Многофакторная аутентификация как сервис: необходимость, востребованность, использование в условиях современного бизнеса.

Тематика многофакторной аутентификации (англ. multi-factor authentication, MFA) вообще и облачных сервисов двухфакторной аутентификации (англ. two-factor authentication, 2FA) в частности описана в специализированной прессе многократно. Но рынок постоянно развивается и вопросы от заказчиков продолжают поступать. Причем вопросы самые разные: от назначения и основных возможностей MFA, особенностей облачных сервисов, их востребованности, порядка построения и предоставления, их выбора, внедрения и использования заказчиком, до особенностей сервиса на базе сертифицированного решения MFA, его преимуществах для заказчиков, поставщиков ИТ-услуг и разработчиков инфраструктурных ИТ-решений.

Мы начинаем цикл статей, в котором постараемся ответить на эти вопросы. Для сотрудников ИТ и специалистов в области ИБ, для заказчиков и партнеров. Аккуратно, четко, последовательно.

Современная 2FA или причем здесь зубная щетка?

Двухфакторная аутентификация – это механизм, усиливающий функцию базовой аутентификации, которая наиболее распространена во всем мире: аутентификации по логину и паролю. Практика показывает, что для надежного обеспечения информационной безопасности аутентификации по логину и паролю сейчас уже недостаточно. К сожалению, возникло множество атак, которые позволяют ее обойти. Это и атака с подбором «грубой силой» (англ. brute force), и зловредное ПО, перехватывающее статические пароли, и атака с получением дампа базы данных и последующим восстановлением пароля через корреляцию в так называемых «радужных» таблицах (англ. rainbow table). То есть классическая пара «логин-пароль» уже не является безопасной.

Существует несколько механизмов усиления базовой аутентификации, по сути, различных вариантов двухфакторной аутентификации. Их разделяют на «усиленную», в частности, по одноразовым паролям (англ. one-time password, OTP), и «строгую» — с использованием ассиметричной криптографии, более защищенного способа, нежели симметричная криптография, лежащая в основе OTP. Хорошо знакомым и распространенным примером аутентификации по одноразовым паролям является двухэтапная аутентификация в личном кабинете на Госуслугах Российской Федерации и Госуслугах Москвы. Она же использовалась для регистрации в ходе дистанционного электронного голосования.

Строгая аутентификация лучше всего подходит для работы сотрудников в «классическом» офисе и доступа к информации, критической для бизнеса компании. В таком случае вполне оправдано использование ассиметричной криптографии, аппаратных ключей (USB-токенов и смарт-карт) и сертификатов, и в целом PKI-инфраструктуры. Когда же возникает необходимость мобильного или удаленного доступа к информационным ресурсам компании, то «строгая» аутентификация уступает свое место «усиленной», более простой и удобной для сотрудников, а аппаратные ключи — «бесконтактным» аутентификаторам: автономным OTP-токенам и программным генераторам OTP, сообщениям на мобильное устройство и приложениям, подтверждающим доступ «одним касанием» экрана. В частности, во время пандемии коронавируса, даже те заказчики, которые традиционно использовали PKI-инфраструктуру и аппаратные ключи, стали переходить на бесконтактные аутентификаторы.

Чем это было обусловлено?

Во-первых, использование бесконтактных аутентификаторов изначально является более понятным для большинства пользователей. Так или иначе, многие сотрудники уже используют их для доступа к системам ДБО, используют их для защиты своих аккаунтов в социальных сетях.

Во-вторых, это независимость от среды эксплуатации. Нет проблем с драйверами, нет проблем с выбором форм-фактора генератора OTP: это могут быть и «классические» сообщения SMS, это могут быть и push-сообщения, это могут быть и программные генераторы. Кроме того, эти программные генераторы могут быть устроены так, что ими будет удобно пользоваться. Например, расширение в браузере Chrome – пользователь поработал за одним своим рабочим местом, на котором есть расширение для генерации OTP, переместился на другое рабочее место, где это расширение синхронизировалось, и получил возможность продолжить свою работу, вновь получая второй фактор в браузере.

В-третьих, бесконтактные аутентификаторы, в частности, мобильные приложения, позволяют учитывать предпочтения конкретных пользователей и организаций в целом. У кого-то есть доверие к российским разработчикам, но нет доверия к иностранным, а у кого-то наоборот – доверие к иностранным приложениям, нежели к российским. Пожалуйста! Google-аутентификатор, Microsoft-аутентификатор, Яндекс-ключ, Bitrix OTP – все эти решения выглядят для пользователя одинаково, все они могут быть использованы при усилении базовых функций аутентификации.

У нас часто спрашивают: «кому нужна двухфакторная аутентификация?». Мы обычно отвечаем, что этот вопрос из разряда «кому нужна зубная щетка?». Зубы чистят все. Так и здесь: в любой правильно построенной информационной системе есть аутентификация. А вот насколько вам нужно внедрять двухфакторную аутентификацию для всех сотрудников, доступ к каким системам и ресурсам она будет усиливать, при работе из офиса или при удаленном доступе – ответы на эти вопросы связаны с теми системами, которые вы используете.

Базовый кейс применения 2FA и OTP в корпоративной инфраструктуре

Самый часто встречающийся случай, когда требуется 2FA, это, конечно же, удаленный доступ к корпоративной инфраструктуре. Многие думают, что двухфакторная аутентификация защитит в этом кейсе «от всего», но на самом деле это не так. Она защитит ваших пользователей от некоторых угроз, связанных с компрометацией их статических паролей, но не обеспечит конфиденциальность передаваемых данных, не защитит сам канал. Поэтому при удаленной работе хорошей практикой стало использование VPN, и при доступе из-за пределов периметра информационной системы в большинстве организаций использование 2FA стало обязательным.

Практика проектов в условиях пандемии показала, что «переехав по домам», некоторые компании стали публиковать свои внутренние информационные ресурсы и порталы наружу. В связи с этим, возник вопрос интеграции механизмов 2FA с этими ресурсами. И тут ИТ-службы убедились, что применение стандартных механизмов аутентификации – механизмов на базе протоколов RADIUS или ADFS (Active Directory Federation Services) – позволяет гораздо проще сделать такую интеграцию, нежели, например, в случае PKI с использованием PKCS-11.

Элементы PKI-инфраструктуры при интеграции нужно как-то добавить, добиться, чтобы ключи правильно определялись, и так далее, и так далее. Это гораздо сложнее, чем добавление стандартного протокола внешней аутентификации, которое можно сравнить со сбором пазла: добавляете маленький фрагмент (стандартный протокол) и вся ваша картина «сходится»! У вас сразу появляется второй фактор! В результате вы легко можете публиковать корпоративный портал наружу, а ваши пользователи получат стандартные механизмы аутентификации, которые они привыкли видеть в своих социальных сетях и банковских системах.

Очевидно, что OTP-аутентификация на базе бесконтактных аутентификаторов для получения удаленного доступа к корпоративной инфраструктуре достаточно знакома и понятна пользователям. Уже нет необходимости рассказывать каждому «что нужно делать?». В частности, и Государственные информационные ресурсы, и Госуслуги Российской Федерации стали требовать обязательного применения двухфакторной аутентификации. Да, там есть небольшое отличие, там, строго говоря, идет «двухэтапная» аутентификация. Но, тем не менее, этот механизм пользователю уже знаком и понятен, ему не нужно думать что и куда присоединить, что нужно нажать, куда и какой PIN-код ввести. Все просто: либо пришло SMS-сообщение, либо сгенерировал в приложении одноразовый пароль и вошел в систему.

Итак, применение для удаленного доступа к корпоративной инфраструктуре OTP-аутентификации на базе бесконтактных аутентификаторов, во-первых, обеспечивает усиление базовых функций аутентификации, во-вторых, позволяет пользователям удобно работать, а в-третьих — позволяет легко внедрить эту процедуру в те системы, которые требуют усиления базовой аутентификации.

2FA как облачный сервис

В настоящее время мы видим, как популярность модели SaaS (англ. Software as a Service — программное обеспечение как услуга) в отношении 2FA существенно возросла. Растет количество заключенных сервисных контрактов, увеличивается и число сервисных компаний, поставляющих услуги 2FA. Почему рынок начал движение в сторону облачного сервиса?

Опыт пилотных проектов показывает, что, к сожалению, у части инженеров компетенция в такой специфической области, как двухфакторная аутентификация, оказалась недостаточно высокой. Построить любую информационную систему сложно, а построить сложную систему, которая к тому же является ключевой частью корпоративной инфраструктуры еще сложнее. Система аутентификации как раз и является такой ключевой частью. Если не будет работать двухфакторная аутентификация, то все процессы в компании «встанут». Поэтому при ее развертывании нужно решать целый комплекс вопросов: надежное функционирование самой системы, отказоустойчивость, балансировку нагрузки, и так далее. В основном это касается серверной части системы 2FA: непосредственно сам сервер аутентификации, подсистема работа с базами данных, но необходимо решать и специфические вопросы на рабочих местах пользователей.

А когда заказчику предоставляют эти функции «как сервис», то уже нет необходимости заботиться о надежности системы, ее отказоустойчивости и других вопросах обеспечения безопасности инфраструктуры. Для заказчика все сильно упрощается: устанавливаете программные агенты, указываете где находится облачный сервер аутентификации, указываете с каким сервисом вы хотите интегрироваться, и, в принципе, все! Сравните сами этот процесс с этапами развертывания полноценной системы аутентификации в корпоративной инфраструктуре, причем, с расчетом нагрузки, отказоустойчивости, регламентом обслуживания, резервного копирования, обновления и других этапов. Это намного сложнее!

Есть и вторая причина из-за которой ИТ-департаменты многих компаний часто избегают развертывания и эксплуатации системы двухфакторной аутентификации. Это опасение разрастания масштабов технической поддержки пользователей! Если, например, в компании 5-10 пользователей, десятки пользователей, то задача их обслуживания выглядит вполне решаемой. Если же в компании их сотни или тысячи, то даже при развитых возможностях решения 2FA по автоматизации типовых задач, обслуживание конечных пользователей уже начинает выглядеть долгим, сложным и затратным. Даже с первого взгляда начинает казаться более выгодным переложить эти задачи на кого-то другого – на сервис-провайдера, который будет обеспечивать необходимую надежность функционирования решения 2FA, безопасность и оперативность технической поддержки. В действительности внедрение 2FA и обслуживание конечных пользователей может оказаться как «неподъемным», так и «вполне доступным», нужно только правильно оценить затраты в ваших конкретных условиях.

С определенной долей упрощения для оценки расходов на внедрение решения 2FA и техническую поддержку пользователей необходимо учесть не только технические требования выбранного решения к ИТ-инфраструктуре компании, но и трудозатраты персонала, его стоимость, сложность и стоимость используемого оборудования и программного обеспечения. Все это вполне возможно подсчитать. Но это еще не все! Речь, безусловно, идет о решении, которое по своей сути является инструментом для обеспечения информационной безопасности, но и оно, в свою очередь, защищается другими решениями для обеспечения информационной безопасности. Ведь такого быть не может, что оно «живет само по себе» и настолько «безопасно», что для него больше ничего не нужно: межсетевых экранов, антивирусных средств, резервного копирования баз данных. Все это повлечет за собой вполне реальные затраты, которые в случае использования облачного сервиса перекладываются на сторону поставщика услуг. А вы в этом случае концентрируетесь только на внедрении «второго фактора» и интеграции его с вашими целевыми сервисами.

Когда говорят о преимуществах сервиса 2FA, то называют экономию на непрофильных затратах, снижение общей стоимости владения решением, повышение скорости внедрения, безопасность эксплуатации и высокое качество поддержки. Но для всех ли заказчиков сервис действительно будет предпочтительнее развертывания 2FA в своей инфраструктуре? Как он должен быть построен? Как такой сервис выбрать? Что заказчик должен получить и что сервисная компания должна предоставить? Обо всем этом мы поговорим в следующей статье.