Централизованная аутентификация для российского межсетевого экрана
Российский разработчик решений для многофакторной аутентификации MFASOFT и российский производитель решений информационной безопасности для защиты сетей и фильтрации трафика Ideco подтвердили технологическую совместимость программного комплекса MFASOFT Secure Authentication Server (SAS) и межсетевого экрана нового поколения Ideco NGFW Novum. По результатам совместных испытаний стороны выпустили сертификаты технологической совместимости.
Ideco NGFW Novum – это российский межсетевой экран нового поколения, предназначенный для защиты от широкого спектра сетевых угроз. Продукт отличают стабильность работы, удобство для пользователей и администраторов, высокое быстродействие и широкий набор функций для защиты от атак всех видов. В состав решения входят VPN-шлюз и VPN-клиент для безопасного удаленного доступа пользователей к корпоративным ресурсам. Поддерживает интеграцию с внешними серверами аутентификации по протоколу RADIUS, а также с AD/ALD Pro, SIEM, DLP и СКЗИ.
Для удобства управления доступом в продукте реализована централизованная аутентификация: учетные записи хранятся на центральном сервере. Пользователи могут подключаться к разным ресурсам с одними и теми же учетными данными, а администраторам проще управлять доступом. Кроме того, поддерживается многофакторная аутентификация: помимо фактора знания (локального или доменного пароля) пользователь должен предъявить фактор владения (например, одноразовый пароль).
Для того, чтобы объединить удобство централизованной аутентификации с повышенной безопасностью многофакторной защиты, в NGFW Novum реализована поддержка протокола внешней аутентификации RADIUS. Проверку второго фактора выполняет внешний сервер аутентификации программного комплекса MFASOFT SAS. При этом Novum способен передавать по протоколу RADIUS сразу несколько факторов, поэтому вместо доменного пароля пользователь может вводить ПИН-код своего аутентификатора SAS. Тем самым можно убрать еще один фактор риска, ведь компрометация доменных паролей – обычный этап в цепочках атак (kill chain) на корпоративные информационные системы.
Чтобы убедиться в корректной работе разных сценариев проверки второго фактора, компании Ideco и MFASOFT протестировали интеграцию двух продуктов и подтвердили совместимость Secure Authentication Server в качестве внешней системы аутентификации для NGFW Novum. Такая связка позволяет повысить уровень защищенности за счет использования второго фактора, снизив при этом совокупную стоимость владения решением за счет централизации управления.
Для удобства управления доступом в продукте реализована централизованная аутентификация: учетные записи хранятся на центральном сервере. Пользователи могут подключаться к разным ресурсам с одними и теми же учетными данными, а администраторам проще управлять доступом. Кроме того, поддерживается многофакторная аутентификация: помимо фактора знания (локального или доменного пароля) пользователь должен предъявить фактор владения (например, одноразовый пароль).
Для того, чтобы объединить удобство централизованной аутентификации с повышенной безопасностью многофакторной защиты, в NGFW Novum реализована поддержка протокола внешней аутентификации RADIUS. Проверку второго фактора выполняет внешний сервер аутентификации программного комплекса MFASOFT SAS. При этом Novum способен передавать по протоколу RADIUS сразу несколько факторов, поэтому вместо доменного пароля пользователь может вводить ПИН-код своего аутентификатора SAS. Тем самым можно убрать еще один фактор риска, ведь компрометация доменных паролей – обычный этап в цепочках атак (kill chain) на корпоративные информационные системы.
Чтобы убедиться в корректной работе разных сценариев проверки второго фактора, компании Ideco и MFASOFT протестировали интеграцию двух продуктов и подтвердили совместимость Secure Authentication Server в качестве внешней системы аутентификации для NGFW Novum. Такая связка позволяет повысить уровень защищенности за счет использования второго фактора, снизив при этом совокупную стоимость владения решением за счет централизации управления.
“
Во многих российских организациях стоит задача замены западных NGFW на отечественные аналоги. Сейчас на рынке представлено множество таких решений, и выбор становится все более сложным. Факторы выбора смещаются от очевидных „табличных“ характеристик – производительности, поддержки форматов данных и сетевых протоколов – к менее явным, но влияющим на удобство эксплуатации и итоговую стоимость владения. Мы убеждены, что путь к снижению расходов лежит через централизацию управления. В нашем продукте мы всегда делали на этом фокус и рады видеть, что партнеры разделяют этот подход. Функции, в разработку которых мы вложили значительные усилия, оказываются востребованными при интеграции со сторонними решениями.
“
В сложной корпоративной среде важен не только сам факт наличия функции, но и то, как она реализована. Чтобы обеспечить гибкость проверки факторов аутентификации, мы реализовали различные режимы и схемы работы протокола RADIUS. Для нас было важно, чтобы продукт технологического партнера поддерживал эти возможности. Важно, что в MFASOFT не стали „изобретать велосипед“ и реализовали функциональность на базе FreeRADIUS – одного из самых распространенных и зрелых серверов RADIUS – дополнив его собственным модулем и упаковав решение в программный контейнер. Благодаря этому развертывание прошло без сложностей, а настройка – без сюрпризов. Уверены, что заказчики при внедрении в продуктивной среде также оценят это.
“
Поддержка RADIUS — это не опция, а часть базовой архитектуры Ideco NGFW Novum. Протокол реализован так, чтобы продукт мог работать с любым внешним сервером аутентификации, не создавая ограничений для заказчика в выборе MFA-решения. Подтвержденная совместимость с MFASOFT SAS показывает, что эта архитектурная гибкость работает на практике: интеграция прошла без доработок с нашей стороны, а заказчик получает возможность строить многофакторную аутентификацию для удаленного доступа на российских продуктах.