Использование Swivel для выполнения требований...
-
Upload
ngs-distribution -
Category
Documents
-
view
177 -
download
9
description
Transcript of Использование Swivel для выполнения требований...
Swivel Secure
Сертификация ФСТЭК
www.swivelsecure.com
Привычные способы аутентификации
• Высокая стоимость инфраструктуры и управления ей. Необходимость замены/обновления токенов)
• Неудобны для пользователей (их забывают, теряют и т.п.)
• Неприменимы для масштабных B2B и B2C приложений
• Сложные правила провоцируют частое использование одинаковых паролей в разных приложениях
• Необходимость наличия системы управления изменениями паролей
• Сложности управления при нерегулярном использовании или использовании третьей стороной
• Непрактичны для приложений более низкой критичности
Токены
• Пароли в социальных сетях и корпоративных приложениях часто идентичны
Пароли
www.swivelsecure.com
Платформа аутентификации Swivel
• Представляет собой серверное решение (физические или виртуальное), позволяющее использовать различные способы аутентификации при доступе к различным системам и приложениям.
• Включает в себя более 50 вариантов аутентификации к сотням систем.
• В качестве каналов аутентификации используется: классический веб-браузер, SMS, мобильное приложение (для всех популярных платформ) и голосовой вызов.
• Имеется интеграция для VPN-систем, веб-приложений, облачных решений и рабочих станций.
www.swivelsecure.com
Сертификация ФСТЭК
• Имеется положительное решение ФСТЭК на сертификацию продукта
• Готовятся документы на сертификацию по ТУ и НДВ 4 в системе ФСТЭК
• Ориентировочная дата получения сертификатов: декабрь 2013
www.swivelsecure.com
Бестокенная аутентификация. Что дальше?
www.swivelsecure.com
«Традиционная модель» • Используется для аутентификации при удаленном доступе
• Взаимодействие между сервером аутентификации и внутренними ресурсами
• Все взаимодействие в DMZ
• Все элементы подконтрольны компании
DMZ Внутренние ресурсы
Интернет
www.swivelsecure.com
«Федеративная модель» • Взаимодействие между облачным сервисом и Identity Provider (IdP)
• Взаимодействие через Интернет
• Аутентификация на стороне компании, подконтрольна компании, а сервис расположен на стороне облачного провайдера
DMZ
Интернет
ldP
www.swivelsecure.com
«Гибридная модель» • Комбинация двух моделей
• Применяется сегодня
• Та самая «Единственная платформа аутентификации, которая нужна»
• Схема сегодня устраивает почти всех. Что дальше?
DMZ Внутренние ресурсы
Интернет
ldP
www.swivelsecure.com
Интерфейс общения с пользователем • У предприятий самые разные требования к этому элементу
• Главное требования – высокая гибкость настройки для администратора и пользователя
• Та самая «Единственная страница аутентификации, которая нужна»
DMZ Внутренние ресурсы
Интернет
ldP
Портал аутентификации
www.swivelsecure.com
Строится по «федеративной модели» • Решения SAML, ADFS, OpenID, Open Auth собираются в единый модуль (Портал
аутентификации)
• Все запросы на доступ проходят через Портал аутентификации
SAML ldP
ADFS STS
Open Auth
Интернет
Портал аутентификации пользователя
www.swivelsecure.com
«Будущая» схема бестокенной аутентификации
DMZ
Интернет
Портал аутентификации
www.swivelsecure.com
Основные требования к сертификации
• Клиент-серверная архитектура
• Проверка на НДВ
• Проверка в рамках ТУ требований по доступу и аутентификации:
• 152-ФЗ,
• Профиль защиты средства двухфакторной аутентификации,
• НПС,
• СТО БР ИББС,
• 27001,
• PCI DSS,
и др.
www.swivelsecure.com
21 приказ ФСТЭК по ПДн. Требования по аутентификации «+»
+ другие требования
www.swivelsecure.com
Профиль защиты средства двухфакторной аутентификации
www.swivelsecure.com
НПС (382-П)
www.swivelsecure.com
СТО БР ИББС
• 7.4.3. В организации БС РФ должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий.
• Процедуры управления доступом должны исключать возможность “самосанкционирования”.
…
• 7.4.11. В организации БС РФ должны применяться защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД и НРД к такой информации должны регистрироваться. При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанной информации, необходимо выполнить документированные процедуры соответствующего пересмотра прав доступа.
…
www.swivelsecure.com
PCI DSS (Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре)
8.1 Назначение пользователям уникальных идентификаторов
8.2 Механизмы аутентификации пользователей
8.3 Механизм двухфакторной аутентификации
8.4 Передача и хранение паролей в зашифрованном виде
8.5 Процедуры аутентификации пользователей и управления паролями учетных записей
8.5.1 Контроль над добавлением, удалением и изменением объектов идентификации
8.5.2 Проверка подлинности пользователя перед сменой пароля
8.5.3 Установка уникального первоначальный пароль и его смена при первом входе в систему
8.5.4 Отзыв доступа при увольнении пользователя
8.5.5 Удаление/блокировка неактивных учетных записей
8.5.6 Контроль над учетными записями поставщиков
8.5.7 Информирование пользователей о положениях парольных политик и процедур
8.5.8 Запрет использования групповых, разделяемых и стандартных учетных записей и паролей
8.5.9 Периодичность изменения пароля пользователя
8.5.10 Длина пароля
8.5.11 Использование в пароле цифровых и буквенных символов
8.5.12 Запрет выбора использованного ранее пароля
8.5.13 Блокировка учетной записи после неудачных попыток ввода пароля
8.5.14 Период блокировки учетной записи
8.5.15 Блокировка рабочей сессии
8.5.16 Аутентификация доступа к базе данных, содержащей данные о держателях карт
Спасибо за внимание!