрометирован или похищен как с помощью фишинга или перебора, так и посредством взлома пользовательских баз данных, например, используемых организациями и поставщиками облачных сервисов. Развитие облачных приложений в корпоративном окружении – таких как Salesforce, AWS или Office 365, привело к тому, что пользователям теперь приходится запоминать по множеству пар имен пользователей и паролей для выполнения своих непосредственных рабочих задач, в результате чего у них появляется синдром, получивший название «парольная усталость». Более того, приложения, доступ к которым осуществляется снаружи корпоративного брандмауэра, защищены исключительно статическими паролями. Совершенно очевидно, что использование статических паролей ставит под угрозу данные и компьютерные сети организаций. А с учетом того, что сотрудники нередко используют по два и более мобильных устройства в рабочих целях, опасения о поводу безопасного доступа лишь возрастают.

По данным Отчета Verizon о расследованиях утечек данных за 2016 год, фактически 63% утечек данных стали возможными за счет использования взломанных, украденных или повторно используемых паролей (recycled passwords), и влияние этих утечек можно бы было сократить, если бы применялась двухфакторная аутентификация (2FA).

К счастью, организации начинают проявлять осторожность и постепенно внедряют соответствующие механизмы управления доступом. Согласно недавнему опросу Gemalto, 40%организаций по всему миру в настоящее время внедряют механизмы двухфакторной аутентификации для обеспечения безопасного доступа к своим сетям и приложениям. Поэтому «уровень уверенности» того, что пользователь действительно является тем, за кого он себя выдает, значительно увеличивается, и не важно, идет ли речь о доступе к корпоративным ресурсам, осуществляемом снаружи корпоративного брандмауэра, или о доступе к корпоративным ресурсам с мобильных устройств.

Второй наиболее часто упоминаемой проблемой после безопасности является то, что расширение мобильного доступа приводит к созданию дополнительной нагрузки на ИТ-менеджмент, при этом руководству приходится задумываться о том, что увеличение гибкости будет создавать дополнительную нагрузку на персонал.

Третьей наиболее распространенной проблемой являются издержки.

IAM решения для защищенного мобильного доступа


Но что же именно следует предпринимать организациям, с одной стороны испытывающим давление бизнес-руководства, которое требует повышать мобильность для увеличения продуктивности сотрудников, а с другой стороны – опасения по поводу безопасности, увеличения нагрузки на ИТ-менеджмент и повышению издержек?

К счастью, существуют различные инновации в области технологий аутентификации, благодаря которым повышение мобильности можно сделать более безопасным, доступным и комфортным для пользователя и удобным с точки зрения управления. В число этих инноваций входят сервисы, доставляемые с помощью облачных технологий, такие как аутентификация в виде сервиса и управление учетными записями в виде сервиса (identity-as-a-service). Они позволяют снизить затраты на обеспечение более высокого уровня безопасности в виде многофакторной аутентификации и технологий управления доступом за счет устранения необходимости ежедневных операционных издержек, связанных с техническим обслуживанием и эксплуатацией этих решений. При перемещении в облако административной нагрузки, в том числе связанной с обслуживанием программного и аппаратного обеспечения, установкой патчей безопасности, созданием резервных копий и восстановлением данных, обеспечением избыточности и высокой доступности инфраструктуры, стоимостной барьер при реализации более эффективных решений для обеспечения безопасного доступа заметно снижается.

С точки зрения улучшения юзабилити для мобильных сотрудников, существует технология единого входа в систему (single sign-on, SSO), которая призвана избавить пользователей от «парольной усталости» за счет обеспечения единого имени пользователя и пароля для доступа ко всем рабочим приложениям – вместо 15, 20 или 25 подобных пар. Единый вход можно реализовать с помощью целого множества различных протоколов и технологий, например, SAML 2.0, сохранения паролей (password vaulting), обратных прокси или технологии Open ID Connect.

Еще одной инновацией, которая обеспечивает защищенный и удобный для пользователя мобильный доступ, является использованием смарт-сканеров PKI Bluetooth Smart readers. Эти Bluetooth смарт-сканеры считывают защищенные с помощью PKI учетные данные, присутствующие на смарт-картах и USB-токенах, и отправляют их по протоколу Bluetooth Smart на мобильные устройства, фактически обеспечивая PKI аутентификацию через Bluetooth соединение. Сканеры PKI Bluetooth Smart позволяют реализовать более сложные сценарии использования PKI на мобильных устройствах – все то, что до сегодняшнего дня можно было выполнить на ноутбуках или настольных компьютерах. Расширенные сценарии использования PKI включают в себя цифровые подписи, например, при выписывании электронных рецептов, сдаче налоговой отчетности и т.д., шифрование и дешифрование почтового трафика, а также механизмы двухфакторной аутентификации на основе PKI для онлайн-приложений и даже для контейнеризации корпоративных мобильных приложений.

К примеру, PKI Bluetooth смарт-сканер считывает со смарт-карты зашифрованные с помощью PKI данные, отправляет их на промежуточное ПО, установленное на планшете или смартфоне пользователя, и таким образом обеспечивает возможность полноценной работы с различными приложениями, где требуется PKI сертификация, которые ранее были доступны лишь на настольных ПК и ноутбуках.

Таким образом, это позволяет повысить мобильность во множестве различных вертикальных применений, не пренебрегая соображениями корпоративной безопасности, и н вызывая «усталость» у пользователя.
Поделиться с друзьями
-->

Комментарии (1)


  1. zhylik
    09.03.2017 20:58

    Единый вход можно реализовать с помощью целого множества различных протоколов и технологий, например, SAML 2.0, сохранения паролей (password vaulting), обратных прокси или технологии Open ID Connect.

    А можете подсказать какие-то конкретные решения, которые позволяют реализовать SSO для входа на веб-ресурсы, которые не умеют ни SAML, ни OpenID Connect, ни LDAP? Т.е. есть веб-приложение, в нем база пользователей и форма входа (POST). Можно ли в какой-то единой системе сохранить/сгенерировать пароль для его учетки от этого приложения и чтобы система сама его «вводила»? Понимаю примерно как реализовать такое через реверс-прокси, но интересуют готовые системы.